teurcrypt 加密信息
通过hash值查看文件是否被修改
teurcrypt 加密信息
通过hash值查看文件是否被修改
导出之前先把类别导出来
记录收集工具
渗透测试 主要的地方 在与信息的收集 通过收集信息威胁建模 寻找最有效的攻击方法
tcp ip 还有二层包头 还有包头信息通常可以抓完整的
默认情况下只抓数据包的前68个字节
通常情况下 内容有ip地址
源地址 目的地址
tcpdump -i+0(接口) -s(大小) 0(有多大就要多大) -w(保存) a. cap(文件名)
tcpdump -r a.cap 查看这个包
12>11 12向11发送icmp包
tcpdump -A -r a.cap 以acess吗打开 -x 以16进制
sort -u清除重复的地方
每一行表示4个字节 一个32位
tcp三次握手建立 之后 数据开始传输 为是ack+push标志物为一 代表着数据的传输的完成
基于这个特信可以筛选包中任何一处条件
tx是发送数据包的
rx 是接收数据包的
两个不同的mac发出都是一个ip的信息 arp欺骗
思路
关注可能存在问题的点 从统计信息下手 了解那个机器发送的包最多 在去发现那个机器流量最大
在就是抓包的结果分析吧可能存在问题的结果筛选出来 逐个分析包的内容 有方向的了解
dhclient强制的通过dhcp获取ip地址
对于打的流量包进行分析 流量监视
全流量的抓包
镜像端口 把物理口虚拟口全部复制 同时复制到另外一个端口
流量特别大的时候 增加多个网卡
全流量抓包 分析其中的安全风险
tcp面向连接的
udp面向无连接的 不需要确认
dns 4a记录
http 是四层tcp协议 三层ip包头 应用层协议 面向连接
响应不同的数值表示不同的含义
wireshark 通过端口来识别协议
http smtp pop3 明文协议 ssl密文
ssl 通信加密的过程中 最开始的时候也要进行公钥传输以及秘钥交换 在用会话证书里面公钥对回话秘钥进行加密在传给服务器 完成加密秘钥交换 后期加密
arp
前面hi统计信息 frame、除啦tcp之外 四层协议还有200多种 不能是每一种数字代表一种协议 但还是大量的协议 ip是三层 包头 三层往上 是四层
64位 首先作为被空端
man 是手册 通过man+命令 查看命令使用方法
wirshark 可以进行网络抓包嗅探 也可以将流量包保存下来 进行场景分析
wireshark 主要是分析 衡量一个抓包软件好坏 就是看解码能力
建立啦nc之后 被控的可以是服务器端 也可以是客户端 双向
服务器端 一端有人连接到服务器 既通过nc将服务器端的bash shell 发送给客户端
init 重启
留后门的思路 一般来说 防火墙会禁止从开启其他端口 容许外界连接 而可以通过反向的方法 绕开防火墙 实现远超出控制
# cat 1.mp4 | nc -lp 333 服务器端
客户端 nc -nv ip+port | mplay -vo x11 -cache 3000 -
nc -nvz 1-63555 端口查询 默认是tcp
nc -nvzu 1-63555 udp
电子取证
将磁盘的每一位 每一个扇区完完全全的复制到新的磁盘
dd 实现块基本复制
b作为被取证的电脑
文件传输服务器
接收 nc -lp>333>"接收文件"
发送 nc -nv +"ip地址"< "输出的文件"
反向
发送 nc -lp>333<"发送文件" - p 1 放在端口 等被人接收
发送 nc -nv +"ip地址"+‘端口’>"接收文件"
tar
d打包 tar - cvf
解包 tar -xvf
nc-h 查看可用的参数
nc -n v +"ip地址 " +"端口"不要域名解析
聊天 需要其中一个服务器打开一个窗口(也就是侦听一个端口)
nc 作为服务端 打开本地电脑侦听服务端口 基于另外一端 实现连接
电子取证尽可能少的 修改服务器 文件内容 不增加 不删除 增加可能增加扇区内容 覆盖删除文件
管道| 命令1|命令2 把前面命令的结果作为后面命令输出
nc 客户端服务器端 都可以
truecrypt 加密工具
过程文档记录:
Dradis
keepnote
truectrypt
tcpdump:
默认只抓68个字节
tcpdump -i eth0 网卡
-s 0 抓取任意大小的包
-w file.pcap 保存到文件
-r file.pcap 读取文件
-A -r 以ASCII码形式读(X 16进制形式)
- i eth0 tcp port 22 22端口,TCP协议的包
sniffer
cace / riverbed
小身材 大智慧
侦听
telnet
传输文件、文本、目录 聊天、远程电子取证
加密传输、所有流量
远程控制/木马
所有杀软都不会查杀
流媒体服务器
远程克隆硬盘
客户端、服务器端
聊天实现
服务端 nc -l -p portnumber
客户端 nc -nv ip portnumber
远程电子取证
服务端 nc -l -p portnumber
客户端 命令 | nc -nv ip portnumber 输出信息只在服务端显示
服务端 nc -l -p portnumber > filename
客户端 命令 | nc -nv ip portnumber -q 1 输出信息重定向到服务端的filename里面,-q 表示 执行完1秒后退出
小身材 大智慧
侦听
telnet
传输文件、文本、目录 聊天、远程电子取证
加密传输、所有流量
远程控制/木马
所有杀软都不会查杀
流媒体服务器
远程克隆硬盘
客户端、服务器端
聊天实现
服务端 nc -l -p portnumber
客户端 nc -nv ip portnumber
远程电子取证
服务端 nc -l -p portnumber
客户端 命令 | nc -nv ip portnumber 输出信息只在服务端显示
服务端 nc -l -p portnumber > filename
客户端 命令 | nc -nv ip portnumber -q 1 输出信息重定向到服务端的filename里面,-q 表示 执行完1秒后退出
文件传输:
A:nc -lp 333 > xx文件
B:nc -nv (A的IP地址) 333 > 文件 -q 1 //文件传输后1S断开连接
传输目录:
A:tar -cvf - 目录 | nc -lp 端口号 -q 1
b:nc -nv a的ip 端口 | tar -xvf (通过打包传输然后解压)
打包文件:tar -cvf - 目录/
通道:nc -lp 端口 -q 1
163邮箱服务器地址如下:
POP3服务器:pop.163.com
SMTP服务器:smtp.163.com
IMAP服务器:imap.163.com
邮箱 | POP3服务器(端口995) | SMTP服务器(端口465或587) |
---|---|---|
qq.com | pop.qq.com | smtp.qq.com |
SMTP服务器需要身份验证。
nc -vn ip 地址 查询,例如我查询QQ邮箱的banner信息
ping pop.qq.com 查询QQ邮箱服务器IP地址
nc -vn 查询到的IP地址 110 (查询邮箱端口110端口是为POP3(邮件协议3)服务开放的)
例如想登陆查询下就
USER 接 字符串(这里的用户需要用base64 转义,形成的字符串)
smtp端口25
用nc聊天,就是通过传输文本信息
A:nc -l -p 端口 //侦听一个端口,B作为客户端连接端口
B:nc -nv ip 端口
审计过程中远程中利用nc收集信息方法
远端电脑 nc -l -p 端口 > 文本名字
服务端:例如ps aux | nc -nv Aip地址 端口 -q 1
然后A里面有个文本可以查看B里面使用的命令。