张世林学习日记

mxsillusion

mxsillusion

mxsillusion

Arpspoof学习

首先要获取主机ip地址（局域网ipv4地址）和默认网关
拦截目标主机向网关发送的数据
Echo 1>> /proc/sys/net/ipv4/ip_forward停止信息输出
虚拟机发送arp数据包欺骗目标系统
Arpspoof -i eth0(网卡名) -t 目标ip 目标网关
成功后显示虚拟机和目标主机的MAC地址
欺骗网关
Arpspoof -i eth0(网卡名) -t 目标网关 目标ip
成功后可通过wireeshark监控数据
Ctrl+c结束arp欺骗

mxsillusion

ettercap 图片监控
在局域网中对其他设备进行监控
目标机：192.168.198.128
默认网关：192.168.198.2
ettercap -G先启动ettercap，设置网卡
确认
查看主机列表
右击网卡及目标主机ip添加到target1和target2
点击圆球标志，再选择ARP poisoning，再把Sniff remote connection勾选上并点确定
目标机浏览图片
打开终端输入
driftnet -i eth0
没有root无权访问
并且网络延迟较大，图中显示的是我上一张浏览的图片。（上次的显示不出来，把图片删了发过一遍）

mxsillusion

抓取到数据之后，为了方便分析，需要进行筛选

Tcpdump
   常用指令
    -a：尝试将网络和广播地址转换成名称；
    -c<数据包数目>：收到指定的数据包数目后，就停止进行倾倒操作；
    -d：把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出；
    -dd：把编译过的数据包编码转换成C语言的格式，并倾倒到标准输出；
    -ddd：把编译过的数据包编码转换成十进制数字的格式，并倾倒到标准输出；
    -e：在每列倾倒资料上显示连接层级的文件头；
    -f：用数字显示网际网络地址；
    -F<表达文件>：指定内含表达方式的文件；
-i<网络界面>：使用指定的网络截面送出数据包；  
    -l：使用标准输出列的缓冲区；
    -n：不把主机的网络地址转换成名字；
    -N：不列出域名；
    -O：不将数据包编码最佳化；
    -p：不让网络界面进入混杂模式；
    -q ：快速输出，仅列出少数的传输协议信息；
    -r<数据包文件>：从指定的文件读取数据包数据；
    -s<数据包大小>：设置每个数据包的大小；0是包有多大抓多大
    -S：用绝对而非相对数值列出TCP关联数；
    -t：在每列倾倒资料上不显示时间戳记；
    -tt： 在每列倾倒资料上显示未经格式化的时间戳记；
    -T<数据包类型>：强制将表达方式所指定的数据包转译成设置的数据包类型；
    -v：详细显示指令执行过程；
    -vv：更详细显示指令执行过程；
    -x：用十六进制字码列出数据包资料；
-w<数据包文件>：把数据包数据写入指定的文件。

f：表示网卡接口名、
proc：表示进程名
pid：表示进程 id
svc：表示 service class
dir：表示方向，in 和 out
eproc：表示 effective process name
epid：表示 effective process ID


tcpdump -i eth0 -s 0 -w file.pcap 抓取所有eth0的数据包写入file.pcap
tcpdump -r file.pcap 读取
tcpdump -r -A file.pcap ASCII码显示
tcpdump -r -X file.pcap 十六进制显示
tcpdump -i eth0 tcp part 22 指定抓取端口和协议并实时显示
tcpdump -n -r http.cap | awk'{print $3}' | sort -u 读取http.cap不做dns解析筛选第三列剔除重复项最终得到IP地址和端口
tcpdump -n src host 145.254.160.237 -r http.cap 只显示这个原IP
tcpdump -n dst host 145.254.160.237 -r http.cap 只显示这个目标IP
tcpdump -n port 53 -r http.cap 只显示这个端口
tcpdump -nX port 80 -r http.cap 这个端口十六进制显示


过滤指令的形式基本为
Tcpdump +参数名+参数值
例如Tcpdump host 127.0.0.1筛选ip
在参数前可以进一步添加过滤器限制  如
# 根据源ip1进行过滤
$ tcpdump -i eth2 src （ip1）
# 根据目标ip2进行过滤
$ tcpdump -i eth2 dst （ip2）

对网段，端口进行过滤
$ tcpdump net 127.1
$ tcpdump port 8088 or 80
$ tcpdump portrange 8000-8080
$ tcpdump src portrange 8000-8080
$ tcpdump dst portrange 8000-8080

基于协议进行过滤：
常见的网络协议有：tcp, udp, icmp, http, ip,ipv6 等
$ tcpdump icmp

组合符合逻辑运算
and：所有的条件都需要满足，也可以表示为 &&
or：只要有一个条件满足就可以，也可以表示为 ||
not：取反，也可以使用 !

