關(guān)于Above

Above是一款專為紅隊(duì)研究人員設(shè)計(jì)的網(wǎng)絡(luò)協(xié)議嗅探工具，該工具隱蔽型極強(qiáng)，可以幫助廣大研究人員搜索目標(biāo)網(wǎng)絡(luò)中的相關(guān)安全漏洞。

Above可以幫助滲透測(cè)試人員和安全專家搜索目標(biāo)網(wǎng)絡(luò)設(shè)備中的安全漏洞，該工具完全基于網(wǎng)絡(luò)流量來(lái)執(zhí)行安全分析，因此不會(huì)在網(wǎng)絡(luò)系統(tǒng)中產(chǎn)生任何噪聲。Above使用純Python開(kāi)發(fā)，基于Scapy庫(kù)實(shí)現(xiàn)其功能。Above的主要任務(wù)是搜索目標(biāo)網(wǎng)絡(luò)內(nèi)部的L2/L3協(xié)議，基于流量嗅探來(lái)識(shí)別和發(fā)現(xiàn)配置中存在的安全問(wèn)題。

支持的協(xié)議

當(dāng)前版本的Above支持檢測(cè)下列12種網(wǎng)絡(luò)協(xié)議：

1、CDP

2、DTP

3、Dot1Q

4、OSPF

5、EIGRP

6、VRRPv2

7、HSRPv1

8、STP

9、LLMNR

10、NBT-NS

11、MDNS

12、DHCPv6

需要注意的是，該工具實(shí)現(xiàn)了線程機(jī)制，因此所有的協(xié)議分析都可以同步進(jìn)行。

運(yùn)行機(jī)制

Above支持下列兩種運(yùn)行模式：

1、熱模式：定期對(duì)目標(biāo)接口執(zhí)行實(shí)時(shí)嗅探；

2、冷模式：離線分析之前轉(zhuǎn)儲(chǔ)的流量數(shù)據(jù)；

我們只需要給工具腳本指定運(yùn)行參數(shù)，即可控制Above的任務(wù)執(zhí)行：

Interface：指定需要嗅探的目標(biāo)網(wǎng)絡(luò)接口；

Timer：設(shè)置執(zhí)行流量分析的時(shí)間間隔；

Output pcap：Above將會(huì)把監(jiān)聽(tīng)到的流量數(shù)據(jù)記錄到pcap文件中，文件名稱支持自定義；

Input pcap：工具支持將準(zhǔn)備好的.pcap文件作為輸入?yún)?shù)，并對(duì)其執(zhí)行安全審計(jì)分析；

支持收集的協(xié)議信息

Impact：可以針對(duì)該協(xié)議執(zhí)行的攻擊類型；

Tools：可以針對(duì)該協(xié)議執(zhí)行攻擊的工具；

Technical Information：攻擊者所需要的相關(guān)信息，例如IP地址、FHRP組ID、OSPF/EIGRP域等；

工具安裝

由于該工具基于純Python 3開(kāi)發(fā)，因此我們首先需要在本地設(shè)備上安裝并配置好Python 3環(huán)境。接下來(lái)，廣大研究人員可以直接使用下列命令將該項(xiàng)目源碼克隆至本地：

caster@kali:~$ git clone https://github.com/wearecaster/Above

然后切換到項(xiàng)目目錄中，執(zhí)行工具安裝腳本即可：

caster@kali:~$ cd Above/

caster@kali:~/Above$ sudo python3 setup.py install

工具參數(shù)

usage: above [-h] [--interface INTERFACE] [--timer TIMER] [--output-pcap OUTPUT_FILE] [--input-pcap INPUT_FILE]

?

options:

??-h, --help ????????????????????顯示工具幫助信息和退出

??--interface INTERFACE?????????指定目標(biāo)網(wǎng)絡(luò)接口

??--timer TIMER ????????????????指定一個(gè)時(shí)間間隔（秒）

??--output-pcap OUTPUT_FILE????指定記錄流量的輸出pcap文件路徑

??--input-pcap INPUT_FILE???????指定要分析流量的輸入pcap文件路徑

工具使用

首先，我們需要先將接口切換為混雜模式，并使用root權(quán)限運(yùn)行Above腳本：

caster@kali:~$ sudo ip link set eth0 promisc on

Above在啟動(dòng)時(shí)至少要指定一個(gè)目標(biāo)接口和一個(gè)計(jì)時(shí)器：

caster@kali:~$ sudo above --interface eth0 --timer 120

如果你需要記錄嗅探到的網(wǎng)絡(luò)流量，請(qǐng)使用--output-pcap參數(shù)：

caster@kali:~$ sudo above --interface eth0 --timer 120 --output-pcap dump.pcap

如果你已經(jīng)存儲(chǔ)了記錄下的嗅探流量，你可以使用--input-pcap參數(shù)來(lái)尋找其中潛在的安全問(wèn)題：

caster@kali:~$ above --input-pcap dump.pcap

工具使用演示

網(wǎng)絡(luò)流量嗅探

PCAP分析

許可證協(xié)議

本項(xiàng)目的開(kāi)發(fā)與發(fā)布遵循Apache-2.0開(kāi)源許可證協(xié)議。

項(xiàng)目地址

Above：【GitHub傳送門】

參考資料

https://pypi.org/project/auto-py-to-exe/?文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-818936.html

到了這里，關(guān)于Above：一款專為紅隊(duì)設(shè)計(jì)的隱蔽型網(wǎng)絡(luò)協(xié)議嗅探工具的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！