Kali

<!-- more --> 被动信息收集的原理1. 被动信息收集的特点 1. 间接与指标零碎交互通信 2. 无奈防止留下拜访的痕迹 3. 应用受控的第三方电脑进行探测，应用代理或曾经被管制的机器 4. 扫描发送不同的探测，依据返回后果判断指标状态2. 发现指标主机的过程1. 辨认存活主机，发现潜在的被攻打指标2. 输入一个IP地址列表，比方IP地址段、IP地址范畴3. 应用二、三、四层进行探测发现3. OSI七层模型和TCP/IP五层模型 七层模型，亦称OSI（Open System Interconnection）。参考模型是国际标准化组织（ISO）制订的一个用于计算机或通信零碎间互联的规范体系，个别称为OSI参考模型或七层模型。 它是一个七层的、形象的模型体，不仅包含一系列形象的术语或概念，也包含具体的协定。 上三层属于应用层（即时用户应用层）OSI七层模型及TCP/IP五层模型的对应网络设备关系： OSI七层模型及TCP/IP五层模型的对应网络协议关系： 这个比拟重要，比方咱们常常用的ping命令就是走的网络层，而代理软件代理是TCP等协定，走的是传输层，所以咱们的代理在CMD下是无奈代理ping命令的（然而在PowerShell里能够）二层发现1. 二层主机发现利用OSI的数据链路层的协定进行发现，个别应用的是ARP协定，能够绕开禁ping的服务器。ARP协定概述：ARP协定是"Address Resolution Protocol"（地址解析协定）的缩写。计算机通过ARP协定将IP地址转换成MAC地址。ARP协定工作原理主机A的IP地址为192.168.1.1，MAC地址为0A-11-22-33-44-01；主机B的IP地址为192.168.1.2，MAC地址为0A-11-22-33-44-02；当主机A要与主机B通信时，地址解析协定能够将主机B的IP地址（192.168.1.2）解析成主机B的MAC地址，以下为工作流程：第1步：依据主机A上的路由表内容，IP确定用于拜访主机B的转发IP地址是192.168.1.2。而后A主机在本人的本地ARP缓存中查看主机B的匹配MAC地址。第2步：如果主机A在ARP缓存中没有找到映射，它将询问192.168.1.2的硬件地址，从而将ARP申请帧播送到本地网络上的所有主机。源主机A的IP地址和MAC地址都包含在ARP申请中。本地网络上的每台主机都接管到ARP申请并且查看是否与本人的IP地址匹配。如果主机发现申请的IP地址与本人的IP地址不匹配，它将抛弃ARP申请。第3步：主机B确定ARP申请中的IP地址与本人的IP地址匹配，则将主机A的IP地址和MAC地址映射增加到本地ARP缓存中。第4步：主机B将蕴含其MAC地址的ARP回复音讯间接发送回主机A。第5步：当主机A收到从主机B发来的ARP回复音讯时，会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的，生存期完结后，将再次反复下面的过程。主机B的MAC地址一旦确定，主机A就能向主机B发送IP通信了。 2.命令详解arping协定层级：数据链路层 阐明：从源位址通过ping命令查看设施上的硬体位址。 语法：arping -D-A-w timeout[-s source] -I interface address 参数： -D复制位址监测资讯；-U用ARP REQUEST包更新网路街坊上的ARP缓存；-A与-U参数作用一样，区别为-A采纳ARP REPLY包；-c count设置ping命令探测的次数；-w timeout通过timeout秒后进行ping命令；-q不显示任何资讯；-s source设置ping的源位址；-I interface设置ping应用的网路介面；address设置指标位址。例如： arping 192.168.10.1 -c 3netdiscover协定层级：数据链路层阐明：被动查看查看是否能够与网路上的多台主机连通。 语法：netdiscover 指定网段 网卡 参数 参数： -i 指定网卡 eth0-r 指定网段 例如 192.168.10.0/24-p 被动模式。默默的侦听指定的网卡以发现别的二层主机-t [ARP](https://so.csdn.net/so/search?q=ARP&spm=1001.2101.3001.7020)包发送距离。单位毫秒。这个能够用来躲避检测零碎的告警。-l file: 指定扫描范畴列表文件-p passive mode: 应用被动扫描的形式，不发送任何数据，只做嗅探-m file: 扫描已知 mac 地址和主机名的电脑列表-F filter: 指定 pcap 筛选器表达式(默认:“arp”)-s time: 每个 arp 申请之间的睡眠工夫(毫秒)-n node: 应用八字节的模式扫描(2 - 253)-c count: 发送 arp 申请的工夫次数-f: 应用被动模式的扫描-d: 疏忽配置文件-S: 启用每个 arp 申请之间克制的睡眠工夫-P: 打印后果-N: 不打印头。只有启用- p时无效。-L: 将捕捉的信息输入(-P)，并持续进行扫描例如： ...

