常见的反弹shell的方法以及对反弹shell的解释

---

一.什么是反弹shell，以及对反弹shell作用原理的解析：

1.定义

通俗来说，shell就是实现用户命令的接口，通过该接口我们能实现对计算机的控制(root权限)，
而反弹shell就是将shell反弹给攻击者，从而达到让攻击者可以在自己的机器上执行shell命令，
从而操控受害者的计算机。

标准说法：
reverse shell，就是控制端监听在某TCP/UDP端口，被控端发起请求到该端口，并将其命令行的输入输出转到控制端。reverse shell与telnet，ssh等标准shell对应，本质上是网络概念的客户端与服务端的角色反转。

2.为什么要反弹shell

通常用于被控端因防火墙受限、权限不足、端口被占用等情形

假设我们攻击了一台机器，打开了该机器的一个端口，攻击者在自己的机器去连接目标机器（目标ip：目标机器端口），这是比较常规的形式，我们叫做正向连接。远程桌面，web服务，ssh，telnet等等，都是正向连接。那么什么情况下正向连接不太好用了呢？

1.某客户机中了你的网马，但是它在局域网内，你直接连接不了。

2.它的ip会动态改变，你不能持续控制。

3.由于防火墙等限制，对方机器只能发送请求，不能接收请求。

4.对于病毒，木马，受害者什么时候能中招，对方的网络环境是什么样的，什么时候开关机，都是未知，所以建立一个服务端，让恶意程序主动连接，才是上策。

那么反弹就很好理解了， 攻击者指定服务端，受害者主机主动连接攻击者的服务端程序，就叫反弹连接。

3.反弹shell的本质

参考这篇文章：
https://xz.aliyun.com/t/2549 先知社区：Linux 反弹shell（二）反弹shell的本质
最好也看看第一篇文章，可以对反弹shell有一个深刻的理解。

首先对反弹shell执行的前提来说明一下：

第一步：要有一个可以被监听的端口，通常使用nc命令。
eg：nc -lvp 6767

解析：-l 监听，-v 输出交互或出错信息，-p 端口。nc是netcat的简写，可实现任意TCP/UDP端口的侦听，nc可以作为server以TCP或UDP方式侦听指定端口。

第二步：要产生一个交互式的shell，使用bash -i

解析：bash 是linux 的一个比较常见的shell,其实linux的shell还有很多，比如 sh、zsh、等，他们之间有着细小差别， -i 这个参数表示的是产生交互式的shell

第三步：我们为什么要监听一个端口，就是因为存在一个特殊设备文件(/dev/tcp/ip/root)，如果你在任何一方监听端口的情况下对这个文件进行读写，就能实现与监听端口的服务器(即攻击者(攻击者作为服务器，而受害者作为客户端，反弹shell就是让受害者主动与服务端-攻击者建立通信))的socket通信。

特殊设备文件（Linux一切皆文件），实际这个文件是不存在的，它只是 bash 实现的用来实现网络请求的一个接口。打开这个文件就相当于发出了一个socket调用并建立一个socket连接，读写这个文件就相当于在这个socket连接中传输数据。

/dev/tcp|udp/ip/port 这个文件是特别特殊的，实际上可以将其看成一个设备（Linux下一切皆文件），其实如果你访问这个文件的位置他是不存在的，如下图：

标准输入standard input 0 （默认设备键盘）
标准输出standard output 1（默认设备显示器）
错误输出：error output 2（默认设备显示器）

linux文件描述符

可以理解为linux跟踪打开文件，而分配的一个数字，这个数字有点类似c语言操作文件时候的句柄，通过句柄就可以实现文件的读写操作。

当Linux启动的时候会默认打开三个文件描述符(0,1,2)

注意：
（1）以后再打开文件，描述符可以依次增加
（2）一条shell命令，都会继承其父进程的文件描述符，因此所有的shell命令，都会默认有三个文件描述符。

文件所有输入输出都是由该进程所有打开的文件描述符控制的。（Linux一切皆文件，就连键盘显示器设备都是文件，因此他们的输入输出也是由文件描述符控制）

一条命令执行以前先会按照默认的情况进行绑定（也就是上面所说的 0,1,2），如果我们有时候需要让输出不显示在显示器上，而是输出到文件或者其他设