Python渗透测试

一、Scapy简介二、Scapy中的分层结构三、Scapy中的常用函数四、在Scapy

中发送和接收数据包五、Scapy

提到数据包(这里泛指帧、段和报文等)的构造我们首先需要了解协议和分层这两个概念。

在“互联世界的规则一协议”中我们提到了协议的概念简单来说协议就是通信时所有参与者必须遵守的规则集合。

这些协议各司其职、各尽其能它们的不同主要体现在产生的数据包的顺序与格式上。

QQ它在登录时就会产生数据包。

这个数据包的目标地址是腾讯服务器(假设为

8000传输的信息为“我要登录”那么这个过程产生的数据包就需要包含

部分(用来指明目标地址等信息)UDP

自有协议部分(用来保存传输内容等)。

实际情况远比这要复杂互联网上存在的协议数量已经成千上万了当多个协议存在于同一个数据包时为了解析方便就有必要将它们分成不同的层次。

TCP/IP

协议族为例它是一个4层协议模型、自底而上分别是链路层、网络层、传输层和应用层。

每一层完成不同的功能且通过若干协议来实现上层协议使用下层协议提供的服务。

TCP/IP

这样分层之后来构造数据包就会很简单。

但是需要注意一个数据包并不是必须同时包含这

4层的协议也不是同一层只能包含1个协议。

在后面的具体实现中我们就会对此有深入的了解。

前面提到

当作一个独立的工具来使用它提供了一个和Python相同的交互式命令行环境。

在Kali

Scapy

本身就是一个可以独立运行的工具它具备一个独立的运行环境因而可以不依赖Python。

首先我们先用几个实例来演示

中每一个网络协议就是一个类协议中的字段就对应着属性。

只需要实例化一个协议类就可以创建一个该协议类型的数据包。

例如我们要构造一个

IP()如果要使用

dst来设置。

例如我们要构造一个发往“192.168.217.150”的IP

Scapy

的使用者来说比较困难的一点就是协议类型众多。

现在使用IPO来构造数据包的时候都需要设置哪些参数这些参数都有什么意义呢?由于网络中协议数量众多因此Scapy

(DNS、ARP、IP、TCP、UDP

也提供了一个可以便捷查看数据包格式的函数ls()当你不了解如何为一个

from

Ether(dstff:ff:ff:ff:ff:ff)分层是通过符号“/”实现的。

如果一个数据包是由多层协议组合而成的那么这些协议之间就可以使用“/”分开并按照协议由底而上的顺序从左向右排列。

例如我们可以使用Ether()/IP()/TCP()来构造一个TCP数据包。

from

ls(pkt)这个程序由于需要导入的模块比较多因此使用了“import

Ether、IP

IPTCP和UDP了这些类都具有哪些属性呢?Eth类中显然具有源地址、目标地址和类型。

IP类的属性则复杂了许多除了最重要的源地址和目地址之外还有版本、长度、协议类型、校验和等。

TCP

类中具有源端口和目标端口。

这里我可以使用ls()函数来查看一个类所拥有的属性。

前面我们已经提过了这个函数使用属性列表的式来显示一个数据包的详细信息例如使用ls(Ether0)来查看

Ether

pktIP(src192.168.1.1,dst192.168.1.101,ttl32)刚开始不熟悉

Scapy

lsc()函数列出所有可以使用的函数下面给出了一些经常使用的函数及其使用方法。

首先我们使用

pkt

raw()函数表示以字节格式来显示数据包内容。

例如我们如果要查看

print(raw(pkt))。

hexdump()函数表示以十六进制数据表示的数据包内容给出了print(hexdump(pkt))的执行结果。

summary()函数使用不超过一行的摘要内容来简单描述数据包pkt.summary()让使用者可以简单明了地知晓数据包的内容。

show()函数使用展开视图的方式显示数据包的详细信息是一种比较常用的方法使用者可以快速看到每一个属性的值给出了

如果我们看到了一个数据包但是不知道如何使用命令来产生相同的数据包时就可以使用command()函数它可以显示出构造该数据包的命令。

例的就是用

pkt.command()还原

会捕获到大量的数据包这些数据包需要保存起来例如在网络取证时就会经常这么做这时

wrpcap()函数就可以完成这个工作。

例如我们在程序中将很多数据包都临时存储在

pkts

中使用wrpcap(temp.cap,pkts)就可以将pkts

Scapy

也提供了读取数据包文件的功能rdpcap()函数就可以实现这个功能,例如使用pkts

rdpcap(temp.cap)读取

除了这些对应着协议的类和它们的属性之外我们还需要一些可以实现各种功能的函数需要注意的一点是刚才我们使用

数据包但是并没有将其发送出去因此现在首先需要将产生的数据包发送出去。

Scapy

send()函数和

send()数是用来发送IP数据包的而sendp()函数是用来发送

Ether

pktIP(dst192.168.217.150)/ICMP()

