Реверс-шелл

[Bidiyamakura]

Здравствуйте. Хочу пойти на ход ноги в пользу реверс шелов.(привет сисадмины)Вопрос. Как обстоятельства с этим дела? Ну типо сейчас сложно вообще подключаться к жертве? Точнее насколько сложнее чем года 2 назад? Читал статьи,код только они очень давнейшие а свежей информацией не обзавёлся. Всем спасибо

 

[zdestuta]

Всё (ну или почти всё) уже украдено до нас рассказано в статье "Placing backdoors through firewalls" то ли 1992 то ли 1993 года от группы THC (The Hacker's Choice).
У некоторых жертв файрволы, некоторые могут быть за NAT, а некоторые даже за двойным NAT, не все имеют IPv6 (которому похер на NAT, он упраздняет само понятие NAT), etc.
Да и издревле повелось, что соединения на слушающий порт (и наличие "какого-то непонятного" слушающего порта даже) действуют на админов да и просто продвинутых пользаков как красная тряпка на крупный рогатый скот

Реверс шелл (да даже просто любое outbound) имеет неоспоримые преимущества:

• теряется на фоне десятков других соединений наружу, которые не редкость в любых системах
• редко блокается файрволом, особенно если соединение похоже на легитимное
• даже для обычного пользака и даже чисто психологически "соединяются в меня!" vs "я соединяюсь куда-то" это две большие разницы
• плюс не все в курсе, что в TCP/IP не важно кто установил коннект - передача то дуплексная и инициировать диалог может любая сторона
• TCP/IP дело не ограничивается, вот в чём прикол-то! есть же UDP/IP и одна из его разновидностей - DNS (туннель), без "соединения" как такового, а данные передавать как здрасьте, правда контроль флоу только увы на тебе уже ;-)
• резюмируем: эксфильтрация посредством outbound практически всегда обречена на успех, вопрос усилий и стараний

Минус (и почему-то show stopper для новичков) только один: исходящие соединения от жертвы - их надо куда-то "приземлять", причём разумеется не на неткат на своём IP

Кстати о netcat - все же в курсе, что он не только по TCP, но и по UDP то же самое может? ;-)

И вот как много "одминов" вы знаете, которые не только TCP, но и UDP (и RAW IP ещё до кучи, ну там ICMP всякие или даже вообще протоколы-самоделки) мониторят внимательно у себя?