# powershell -exec bypass
PS> Import-Module .\Invoke-NetRipper.ps1

ettercap 确实已经非常老了,也确实是那个时代的经典,而且差不多三四年这个项目也都没再更新过了
对于一些防护并不是特别好的内网,依然非常实用,千万不要觉得工具老就没有它的应用场地,那样你就真的错了,如果真是这样,就不会有这么多的二次深度开发了
大家可能也发现了,像这类的工具我基本都是在模拟真实的生产机器环境上编译安装的
具体原因大家想必都很清楚,像这类基于二层的arp嗅探是没法直接在远程做的,毕竟不是直接处在目标的vpn内网中
socks代理再牛逼,它也只是个基于端口的四层代理,并不是vpn,所以,是没法直接在本地嗅远程的arp的,至于GRE隧道,咱们抽空再另说
话不多讲,直奔今天的主题,ettercap基础使用,注意,此次仅仅是基础使用

# echo 1 > /proc/sys/net/ipv4/ip_forward
# cat /proc/sys/net/ipv4/ip_forward

CentOS release 6.9 (Final)  x86-64 ip: 192.168.3.4  接口名称: eth2  ettercap所在机器
win2008r2 			   ip: 192.168.3.23 
win7cn				   ip: 192.168.3.8

# vi /etc/sysctl.conf
  net.ipv4.ip_forward=1
# sysctl -p

centOS 6.8 x86_64	mac: 00:0C:29:C4:A0:95	ip : 192.168.3.4
win7cn 			mac: 00-0C-29-3B-BF-A8  ip : 192.168.3.8
win2008r2cn		mac: 00-0C-29-6C-55-D2  ip : 192.168.3.23
网关			mac: dc-ee-06-96-b7-b7	ip : 192.168.3.1

# yum install epel-release -y
# yum install libnet libnet-devel -y
# wget http://www.arpoison.net/arpoison-0.7.tar.gz
# tar xf arpoison-0.7.tar.gz
# cd arpoison-0.7
# gcc arpoison.c /usr/lib64/libnet.so -o arpoison
# cp arpoison /usr/bin/
# arpoison -h

arp  地址解析协议,即通过ip找对应的mac:
首先,A会先发arp请求[广播],向同一交换机下的所有其它机器询问,谁有B的这个ip
当B收到这条消息时,就会再用arp响应给A,说,我有这个ip,我的mac是多少...
当完成第一次正常通信之后就会在交换机的mac地址表中记录下这层指向对应关系
后续就直接按照mac地址表中已有的指向来通信,而不再用广播询问,这就是一次极为常规的arp通信过程

rarp  反向地址解析协议,即通过mac找对应的ip:
理解完arp以后,我们再来看rarp,同样是先发请求,这个请求简单来讲也是一个广播,不过,在此广播中声明了自己的mac
并请求任何收到此请求的rarp服务器分配一个ip,当同网段的rarp服务器收到此请求后会检查自己的rarp列表找到该mac对应的ip
如果此mac的ip被找到,就直接响应对方使用,如果没找到,最后就会提示初始化失败

假设同一交换机下有三台机器,分别为 A , B , C,正常情况下B和C的通信数据,A是不可能看到的
但在ARP缓存表机制中存在一个缺陷,就是当请求主机收到ARP应答包后,不会去验证自己曾经是否向对方主机发送过ARP请求
就直接就把这个应答包中的IP与MAC地址的对应关系更新到自己本地的ARP缓存表中,这时就直接导致原有IP的对应关系被恶意替换
通俗点儿理解,也就是说,我强制刷新了对方的arp缓存对应关系,把原来ip的指向现在换成了我自己的地址
导致现在B和C的通信都要先经过A,那么,我们在A上自然就可以顺利的看到C和B之间的所有明文通信数据,即实现了所谓的监听

