scapy

Scapy: Processing partial TLS segments

会有一股神秘感。 提交于 2020-05-23 10:23:11
问题 I am trying to extract TLS meta-data from a pcap using Scapy. I am able to successfully parse the packets and individual messages such as the client-hello, server-hello etc and their fields. What I am having trouble with is when the TLS record is spread across multiple TCP packets/segments. This happens mostly for large TLS messages, such as application data or when server sends multiple TLS messages (server hello, certificate, etc) in one TLS frame. In such cases, scapy says it has the TLS

Raw load found, how to access?

和自甴很熟 提交于 2020-05-12 20:34:19
问题 To start off, I have read through other raw answers pertaining to scapy on here, however none have been useful, maybe I am just doing something wrong and thats what has brought me here today. So, for starters, I have a pcap file, which started corrupted with some retransmissions, to my belief I have gotten it back to gether correctly. It contains Radiotap header, IEEE 802.11 (dot11), logical-link control, IPv4, UDP, and DNS. To my understanding, the udp packets being transmitted hold this raw

网络层绕过 IDS/IPS 的一些探索

旧时模样 提交于 2020-04-15 13:08:04
【推荐阅读】微服务还能火多久?>>> 作者:【腾讯安全平台部】 lake2 公众号: 腾讯安全应急响应中心 前言 两年兴起的大型网络攻防对抗比赛以实战的方式进行,这个举措非常好,以攻促防(“talk is cheap,show me the shell”),参赛大企业会更加关注实际的安全威胁并且想办法缓解,客观上也繁荣了安全行业,一时间相关的安全服务及安全产品畅销,特别是有实时检测和阻断能力的IDS/IPS大放异彩。 于是,大企业纷纷采购部署IDS、IPS、WAF这些安全防护产品,压缩了攻击面,那就带来两个问题: 渗透测试这个方向还有没有机会?也有渗透测试人员发的知乎热帖[1]对未来提出困惑; 部署了IDS/IPS设备,在设备后端被防护着的系统的安全漏洞是否还要修复?不要急着回答,且看后文。 (以下字数约4000字,阅读时长约10分钟) 一. IDS/IPS防护原理及绕过思路 IDS工作在网络层,旁路部署,通过抓取和分析网络流量来发现攻击; IPS一般也是在网络层旁路,可以理解为具备阻断能力的IDS,是IDS的升级版(也有IDS检测到攻击通知阻断设备执行阻断动作的设备联动模式),可以覆盖网络层和应用层; WAF是在应用层防护Web攻击的程序,一般是跟Web接入层对接,可旁路可串行,仅能覆盖应用层,详细的技术原理和实践可参考TSRC博客的这篇文章[2]。 本文为阐述方便

ImportError: No module named scapy.all

岁酱吖の 提交于 2020-04-08 15:10:56
问题 I'm running macOS Sierra and Python 2.7. In my terminal I've installed scapy with: pip install scapy Requirement already satisfied: scapy in /usr/local/lib/python2.7/site-packages But running this: from scapy.all import * for pkt in sniff(iface='en0'): print pkt Gives me this: python test.py Traceback (most recent call last): File "test.py", line 1, in <module> from scapy.all import * ImportError: No module named scapy.all I've tried and Google around, and installed pcapy and other packages -

ImportError: No module named scapy.all

ぃ、小莉子 提交于 2020-04-08 15:01:51
问题 I'm running macOS Sierra and Python 2.7. In my terminal I've installed scapy with: pip install scapy Requirement already satisfied: scapy in /usr/local/lib/python2.7/site-packages But running this: from scapy.all import * for pkt in sniff(iface='en0'): print pkt Gives me this: python test.py Traceback (most recent call last): File "test.py", line 1, in <module> from scapy.all import * ImportError: No module named scapy.all I've tried and Google around, and installed pcapy and other packages -

