teurcrypt 加密信息

通过hash值查看文件是否被修改

导出之前先把类别导出来

记录收集工具

渗透测试 主要的地方 在与信息的收集  通过收集信息威胁建模 寻找最有效的攻击方法

tcp ip 还有二层包头 还有包头信息通常可以抓完整的

默认情况下只抓数据包的前68个字节

通常情况下 内容有ip地址

源地址 目的地址

tcpdump -i+0（接口） -s（大小） 0（有多大就要多大）  -w（保存） a. cap（文件名）

tcpdump -r a.cap  查看这个包

12>11 12向11发送icmp包

tcpdump -A -r a.cap 以acess吗打开 -x 以16进制

sort -u清除重复的地方

每一行表示4个字节 一个32位

tcp三次握手建立 之后 数据开始传输 为是ack+push标志物为一 代表着数据的传输的完成

基于这个特信可以筛选包中任何一处条件

tx是发送数据包的
rx 是接收数据包的

两个不同的mac发出都是一个ip的信息 arp欺骗

思路

关注可能存在问题的点 从统计信息下手 了解那个机器发送的包最多 在去发现那个机器流量最大

在就是抓包的结果分析吧可能存在问题的结果筛选出来 逐个分析包的内容 有方向的了解 

dhclient强制的通过dhcp获取ip地址

对于打的流量包进行分析 流量监视

全流量的抓包

镜像端口 把物理口虚拟口全部复制 同时复制到另外一个端口

流量特别大的时候 增加多个网卡

全流量抓包 分析其中的安全风险

tcp面向连接的

udp面向无连接的 不需要确认

dns 4a记录

http 是四层tcp协议  三层ip包头  应用层协议 面向连接

响应不同的数值表示不同的含义

wireshark 通过端口来识别协议

http smtp pop3  明文协议 ssl密文
ssl 通信加密的过程中 最开始的时候也要进行公钥传输以及秘钥交换 在用会话证书里面公钥对回话秘钥进行加密在传给服务器 完成加密秘钥交换 后期加密

arp

前面hi统计信息 frame、除啦tcp之外 四层协议还有200多种 不能是每一种数字代表一种协议 但还是大量的协议 ip是三层 包头 三层往上 是四层

64位 首先作为被空端

man 是手册 通过man+命令 查看命令使用方法

wirshark  可以进行网络抓包嗅探 也可以将流量包保存下来 进行场景分析

wireshark 主要是分析 衡量一个抓包软件好坏 就是看解码能力

建立啦nc之后 被控的可以是服务器端 也可以是客户端 双向

服务器端 一端有人连接到服务器 既通过nc将服务器端的bash shell 发送给客户端

init 重启 

留后门的思路 一般来说 防火墙会禁止从开启其他端口 容许外界连接  而可以通过反向的方法 绕开防火墙 实现远超出控制 

# cat 1.mp4 | nc -lp 333 服务器端
客户端 nc -nv ip+port | mplay -vo x11 -cache 3000 -

nc -nvz 1-63555 端口查询 默认是tcp

nc -nvzu 1-63555  udp  

电子取证 

将磁盘的每一位 每一个扇区完完全全的复制到新的磁盘

dd 实现块基本复制

b作为被取证的电脑

文件传输服务器

接收 nc -lp>333>"接收文件"

发送 nc -nv +"ip地址"< "输出的文件"

反向 

发送 nc -lp>333<"发送文件" - p 1 放在端口 等被人接收

发送 nc -nv +"ip地址"+‘端口’>"接收文件"

tar

 d打包  tar - cvf

解包 tar -xvf

nc-h 查看可用的参数

nc -n v +"ip地址 " +"端口"不要域名解析

聊天 需要其中一个服务器打开一个窗口（也就是侦听一个端口）

nc 作为服务端  打开本地电脑侦听服务端口 基于另外一端 实现连接

电子取证尽可能少的 修改服务器 文件内容 不增加 不删除 增加可能增加扇区内容 覆盖删除文件

管道|  命令1|命令2 把前面命令的结果作为后面命令输出

nc 客户端服务器端 都可以

truecrypt 加密工具

过程文档记录：

Dradis

keepnote

truectrypt

tcpdump：

默认只抓68个字节

tcpdump -i eth0   网卡

               -s 0  抓取任意大小的包

               -w file.pcap 保存到文件

               -r   file.pcap 读取文件

               -A -r 以ASCII码形式读（X 16进制形式）

               - i eth0 tcp port 22  22端口，TCP协议的包

sniffer

cace / riverbed

小身材 大智慧
侦听
telnet
传输文件、文本、目录      聊天、远程电子取证
加密传输、所有流量
远程控制/木马
所有杀软都不会查杀
流媒体服务器
远程克隆硬盘
客户端、服务器端

聊天实现
服务端  nc -l -p  portnumber
客户端  nc -nv  ip  portnumber

远程电子取证
服务端  nc -l -p  portnumber
客户端     命令   | nc -nv  ip  portnumber    输出信息只在服务端显示

服务端  nc -l -p  portnumber > filename
客户端  命令   | nc -nv  ip  portnumber -q 1     输出信息重定向到服务端的filename里面，-q 表示 执行完1秒后退出

小身材 大智慧
侦听
telnet
传输文件、文本、目录      聊天、远程电子取证
加密传输、所有流量
远程控制/木马
所有杀软都不会查杀
流媒体服务器
远程克隆硬盘
客户端、服务器端

聊天实现
服务端  nc -l -p  portnumber
客户端  nc -nv  ip  portnumber

远程电子取证
服务端  nc -l -p  portnumber
客户端     命令   | nc -nv  ip  portnumber    输出信息只在服务端显示

服务端  nc -l -p  portnumber > filename
客户端  命令   | nc -nv  ip  portnumber -q 1     输出信息重定向到服务端的filename里面，-q 表示 执行完1秒后退出

文件传输：

A:nc -lp 333 > xx文件

B:nc -nv （A的IP地址） 333 > 文件 -q 1 //文件传输后1S断开连接

传输目录：

A:tar -cvf - 目录 | nc -lp 端口号 -q 1

b:nc -nv a的ip 端口 | tar -xvf (通过打包传输然后解压)

打包文件：tar -cvf - 目录/

通道：nc -lp 端口 -q 1 

163邮箱服务器地址如下:
POP3服务器:pop.163.com
SMTP服务器:smtp.163.com
IMAP服务器:imap.163.com

SMTP服务器需要身份验证。

nc -vn ip 地址 查询，例如我查询QQ邮箱的banner信息

ping pop.qq.com 查询QQ邮箱服务器IP地址

nc -vn 查询到的IP地址 110 （查询邮箱端口110端口是为POP3（邮件协议3）服务开放的）

例如想登陆查询下就

USER 接 字符串（这里的用户需要用base64 转义，形成的字符串）

smtp端口25

用nc聊天，就是通过传输文本信息

A:nc -l -p 端口  //侦听一个端口，B作为客户端连接端口

B:nc -nv ip 端口 

审计过程中远程中利用nc收集信息方法

远端电脑 nc -l -p 端口 > 文本名字

服务端：例如ps aux | nc -nv Aip地址 端口 -q 1

然后A里面有个文本可以查看B里面使用的命令。