通俗来讲就是一个监听外部网络请求 [就是一个socket] 的系统守护进程,其实有很多比较古老的服务都是基于此守护进程的
具体怎么工作的呢,其实非常简单,当inetd接收到一个外部请求后,它会根据这个请求到自己的配置文件中去找到实际处理它的程序
然后再把接收到的这个socket交给那个程序去处理,问题恰巧也就出在这里
如果来自外部的某个socket是要执行一个可交互的shell [比如,我们已经在目标系统的inetd配置文件中事先定义好],这岂不是就相当于一个简易的bind型后门
另外,关于使用inet的好处就是,不用每个服务都再单独起个进程,这样可以有效降低系统资源消耗,你甚至也可以一定程度上把它理解成linux中的'svchost.exe'进程

蜜罐其实就是一台无人使用但却被严密监控的网络主机,里面包含着各类虚假的高价值资源和一些已知漏洞,以此吸引入侵者来入侵该主机
并且在被入侵的过程中,实时记录和审计入侵者的所有入侵攻击流量,行为和数据,以此了解入侵者的攻击方式,手段和目的,便于后期快速完成对其的溯源,取证工作

控制,将入侵者牢牢控制在指定的网络范围中,使其不能再以此机器作为跳板来攻击其它的机器
捕获,把入侵者在入侵过程中所产生的各种流量捕获住
分析,将捕获到的各种数据存到数据库或者其它指定地方,便于后续还原其详细的入侵攻击过程

监控各种主机项,如,进程,文件,注册表,网络...
同时提交给入侵检测,以识别其更详细的入侵手段,并对整个入侵过程做详细记录
入侵数据汇总分析,其实就是把上述两步所得到的各种数据进行集中分析,最后,勾勒出完整的入侵轨迹画像

很久之前,我们说过如何利用win自带的wevtutil工具来处理各种入侵日志
但那有个很致命的缺点,就是删除的时候是一下全给干掉了,这很显然不是我们想要的
今天我们就再来介绍另外一种相对[只是相对比较好,个人认为也并不是特别好,但值得在此基础上改进]比较好的处理方式
也正是我之前说的利用powershell来帮我们搞,具体实现如下

简单通俗来讲,svchost主要是用来实现服务进程数据共享,以此来减少系统资源消耗的这么一个东西,下面挂靠的程序可能同时有很多个
说白点,其内部其实是作为线程[核心就在这儿]来运行的,关于更详细的简介,可直接参考维基百科上对其的说明

找目标系统中Win事件日志服务的进程名,一般都是在svchost下
并从该进程中获取所对应的Win 事件日志服务线程ID
想办法杀掉这些id所对应的线程,以达到让目标系统日志服务无法正常工作的目的,这样系统就无法再搜集日志了

一款非常优秀的后渗透平台 [ 谁用谁知道,嘿嘿……说不好用的唯一原因,可能就是很多用法还没有被自己挖掘出来,因为不会用,所以,才会感觉不好用 ]
工具基于java,大部分功能在改进的基础上还是相对比较实用的,非常适合团队间协同作战
更多详情请自行参考官网,这里就不啰嗦了,以下全部简称'cs'

kali 	  		实际控制端		ip:192.168.1.144
ubuntu 16.04 		自己公网的vps    	ip:53.3.3.6		
win2008R2 		目标机器			ip:192.168.1.191
centos6.9 		已控肉鸡			ip:192.168.1.199
win7cn			另一台肉鸡		ip:192.168.1.123

主要是为了方便一个渗透团队内部能够及时共享所有成员的所有渗透信息,加强成员间的交流协作,以此提高渗透效率
也就是说,正常情况下一个团队只需要起一个团队服务器即可,团队中的所有成员只需要拿着自己的cs客户端登录到团体服务器就能轻松实现协同作战
当然,实际中可能为了尽可能久的维持住目标机器权限,还会习惯性的多开几个团队服务器,防止出现意外情况
另外,团体服务器最好运行在linux平台上[本次演示所用的团队服务器系统为ubuntu 16.04]