长度筛选
roto [ expr:size ]
proto：可以是熟知的协议之一（如ip，arp，tcp，udp，icmp，ipv6）
expr：可以是数值，也可以是一个表达式，表示与指定的协议头开始处的字节偏移量。
size：是可选的，表示从字节偏移量开始取的字节数量。

大小过滤，如
$ tcpdump less
$ tcpdump greater
$ tcpdump <=

找出发包数最多的 IP
找出一段时间内发包最多的 IP，或者从一堆报文中找出发包最多的 IP，可以使用下面的命令：
$ tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20
1
cut -f 1,2,3,4 -d ‘.’ : 以 . 为分隔符，打印出每行的前四列。即 IP 地址。
sort | uniq -c : 排序并计数
sort -nr : 按照数值大小逆向排

结合wireshark可视化分析
$tcpdump xx | /Applications/Wireshark.app/Contents/MacOS/Wireshark -k -i -

mxsillusion

了解网络协议欺骗，除了之前涉及的arp和tcp，还讲了ip，dns欺骗

mxsillusion

对于加密压缩包的解密，一般运气好的话，在下载的地方给出了密码备注，或者在文件注释里，甚至是在压缩包中打开就能发现含有密码的文件名。

   但大多数情况下是没有任何提示，使用暴力破解取得密码理论上能够破解所有密码，但实际情况没有这么多时间。

   正常思路应该是先分析是否为伪加密，通过winhex对压缩包进行解析：

分析16进制代码每一部分的含义https://blog.csdn.net/qq_26187985/article/details/83654197

参考：

一个 ZIP 文件由三个部分组成：
        

        压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志

    1、压缩源文件数据区

    在这个数据区中每一个压缩的源文件/目录都是一条记录，记录的格式如下：
      

       [文件头+ 文件数据 + 数据描述符]

       a、文件头结构

         组成    　                长度
      文件头标记                  4 bytes  (0x04034b50)
      解压文件所需 pkware 版本    2 bytes
      全局方式位标记              2 bytes
  　　压缩方式                    2 bytes
  　　最后修改文件时间             2 bytes
　　 最后修改文件日期             2 bytes
　　 CRC-32校验                  4 bytes
　 　压缩后尺寸                  4 bytes
　 　未压缩尺寸                  4 bytes
　　 文件名长度                  2 bytes

      扩展记录长度                2 bytes
　　 文件名                     （不定长度）
　　 扩展字段                   （不定长度）

      

      

        b、文件数据

      

        c、数据描述符

　　　组成    　长度
  　　CRC-32校验                  4 bytes
  　　压缩后尺寸                   4 bytes
　 　未压缩尺寸                   4 bytes

      这个数据描述符只在全局方式位标记的第３位设为１时才存在（见后详解），紧接在压缩数据的最后一个字节后。这个数据描述符只用在不能对输出的 ZIP 文件进行检索时使用。例如：在一个不能检索的驱动器（如：磁带机上）上的 ZIP 文件中。如果是磁盘上的ZIP文件一般没有这个数据描述符。

     2、压缩源文件目录区

     在这个数据区中每一条纪录对应在压缩源文件数据区中的一条数据

   　　　组成               　            长度
    　　目录中文件文件头标记             4 bytes  (0x02014b50)
    　　压缩使用的　pkware 版本          2 bytes
    　　解压文件所需 pkware 版本         2 bytes
    　　全局方式位标记                   2 bytes
    　　压缩方式                        2 bytes
    　　最后修改文件时间                 2 bytes
    　　最后修改文件日期                 2 bytes
    　　ＣＲＣ－３２校验                 4 bytes
    　　压缩后尺寸                      4 bytes
    　　未压缩尺寸                      4 bytes
    　　文件名长度                      2 bytes
    　　扩展字段长度                    2 bytes
    　　文件注释长度                    2 bytes
    　　磁盘开始号                      2 bytes
    　　内部文件属性                    2 bytes
    　　外部文件属性                    4 bytes
        局部头部偏移量                  4 bytes
    　　文件名                       （不定长度）
    　　扩展字段                     （不定长度）
        文件注释                     （不定长度）

    3、压缩源文件目录结束标志

    　　　组成               　          长度
        目录结束标记                    4 bytes  (0x02014b50)
        当前磁盘编号                    2 bytes
        目录区开始磁盘编号              2 bytes
    　　本磁盘上纪录总数                 2 bytes
    　　目录区中纪录总数                 2 bytes
    　　目录区尺寸大小                   4 bytes
    　　目录区对第一张磁盘的偏移量        4 bytes
    　　ZIP 文件注释长度                 2 bytes

    　　ZIP 文件注释                   （不定长度）

伪加密特征:

压缩源文件数据区的全局加密应当为00 00
且压缩源文件目录区的全局方式位标记应当为09 00

搜索标记编码504b，第一个504b后几位有0900，第二个后几位有0000，基本可以确定压缩包是伪加密，把09改为00，也可以使用破解伪加密的工具——ZipCenOp
命令java -jar ZipCenOp伪加密破解.jar r （压缩包名）.zip

综合学习https://www.cnblogs.com/anweilx/p/12434649.html