数据包捕获
环境
攻击机kali ip:192.168.233.133
受害机 win7 ip:192.168.233.137
利用sniffer模块进行抓包块使用场景:拿到跳板机权限进入内网后,除了进行本地信息收集,查看靶机的网络配置,共享文件,用户登陆等等一系统信息想要扩大战果,收集到更多的信息,比如跳板机与外界交互的信息,我们可以监听跳板机的网卡,利用sniffer模块抓包,获取更多的敏感数据。
一利用sniffer模块进行抓包
1sniffer模块默认是关闭的,抓包需要加载sniffer, load sniffer
2 查看靶机上开放的网卡sniffer_interfaces ,可以看到靶机上开放了2块网卡,可以看到网卡1上没有开启dhcp,没有连接wifi,网卡2开启了dhcp,没有开启wifi。
3 开启监听网卡2 执行命令sniffer_start 2,因为meterpreter在内存中运行所以其捕获的数据包也储存在内存中,不会存储到硬盘中,结果显示最多储存50000个数据包,捕获的数据包超过50000个,会自动更新,清除掉以前的数据包。
4dump下捕获到的数据包 sniffer_dump 2 2.cap
5 启动wireshark,查看捕获到的数据包
6可以看到靶机192.168.233.137访问117.18.237.29
二 使用auxiliary/sniffer/psnuffle进行解包,auxiliary/sniffer/psnuffle可以过滤掉meterpreter自身产生的流量信息。
1加载auxiliary/sniffer/psnuffle模块
2 查看配置选项 show options
3选择抓捕到的数据包,执行命令exploit进行解包
三 使用packetrecorder模块进行抓包
1运行packetrecorder模块 run packetrecorder,可以显示出packetrecorder模块的选项,-L选项可以列出靶机上开启的网卡信息,-i选项是指定监听那一块网卡,-t选项表示对网卡监听多长时间,默认是30s。
2列出靶机开放的网卡信息,可以看到网卡2 开启了dhcp,没有连接wifi
3 选择监听第1块网卡run packetrecorder -i 1,可以看到执行完命令后,默认对网卡1 监听30s
4进入/root/.msf4/logs/scripts/packetrecorder,可以看到抓捕到的流量包
5执行命令wireshark AA-PC_20210127.0826.cap 可以看到抓捕到的流量包
本文始发于微信公众号(疯猫网络):内网渗透数据包捕获
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论