SÉRIE SHELL REVERSA - O Básico (Parte 2)
Saudações a todos os membros do HF,
estou apresentando a série reverse shell para todos que desejam aprender sobre o reverse shell em profundidade. Como eu e meu parceiro α¢ já escrevemos um livro - Hands On - Red Team Tactics que tem este capítulo, gostaríamos de expandir o horizonte para que todos possam aprender mais sobre reverse shells com diferentes cenários de casos.
Confira a primeira parte aqui: REVERSE SHELL SERIES - The Basics (Part 1)
Neste tutorial, você aprenderá sobre:
[+] Começando com o Reverse TCP Shell
[+] Analisando o Reverse TCP Shell usando o Wireshark
[+] Problemas com o reverse shell básico
Começando com shell TCP reverso
Como o nome sugere, o shell TCP reverso usa o Protocolo de Controle de Transmissão (TCP) como seu principal protocolo de conexão. Para obter um shell TCP reverso, um comando precisa ser executado na máquina de destino que fará o seguinte:
[*] Inicia um handshake de três vias TCP para a máquina invasora,
[*] Redireciona a entrada e a saída de um shell de comando (escavar um shell) usando descritores de arquivo existentes ou personalizados (descritores de arquivo de entrada, saída e erro para Linux e manipuladores de arquivo [child_in_r, child_in_w, child_out_r, child_out_w] para Windows) [*] Conecta-se com a máquina invasora e escuta os comandos de
entrada ,
[*]Obtém o comando usando o descritor de arquivo de entrada da máquina invasora, executa o comando e envia a saída do comando para a máquina invasora.
Vamos entender usando as máquinas de exemplo. Os detalhes das máquinas são os seguintes:
Máquina do atacante: 192.168.2.19
Servidor de destino: 192.168.2.12
Nota: Como ambas as máquinas estão na mesma rede, não precisamos fazer nenhum teste de saída ou encaminhamento de porta.
Antes de executar qualquer tipo de comando, um ouvinte deve estar em execução na máquina invasora, então vamos abrir a porta 3131/tcp aqui.
Ao executar o comando na máquina de destino, ele deve iniciar uma conexão com a máquina do invasor. Observação: usamos o ncat.exe simplesmente para que os leitores entendam.
Agora, na máquina do invasor, podemos ver o Command Shell conectado.
Podemos executar um comando no Shell de Comando conectado como um comando normal em cmd.exe. Neste caso, executamos o comando 'whoami'
Analisando o shell TCP reverso usando o Wireshark
Embora esta seção seja opcional e apenas forneça uma compreensão mais aprofundada de como um shell reverso funciona em um nível de pacote de rede. Da configuração anterior, quando o invasor executou o comando ncat.exe na máquina de destino. Vamos entender o que tudo aconteceu a partir daí. A máquina de destino iniciou um handshake de três vias (SYN, SYN-ACK, ACK) com a máquina invasora (os primeiros 3 pacotes mostram o handshake).
Após a conclusão do aperto de mão de três vias, a máquina invasora envia uma [Atualização da janela TCP] para a máquina de destino para definir o tamanho da janela TCP para a transferência.
Quando isso for feito, a máquina alvo enviará o Command Shell Banner para a máquina atacante. Os próximos 4 pacotes são sobre a transferência do banner cmd.exe para a máquina atacante.
Aqui o Banner é dividido em dois pacotes: Pacote 1 (38 bytes)
e Pacote 2 (86 bytes). O motivo da divisão é 0x0a (alimentação de linha) e 0x0d (retorno do carro) no banner. Você pode ver o CRLF nos dois primeiros bytes dos dados.
Problemas com o shell reverso básico
Dados não criptografados. Shells reversos de TCP sem nenhum tipo de criptografia podem acabar alertando a equipe de monitoramento. Por exemplo, Sonicwall detecta a presença de um shell reverso genérico seguindo a assinatura ( http://help.sonicwall.com/help/sw/eng/95...065.23.htm )
Se a exfiltração for feita usando um shell reverso genérico, o número de pacotes estará se alarmando.
Espero que todos gostem.
Confira a terceira parte aqui: REVERSE SHELL SERIES - The Basics (Parte 3)
Fique conectado e fique seguro! Felicidades ✌