send(pkt)注意如果这个数据包发送成功那么下方会有一个“Sent

packets”的显示。

sendp()函数的使用方法是相同的下面给出了一个实例。

sendp(Ether(dstff:ff:ff:ff:ff:ff))简单来说当你需要将

MAC

send()函数。

这两个函数的特点是只发不收也就是说只会将数据包发送出去但是不会处理该数据包的应答数据包。

在网络的各种应用中我们需要做的不仅要将创建好的数据包发送出去也要接收这些数据包的应答数据包这一点在网络扫描中尤为重要。

Scapy

sr()函数、sr1()函数和

就会监听接收到的数据包将其中对应的应答数据包筛选出来并显示。

为

Reveived

的核心它的返回值是两个列表第一个列表包含收到了应答的数据包和对应的应答数据包第二个列表包含未收到应答的数据包。

所以可以使用两个列表来保存sr()函数的返回值。

from

pktIP(dst192.168.217.150)/ICMP()

ans,uanssr(pkt)

uans列表来保存sr()函数的返回值。

因为发送出去的是一个ICMP数据包而且收到了一个应答数据包所以这个发送的数据包和收到的应答数据包都被保存到了ans列表中使用ans.summary0可以查看两个数据包的内容。

unans列表为空。

为ans中保存的应答数据包。

srl()雨数跟

sr()丽数作用基本一样但是只返回一个应答数据包只需要使用一个列表可以保存这个雨数的返回值。

srp()丽数与

srl()函数和

Tcpdump那么对这个函数就不会感到陌生。

使用这个函数就可以在自己的程序中捕获经过本机网卡的数据包了。

sniff()这个函数完整的格式为sniff(filter,ifaceany”,prnfunction,countN)。

第1个参数是filter可以用来对数据包进行过滤。

例如我们指定只捕获与

192.168.217.150

192.168.1.1)但是这种仅依靠IP地址来过滤的方法有很大的局限性下面我们介绍一种功能更加完善的方法。

1993年史蒂文·麦卡内(Steven

McCanne)与范·雅各布森(

Jacobson)在USENIX93会议上提出了一种机制一伯克利包过滤(Berkeley

Packet

FilterBPF)它采用了一种与自然语言很接近的语法利用这种语法构成的字符串可以确定保留哪些数据包以及忽略哪些数据包。

这种语法很容易理解。

例如最简单的空字符串表示的就是匹配所有数据包也就是保留所有的数据包。

如果这个字符串不为空那么只有那些使字符串表达式值为“真”的数据包才会被保留。

这种字符串通常由一个或者多个原语所组成每个原语又由一个标识符(名称或者数字)组成后面跟着一个或者多个限定符。

host(用来表示主机名和

地址)、net(用来表示子网)、port(用来表示端口)。

如果没有指定默认为

src(源地址)和

192.168.217.151表示的就是匹配源地址或者目标地址为

192.168.217.150的数据包。

Proto:这种限定符表示与数据包匹配的协议类型常见的就是

192.168.217.151一个子网192.168.217.0/24

或者一个端口号

11:22:33:44:55:66:当数据包的以太网源地址或者目标地址为

dst

11:22:33:44:55:66:当数据包的以太网目标地址为

11:22:33:44:55:66

11:22:33:44:55:66:当数据的以太网源地址为11:22:33:44:55:66

net

的目标地址的网络号为192.168.1.0/24时过滤语句为真。

src

net

的源地址的网络号为19216810/24时过滤语句为真。

net

的源地址或目标地址的网络号为192.168.1.0/24时过滤语句为真。

dst

port

x:x.summary())如果这个函数比较长也可以定义成回调函数。

这个回调函数以接收到的数据包对象作为唯一的参数最后再调用

def

用来指定监听到数据包的数量达到指定的数量就会停止监听。

例如我们只希望监听到

sniff(count10)我们来设计一个综合性的监听器它会在网卡

eth0

数据包并输出当收到了3个这样的数据包之后就会停止监听。

建的监听器如下

sniff(filtericmp