安全矩阵

 找回密码
 立即注册
搜索
查看: 2995|回复: 6

张世林学习日记

[复制链接]

141

主题

153

帖子

517

积分

高级会员

Rank: 4

积分
517
发表于 2021-9-14 23:48:31 | 显示全部楼层 |阅读模式

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

141

主题

153

帖子

517

积分

高级会员

Rank: 4

积分
517
 楼主| 发表于 2021-9-15 23:39:57 | 显示全部楼层
回复

使用道具 举报

141

主题

153

帖子

517

积分

高级会员

Rank: 4

积分
517
 楼主| 发表于 2021-9-17 22:51:05 | 显示全部楼层
Arpspoof学习

首先要获取主机ip地址(局域网ipv4地址)和默认网关
拦截目标主机向网关发送的数据
Echo 1>> /proc/sys/net/ipv4/ip_forward停止信息输出
虚拟机发送arp数据包欺骗目标系统
Arpspoof -i eth0(网卡名) -t 目标ip 目标网关
成功后显示虚拟机和目标主机的MAC地址
欺骗网关
Arpspoof -i eth0(网卡名) -t 目标网关 目标ip
成功后可通过wireeshark监控数据
Ctrl+c结束arp欺骗
回复

使用道具 举报

141

主题

153

帖子

517

积分

高级会员

Rank: 4

积分
517
 楼主| 发表于 2021-9-17 22:55:07 | 显示全部楼层
ettercap 图片监控
在局域网中对其他设备进行监控
目标机:192.168.198.128
默认网关:192.168.198.2
ettercap -G先启动ettercap,设置网卡
确认
查看主机列表
右击网卡及目标主机ip添加到target1和target2
点击圆球标志,再选择ARP poisoning,再把Sniff remote connection勾选上并点确定
目标机浏览图片
打开终端输入
driftnet -i eth0
没有root无权访问
并且网络延迟较大,图中显示的是我上一张浏览的图片。(上次的显示不出来,把图片删了发过一遍)
回复

使用道具 举报

141

主题

153

帖子

517

积分

高级会员

Rank: 4

积分
517
 楼主| 发表于 2021-9-18 22:16:59 | 显示全部楼层
抓取到数据之后,为了方便分析,需要进行筛选

Tcpdump
   常用指令
    -a:尝试将网络和广播地址转换成名称;
    -c<数据包数目>:收到指定的数据包数目后,就停止进行倾倒操作;
    -d:把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出;
    -dd:把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出;
    -ddd:把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出;
    -e:在每列倾倒资料上显示连接层级的文件头;
    -f:用数字显示网际网络地址;
    -F<表达文件>:指定内含表达方式的文件;
-i<网络界面>:使用指定的网络截面送出数据包;  
    -l:使用标准输出列的缓冲区;
    -n:不把主机的网络地址转换成名字;
    -N:不列出域名;
    -O:不将数据包编码最佳化;
    -p:不让网络界面进入混杂模式;
    -q :快速输出,仅列出少数的传输协议信息;
    -r<数据包文件>:从指定的文件读取数据包数据;
    -s<数据包大小>:设置每个数据包的大小;0是包有多大抓多大
    -S:用绝对而非相对数值列出TCP关联数;
    -t:在每列倾倒资料上不显示时间戳记;
    -tt: 在每列倾倒资料上显示未经格式化的时间戳记;
    -T<数据包类型>:强制将表达方式所指定的数据包转译成设置的数据包类型;
    -v:详细显示指令执行过程;
    -vv:更详细显示指令执行过程;
    -x:用十六进制字码列出数据包资料;
-w<数据包文件>:把数据包数据写入指定的文件。

f:表示网卡接口名、
proc:表示进程名
pid:表示进程 id
svc:表示 service class
dir:表示方向,in 和 out
eproc:表示 effective process name
epid:表示 effective process ID


tcpdump -i eth0 -s 0 -w file.pcap 抓取所有eth0的数据包写入file.pcap
tcpdump -r file.pcap 读取
tcpdump -r -A file.pcap ASCII码显示
tcpdump -r -X file.pcap 十六进制显示
tcpdump -i eth0 tcp part 22 指定抓取端口和协议并实时显示
tcpdump -n -r http.cap | awk'{print $3}' | sort -u 读取http.cap不做dns解析筛选第三列剔除重复项最终得到IP地址和端口
tcpdump -n src host 145.254.160.237 -r http.cap 只显示这个原IP
tcpdump -n dst host 145.254.160.237 -r http.cap 只显示这个目标IP
tcpdump -n port 53 -r http.cap 只显示这个端口
tcpdump -nX port 80 -r http.cap 这个端口十六进制显示


过滤指令的形式基本为
Tcpdump +参数名+参数值
例如Tcpdump host 127.0.0.1筛选ip
在参数前可以进一步添加过滤器限制  如
# 根据源ip1进行过滤
$ tcpdump -i eth2 src (ip1)
# 根据目标ip2进行过滤
$ tcpdump -i eth2 dst (ip2)

对网段,端口进行过滤
$ tcpdump net 127.1
$ tcpdump port 8088 or 80
$ tcpdump portrange 8000-8080
$ tcpdump src portrange 8000-8080
$ tcpdump dst portrange 8000-8080

基于协议进行过滤:
常见的网络协议有:tcp, udp, icmp, http, ip,ipv6 等
$ tcpdump icmp

组合符合逻辑运算
and:所有的条件都需要满足,也可以表示为 &&
or:只要有一个条件满足就可以,也可以表示为 ||
not:取反,也可以使用 !

