Skip to content
reverseshell

Nettoyer un lab reverse shell : la partie que tout le monde saute avant d'avoir des preuves sales

Un test reverse shell autorisé doit laisser des notes propres, des listeners arrêtés, des artefacts connus et des logs exploitables.

Publié le 2 min de lecture
labcleanuppentest

Le nettoyage n'a rien de spectaculaire, donc il passe souvent à la trappe. Puis une semaine plus tard, personne ne sait quel listener tournait, quelle variante de payload a fonctionné, quel hôte s'est connecté, ni si un processus étrange vient du test ou d'un incident réel.

Un test reverse shell autorisé demande de l'hygiène. Pas parce que la commande est complexe. Parce que les preuves deviennent vite confuses.

Noter le minimum utile

Pour chaque test, gardez la cible, l'heure, l'adresse du listener, le port, la famille de payload, le chemin d'exécution et le résultat. Pas besoin d'écrire un roman. Il faut juste assez de matière pour reproduire le comportement et l'expliquer à quelqu'un qui n'était pas devant votre terminal.

Une note simple suffit :

2026-05-27 14:12 UTC
target: lab-web-02
listener: 10.10.14.3:4444
payload: bash tcp
path: vulnerable upload worker
result: callback received, www-data, no PTY

Cette note devient précieuse quand les logs arrivent.

Arrêter les listeners volontairement

Laisser des listeners tourner est une mauvaise habitude. Cela crée du bruit pendant les tests suivants et peut accepter des connexions que vous n'attendiez pas. Arrêtez-les quand le test est terminé. Si vous utilisez tmux ou un multiplexeur, nommez les fenêtres clairement au lieu de garder dix panneaux zsh.

Vérifiez les restes :

ss -lntp

Sur un lab partagé, c'est encore plus important. Le listener oublié d'un opérateur devient le mystère d'un autre.

Savoir quels artefacts ont été créés

Certains tests laissent des fichiers temporaires, de l'historique shell, des logs de processus, des requêtes DNS, des scripts, des tentatives d'authentification ou des crash reports. Dans un lab contrôlé, nettoyez ce que les règles d'engagement autorisent et documentez ce qui reste.

Ne supprimez pas les preuves que l'équipe défense doit analyser. Ne laissez pas des artefacts parce que vous êtes pressé. La bonne réponse dépend de l'engagement, donc elle doit être discutée avant le test.

Intégrer le nettoyage dans l'outil

Un générateur peut aider en affichant une note de test copiable, la commande listener et une courte checklist de teardown à côté de la payload. Cette petite fonctionnalité vaut souvent mieux qu'un énième one-liner exotique.

La maturité opérationnelle, c'est surtout de la répétition ennuyeuse bien faite.

Articles liés

Utiliser un générateur de reverse shell sans salir son lab
Un workflow concret pour générer des reverse shells en environnement autorisé, préparer le listener et diagnostiquer les échecs.
reverse-shelllabpentest