发表更新tool3 分钟读完 (大约377个字)

something about tmux

tmux 会话

tmux默认先导快捷键(PREFIX)为<C-b>

  • 创建会话

    1
    2
    3
    4
    # 创建无名会话
    tmux
    # 创建名为 name 的会话
    tmux new -s name

  • 断开会话

    1
    2
    3
    # 断开当前会话,会话在后台运行
    tmux detach
    # 快捷键 PREFIX-d

  • 列出所有现存会话

    1
    2
    3
    4
    # 列出所有会话
    tmux list-session
    # 简化命令
    tmux ls

  • 重连会话

    1
    2
    3
    4
    5
    6
    # 重连名为 name 的会话
    tmux attach-session -t name
    # 简写 a
    tmux a -t name
    # 默认重边第一个会话
    tmux a

  • 关闭会话

    1
    2
    3
    4
    # 关闭名为 name 的会话
    tmux kill-session -t name
    # 关闭所有的会话
    tmux kill-server

  • 切换会话

    1
    2
    # 先导快捷键松开后,再按`s`,进入会话选择画面,按`序号`进入对应会话;或`方向键`选择会话;
    PREFIX-s

  • 配置文件

    1
    ~/.tmux.conf

tmux 窗口

  • 创建新窗口

    1
    2
    # 先导快捷键松开后,再按`c`,创建新的窗口
    PREFIX-c

  • 切换窗口

    1
    2
    3
    4
    5
    6
    # 先导快捷键松开后,再按`n`,切换至下个窗口
    PREFIX-n
    # `p`,切换至上个窗口
    PREFIX-p
    # 先导快捷键松开后,再按`w`,进入窗口选择画面,按`序号`进入对应窗口,或`方向键`选择
    PREFIX-w

tmux 面板

分屏: 一个窗口可以分割为多个面板(panel)。

  • 竖直分屏

    1
    2
    # 先导快捷键松开后,再按`"`,以竖直线分割窗口
    PREFIX-"

  • 水平分屏

    1
    2
    # 先导快捷键松开后,再按`%`,以水平线分割窗口
    PREFIX-%
 
发表更新tool / penetration Test5 分钟读完 (大约759个字)

something about wireshark

something about wireshark

wireshark

Capture过滤表达式

只抓取表达式 匹配成功 的包,对于不匹配的包不予抓取。
表达式为与 TCP dump 相同的表达式。

  • 查看手册

    packet filter syntax

    1
    man pcap-filter

  • 只关注80端口

    1
    tcp port 80

  • 只关注icmp协议

    1
    icmp

Display过滤表达式

已经抓取 的包,进行 过滤显示 ,只显示表达式 匹配成功 的包,对于不匹配的包不予显示。
与 Capture过滤表达式 不同, Display过滤表达式是wireshark package列表过滤表达式, 语法 不相同。
Display过滤表达式 语法更多

  • 相关文档

  • Display Filter Expression

    display filter 输入框处右击,选择 Display Filter Expression ,进入表达式编辑窗口,用于创建 复杂表达式

网络协议

数据包详情

  • MAC地址以太网数据包
  • Package Bytes 中十六进制内容为 0800 时,一般为标识 IPv4协议

专家模式

  • Expert Information 专家模式

    专家模式下,会将 对话 、错误信息、重复应答、警告等在列表中显示。更加方便查看。

远程抓包

  • SSH remote capture

    • 需要远程机器安装wireshark(桌面版/命令行版 tshark 都可), 远程执行二进制程序一般为dumpcap(由wireshark提供)。
    • 配置ssh相关内容,配置 远程网卡 等信息,配置远程二进制程序等。
    • 配置完成后,即可由本机wireshark通过ssh与远程wireshark二进制程序联动,实际工作由远程wireshark二进制程序负责。
    • 本地wireshark负责内容输出。

  • Tcpdump 远程抓包

    • 需要远程机器安装tcpdump作为远程执行二进制程序。

    • tcpdump 使用

      tcpdump 常用参数
      -D 列出本机可用网卡
      -i wlan0 指定使用wlan0网卡
      -c 20 指定抓取20个包
      -w filename 指定输出到文件
      -w - 指定标准输出
      ‘filter expressions’ 最后附加filter参数
      -l 指定逐行输出,不加缓存

      搭配ssh与本地wireshark使用:

      1
      2
      # 将远程tcpdump的标准输出作为wireshark的标准输入
      ssh root@123.124.125.126 "tcpdump -i wlan0 -c 20 -w - 'not port 22'" | wireshark -i -

      本地wireshark与远程tcpdump联动,实时抓包(不指定-c参数)

      1
      2
      3
      4
      # -k 参数指定本地wireshark实时抓包
      ssh root@123.124.125.126 "tcpdump -i wlan0 -w - 'not port 22'" | wireshark -k -i -
      # -l 参数指定远程tcpdump逐行输出,而非缓存到一定程度后分批输出
      ssh root@123.124.125.126 "tcpdump -l -i wlan0 -w - 'not port 22'" | wireshark -k -i -

  • tshark 远程抓包

    tcpdump类似的命令行。

    tshark 常用参数
    -D 列出本机可用网卡
    -i eth0 指定使用eth0网卡
    命令最后可以增加filter expressions
 

归档

×