0x01 制作KALI GHOST 文件准备一个32G的U盘，然后下载KALI ISO，使用LIVE进入KALI系统，并使用DD命令将kali系统ISO写入U盘中 1.虚拟机进入Kali环境，插入U盘，使用dmesg命令检查U盘的盘符和信息 2.启动gparted 卸载掉分区后，删除分区 3.使用dd命令将Kali iso 写入U盘 dd if=kali-linux-kde-2019.2-amd64.iso of=/dev/sdb bs=1M 4.使用DiskGenius 将U盘中EFI分区的文件保存起来备用 5.使用ghost工具将制作好的KALI系统分区备份成kali.gho 5.1 打开Ghost按照1.2.2的菜单顺序备份分区 0x02 制作PE及UD和EFI分区使用DiskGenius将U盘格式化成NTFS的一个分区 去无忧论坛下载一个可以格式化三分区的EFI系统 微PE工具箱V1.2&2.0 UD三分区 EFI分区共享 新增双64位合盘【201900702更新】 打开相关PE制作文件，使用专用U盘三分区工具来制作PE 制作完成后，打开DiskGenius来查看分区 分区已经制作好 检查EFI分区中的文件夹是否与图片一致 如果不一致需要重新制作 0x03 将KALI LINUX 还原到U盘中1.使用DiskGenius将DATA分区格式化成4G的分区FAT32格式，注意4K对其 2.使用DiskGenius将剩余的分区格式化成10G的KALI的数据分区和剩余的U盘自用分区 3.使用GHOST还原KALI分区使用1.2.3 的顺序来还原分区 还原完成后，使用DiskGenus查看分区情况 如图则为还原igg 0x04 配置启动菜单1.配置BIOS启动的启动菜单 使用FbinstTool来读取UD分区中的文件如果提示MBR被破坏，修复它！ 打开后，会读取UD分区中的内容 将wepe.iso拷贝出来 使用UltraISO打开拷贝出来的wepe.iso 将其中的WEPEMENU.INI拷贝出来打开后是如下代码 timeout 5default 1gfxmenu /WEPE/MESSAGEtitle [01] 微 PE 工具箱(10) [支持NVMe] 64位chainloader ()/WEPE/W10PE64 || find --set-root --ignore-floppies --ignore-cd chainloader /WEPE/W10PE64title [02] 微 PE 工具箱(8) [老机适用] 64位chainloader ()/WEPE/W8PE64 || find --set-root --ignore-floppies --ignore-cd chainloader /WEPE/W8PE64title [03] MaxDOS 工具箱map --mem /WEPE/MAXDOS.IMG (fd0)map --hookchainloader (fd0)+1rootnoverify (fd0)title [04] 自定义ISO镜像graphicsmode -1 640font /WEPE/MENU.HEX/WEPE/RUN --automenu-all /ISO/title [05] 从硬盘启动find --set-root --ignore-floppies --ignore-cd /ntldr || find --set-root --ignore-floppies --ignore-cd /bootmgrmap () (hd0)map (hd0) ()map --rehookfind --set-root --ignore-floppies --ignore-cd /ntldr || find --set-root --ignore-floppies --ignore-cd /bootmgrchainloader /ntldr || chainloader /bootmgrtitle [06] 重启计算机reboottitle [07] 关闭计算机halt在02 和 03 之间添加一个启动项用于启动KALI ...

直接上过程： apt-get install scrot截取整个桌面 scrot指定保存目标文件夹和截图文件名(默认保存当前目录下) scrot /root/Pictures/ll.png截取特定窗口或矩形区域 scrot -s

执行： apt -y install firefox-esr-l10n-zh-cn 在火狐浏览器中，选择右上角的菜单，选择“选项”，选择“内容”-->在语言栏点击“选择”，选择“中文/中国 [zh-cn]”，点击“确定”，重启浏览器即可。

NCNC的一些功能： 侦听模式 / 传输模式telnet / 获取banner信息传输文本信息传输文件/目录加密传输文文件远程控制/木马加密所有流量流媒体服务器远程克隆硬盘 传输文件A: nc -lp 333 > 1.mp4 B: nc -nv 1.1.1.1 333 < 1.mp4 -q 1 或 A: nc - q 1 -lp 333 < a.mp4 B: nc -nv 1.1.1.1 333 > 2．mp4 传输目录A ： tar -cvf - music/ | nc -lp 333 —q 1 B ： nc-nv 1.1.1.1 333 | tar -xvf- 加密传输文件 命令用到的参数有，--flush 立即冲洗输出，-F 输出数据，-b 不保留算法信息，-q 关闭一些非严重的警告，-d 解密A ： nc -lp 333 | mcrypt -flush -Fbqd -a rijndael-256 -m ecb > 1.mp4 B : mcrypt --flush -Fbq -a rijndael-256 -m ecb < a.mp4 | nc -nv 1.1.1.1 333-q 1 ...

更新Kali一、Kali系统更新源 使用编辑器打开系统源文本 vim leafpad /etc/apt/sources.list 或者  leafpad /etc/apt/sources.list填写更新源 中科大 deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib阿里云 deb http://mirrors.aliyun.com/kali kali-rolling main non-free contrib deb-src http://mirrors.aliyun.com/kali kali-rolling main non-free contrib清华大学 deb http://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free deb-src https://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free 使用更新命令 apt-get update && apt-get upgrade && apt-get dist-upgrade安装增强功能打开终端，执行命令 apt-cache search linux-headers apt-get install linux-headers-4.14.0-kali3-amd64安装完后，执行： apt-cache search linux-imageapt-get install linux-image-4.14.0-kali3-amd64然后，运行 ...

