如果目标机没有nc的情况下，如何让目标机开放端口并返回cmd，然后攻击机去连接目标机呢

在没有nc (netcat)的情况下，可以利用其他远程命令执行工具如Python的`paramiko`库来进行SSH或telnet通信，或者直接利用操作系统的一些基本功能。以下是步骤概述：

1. **利用Python `paramiko`库**:
- 攻击者编写一个Python脚本，创建一个SSH或telnet客户端。首先，你需要知道目标机的IP地址、用户名和密码（如果需要）。例如，使用`paramiko`库，你可以尝试这样的代码片段：

     import paramiko
     ssh = paramiko.SSHClient()
     ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
     ssh.connect('目标IP', username='用户名', password='密码')
     # 连接建立后，可以在目标机上运行shell命令，比如获取cmd shell
     stdin, stdout, stderr = ssh.exec_command('bash -i')

2. **利用服务端命令** (如Linux的`socat`):
- 放置一个监听端口的服务程序在攻击机上，通过该服务将连接转发到目标机的指定端口，通常用于测试环境：

     socat TCP-LISTEN:9000,fork EXEC:'ssh -p 目标端口 -t 用户名@目标IP "bash"'

现在，当目标机开放指定端口时，攻击机可以通过`telnet`或`nc`连接9000端口，实际上连接的是目标机的cmd。

3. **Windows下的`psExec`或`PowerShell Remoting`**:
- 对于Windows系统，可以利用`psExec`（如Metasploit框架中的`windows/psexec`模块），或者启用PowerShell的远程访问功能（如WinRM）来执行远程命令。

在执行上述操作时，请注意遵守安全规定，并确保你的行为合法合规。同时，未经授权的访问可能导致法律问题。