长度筛选
roto [ expr:size ]
proto:可以是熟知的协议之一(如ip,arp,tcp,udp,icmp,ipv6)
expr:可以是数值,也可以是一个表达式,表示与指定的协议头开始处的字节偏移量。
size:是可选的,表示从字节偏移量开始取的字节数量。

大小过滤,如
$ tcpdump less
$ tcpdump greater
$ tcpdump <=

找出发包数最多的 IP
找出一段时间内发包最多的 IP,或者从一堆报文中找出发包最多的 IP,可以使用下面的命令:
$ tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20
1
cut -f 1,2,3,4 -d ‘.’ : 以 . 为分隔符,打印出每行的前四列。即 IP 地址。
sort | uniq -c : 排序并计数
sort -nr : 按照数值大小逆向排

结合wireshark可视化分析
$tcpdump xx | /Applications/Wireshark.app/Contents/MacOS/Wireshark -k -i -
回复

使用道具 举报

141

主题

153

帖子

517

积分

高级会员

Rank: 4

积分
517
 楼主| 发表于 2021-9-22 22:43:31 | 显示全部楼层
了解网络协议欺骗,除了之前涉及的arp和tcp,还讲了ip,dns欺骗

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

141

主题

153

帖子

517

积分

高级会员

Rank: 4

积分
517
 楼主| 发表于 2022-1-24 12:26:22 | 显示全部楼层
对于加密压缩包的解密,一般运气好的话,在下载的地方给出了密码备注,或者在文件注释里,甚至是在压缩包中打开就能发现含有密码的文件名。
   但大多数情况下是没有任何提示,使用暴力破解取得密码理论上能够破解所有密码,但实际情况没有这么多时间。
   正常思路应该是先分析是否为伪加密,通过winhex对压缩包进行解析:
分析16进制代码每一部分的含义https://blog.csdn.net/qq_26187985/article/details/83654197
参考:
一个 ZIP 文件由三个部分组成:
        
        压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志
    1、压缩源文件数据区
    在这个数据区中每一个压缩的源文件/目录都是一条记录,记录的格式如下:
      
       [文件头+ 文件数据 + 数据描述符]

       a、文件头结构
         组成                     长度
      文件头标记                  4 bytes  (0x04034b50)
      解压文件所需 pkware 版本    2 bytes
      全局方式位标记              2 bytes
    压缩方式                    2 bytes
    最后修改文件时间             2 bytes
   最后修改文件日期             2 bytes
   CRC-32校验                  4 bytes
   压缩后尺寸                  4 bytes
   未压缩尺寸                  4 bytes
   文件名长度                  2 bytes
      扩展记录长度                2 bytes
   文件名                     (不定长度)
   扩展字段                   (不定长度)
      
      
        b、文件数据
      
        c、数据描述符
   组成     长度
    CRC-32校验                  4 bytes
    压缩后尺寸                   4 bytes
   未压缩尺寸                   4 bytes
      这个数据描述符只在全局方式位标记的第3位设为1时才存在(见后详解),紧接在压缩数据的最后一个字节后。这个数据描述符只用在不能对输出的 ZIP 文件进行检索时使用。例如:在一个不能检索的驱动器(如:磁带机上)上的 ZIP 文件中。如果是磁盘上的ZIP文件一般没有这个数据描述符。
     2、压缩源文件目录区
     在这个数据区中每一条纪录对应在压缩源文件数据区中的一条数据
      组成                            长度
      目录中文件文件头标记             4 bytes  (0x02014b50)
      压缩使用的 pkware 版本          2 bytes
      解压文件所需 pkware 版本         2 bytes
      全局方式位标记                   2 bytes
      压缩方式                        2 bytes
      最后修改文件时间                 2 bytes
      最后修改文件日期                 2 bytes
      CRC-32校验                 4 bytes
      压缩后尺寸                      4 bytes
      未压缩尺寸                      4 bytes
      文件名长度                      2 bytes
      扩展字段长度                    2 bytes
      文件注释长度                    2 bytes
      磁盘开始号                      2 bytes
      内部文件属性                    2 bytes
      外部文件属性                    4 bytes
        局部头部偏移量                  4 bytes
      文件名                       (不定长度)
      扩展字段                     (不定长度)
        文件注释                     (不定长度)
    3、压缩源文件目录结束标志
       组成                          长度
        目录结束标记                    4 bytes  (0x02014b50)
        当前磁盘编号                    2 bytes
        目录区开始磁盘编号              2 bytes
      本磁盘上纪录总数                 2 bytes
      目录区中纪录总数                 2 bytes
      目录区尺寸大小                   4 bytes
      目录区对第一张磁盘的偏移量        4 bytes
      ZIP 文件注释长度                 2 bytes
      ZIP 文件注释                   (不定长度)
伪加密特征:
压缩源文件数据区的全局加密应当为00 00
且压缩源文件目录区的全局方式位标记应当为09 00
搜索标记编码504b,第一个504b后几位有0900,第二个后几位有0000,基本可以确定压缩包是伪加密,把09改为00,也可以使用破解伪加密的工具——ZipCenOp
命令java -jar ZipCenOp伪加密破解.jar r (压缩包名).zip

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 20:25 , Processed in 0.082613 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表