今晚想在Kali中熟悉一下WireShark，在没有拼音输入的情况下来回切换虚拟机太麻烦了，于是有了下面的过程，安装很简单 apt-get install ibus ibus-pinyin出现如下画面就是安装成功了，中间询问是否的时候输入y就可以了；下面来看一下如何使用拼音输入：首先，右上角设置：然后，Region & Language+号点击汉语->汉语拼音->添加，能用了：

0x01 题目要求题目提供了一个大小为256MB的内存镜像，显然我们需要从当中找到一些有趣的东西。0x02 分析过程既然是内存取证，首先就想到一个强大的取证工具——volatility该工具在kali当中已集成，位于应用程序->数字取证->volatility。下面就针对该镜像，记录一下使用该工具进行内存取证的过程。1. volatilityvolatility命令手册：https://github.com/volatility…我这里只列举一些常用的命令1. 镜像基本信息volatility -f mem.data imageinfo关键看Suggested Profile(s)项，这里是工具判断该镜像的架构，同时也会提供相应架构的命令用于分析该镜像，本题中可能性最大的架构是Win7SP1x64，然后在调用命令时加上–profile=Win7SP1x64就可以了，继续往下看。2. 列举可使用的命令volatility -f mem.data –profile=Win7SP1x64 –help常用的命令如下：命令功能cmdline/cmdscan列出历史cmd命令filescan扫描文件，可配合grep使用netscan扫描建立的连接和套接字，类似于netstatpslist/psscan列出进程列表svcscan扫描windows服务列表screenshot显示GDI样式的截屏memdump从内存dump进程的内存dumpfiles从内存dump文件3. 搜索进程首先我们要看一下出题人在镜像里干了什么。volatility -f mem.data –profile=Win7SP1x64 pslist可以看到这里有3个应用程序进程，分别是：wordpad写字板 MineSweeper扫雷 mspaint画图，而且再看看启动时间，mspaint相隔之后的进程有长达10分钟时间，emmm，出题人应该是就在这段时间写的flag。接下来我们就看一下有没有什么可疑的文件留存。4. 查看可疑文件查看文档volatility -f mem.data –profile=Win7SP1x64 filescan | grep “doc|docx|rtf"没有。。。查看图片volatility -f mem.data –profile=Win7SP1x64 filescan | grep “jpg|jpeg|png|tif|gif|bmp"也没有。。。查看桌面volatility -f mem.data –profile=Win7SP1x64 filescan | grep “Desktop"难道出题人还用扫雷来做个图？？？（开个玩笑）看来flag并没有保存为文件，看看有没有其他突破口。5. 查看截图volatility -f mem.data –profile=Win7SP1x64 screenshot –dump-dir=./导出的图片如下说实话我根本看不出来这是个什么界面。。。6. 其他调查查看命令行输入volatility -f mem.data –profile=Win7SP1x64 cmdline查看系统用户名volatility -f mem.data –profile=Win7SP1x64 printkey -K “SAM\Domains\Account\Users\Names"查看网络连接volatility -f mem.data –profile=Win7SP1x64 netscan在做了很多无用功之后，只能去求助Google了，结果搜出来2篇文章，比较有参考价值：google-ctf-2016-forensic1：https://www.rootusers.com/goo…从内存导出raw图片：https://w00tsec.blogspot.com/…上述文章介绍了一种方法，通过利用volatility将进程内存dump下来，然后利用Gimp打开内存数据，查看镜像中的系统界面，于是我们开始实施。2.Gimp使用volatility dump内存：（2768是mspaint的pid）volatility -f mem.data –profile=Win7SP1x64 memdump -p 2768 –dump-dir=./将2768.dmp重命名为2768.data，使用Gimp打开，打开方式选择"原始图像数据"出现这样一个界面，做如下操作：图像类型：RGB Alpha调整三个属性：高度调整到合适值就不用变了，我的最大是733。确定一个宽度，通常是常见的显示器分辨率，然后不断调整位移，使之出现可见的图像，也就是镜像中的系统界面。（接下来就是我不断测试的过程，测试了2小时。。。）分辨率是1920时：可以看见3个程序，之前的GDI纯白色框线界面就是扫雷的结算界面，写字板里写的也不是flag，看来就只有画图里有flag了。分辨率是1024时：扫雷界面。证明在不同分辨率下，会显示不同的界面。分辨率是1568时：部分画图界面，可能离成功不远了。分辨率是1457时：getFlag！事后发现，微调位移为图像的左右方向平移，大幅调节位移则是图像的上下方向平移。而宽度不变时，始终显示的都是同一幅图像。0x03 小结一下为了凑够3点，就写一下小结吧谷哥大法好，樯外确实有很多好的题解熟悉使用各类取证分析工具，是快速解出此题的关键可以参透出题人心理，猜测可能的flag位置 ...