信息取证
顾名思义,就是可以把目标机器的信息弄到自己电脑上,而且不会进行目标主机的信息读写,不会破坏数据,还不会影响到以删除数据的恢复,总之,就是我不懂的就对了.
我的主机
我的主机需要负责监听,命令是:
nc -l -p [port]
l:listen, p:port
可以使用重定向把输出结果保存到文本里,by the way.
目标主机
目标主机执行这个命令就会建立文本传输:
nc -nv [我的主机ip] [我的主机刚刚开启的监听端口]
同样的,可以使用管道符,进行取证。取证结果直接传回我的主机:
ls -l | nc -nv [我的主机ip] [我的主机刚刚开启的监听端口]
只能局域网内使用
这个原理说是建立一个TCP连接,TCP是运输层协议,我想可能是因为这个,让它只能在局域网通信吧~
这个就是模拟的本机,开启了444端口
这个是模拟的目标机器,这样做,这两台同一局域网的机器就可以传输文本了。
在这里插入图片描述
然后来试试让面说的取证。
自己的机子执行sudo nc -l -p 444 > ps.txt
开启444监听端口并将收到目标主机的文本存到ps.txt
目标机器模拟执行ps -e | nc -nv [ip] [port]
执行ps命令并将结果传给我的机子