ImportError: No module named scapy.all

若如初见. 提交于 2020-04-08 15:00:34
问题 I'm running macOS Sierra and Python 2.7. In my terminal I've installed scapy with: pip install scapy Requirement already satisfied: scapy in /usr/local/lib/python2.7/site-packages But running this: from scapy.all import * for pkt in sniff(iface='en0'): print pkt Gives me this: python test.py Traceback (most recent call last): File "test.py", line 1, in <module> from scapy.all import * ImportError: No module named scapy.all I've tried and Google around, and installed pcapy and other packages -

scapy构造打印ARP数据包

不想你离开。 提交于 2020-04-06 08:38:05
ARP格式: 用于以太网的ARP请求/应答分组格式 各字段含义:   帧类型:表示数据部分用什么协议封装(0800表示IP,0806表示ARP,8035表示RARP)。   硬件类型:表示硬件地址的类型(其中,值为1表示以太网地址,其他还可能表示令牌环地址)。   硬件地址长度:指出该报文中硬件地址的长度(ARP报文中,它的值为6)。   协议地址长度:指出该报文中协议地址的长度(ARP报文中,它的值为4)。   op:操作字段,共有4种类型(1:ARP请求,2:ARP应答,3:RARP请求,4:RARP应答)。 利用scay发送接受ARP包:   代码: #coding:utf-8 from scapy.all import Ether from scapy.all import ARP from scapy.all import srp arp = Ether(#构造以太网头 src='64:6E:69:03:63:32',#本机MAC dst='FF:FF:FF:FF:FF:FF'#广播发送 )/ARP( op=1,#发送arp请求 hwsrc='64:6E:69:03:63:32',#发送端以太网地址 psrc='10.50.253.232',#发送端ip hwdst='00:00:00:00:00:00',#目的以太网地址 pdst='10.50.0.1'#目的ip地址

python数据包之利器scapy用法!

谁说我不能喝 提交于 2020-04-06 08:21:50
scapy 介绍: 在python中可以通过scapy这个库轻松实现构造数据包、发送数据包、分析数据包,为网络编程之利器! scapy安装 : pip install scapy ======> scapy 不是内置模块,故需要额外安装 导入scapy方式: from scapy.all import * 构造包: a = Ether()/IP(dst='114.114.114.114')/TCP(dport=80)/ 应用层数据 print(a.show()) ======> 可以先通过 a.show() 函数查看数据包的构成部分,然后在构造包时就知道有哪些参数可以填了 发送包: sr(IP(dst='192.168.1.0/24')/TCP(dport=(1,65535)), timeout=2) =====> 发送三层数据包,等待接收一个或多个数据包的响应 ( 注意:当依次向每个 IP 的 65535 个端口发送完才算执行完这个函数,而不是调用一 次只发一个包,以下所有发包方式都与之一样 ) sr1() ======> 发送三层数据包,并仅仅只等待接收一个数据包的响应 srp(Ether(dst='11:11:11:11:11:11')/IP(dst='1.1.1.1')/ICMP()) ======> 发送二层数据包,并且等待回应 ( 这个函数可以编辑二层头部, sr()

CVE-2020-3119 Cisco CDP 协议栈溢出漏洞分析

…衆ロ難τιáo~ 提交于 2020-03-30 16:44:52
作者:Hcamael@知道创宇404实验室 时间:2020年03月19日 原文地址: https://paper.seebug.org/1154/ 英文版本: https://paper.seebug.org/1156/ Cisco Discovery Protocol(CDP)协议是用来发现局域网中的Cisco设备的链路层协议。 最近Cisco CDP协议爆了几个漏洞,挑了个栈溢出的CVE-2020-3119先来搞搞,Armis Labs也公开了他们的分析Paper。 环境搭建 虽然最近都在搞IoT相关的,但是还是第一次搞这种架构比较复杂的中型设备,大部分时间还是花在折腾环境上。 3119这个CVE影响的是Cisco NX-OS类型的设备,去Cisco的安全中心找了下这个CVE,搜搜受影响的设备。发现受该漏洞影响的设备都挺贵的,也不好买,所以暂时没办法真机测试研究了。随后搜了一下相关设备的固件,需要氪金购买。然后去万能的淘宝搜了下,有代购业务,有的买五六十(亏),有的卖十几块。 固件到手后,我往常第一想法是解开来,第二想法是跑起来。最开始我想着先把固件解开来,找找cdp的binary,但是在解固件的时候却遇到了坑。 如今这世道,解固件的工具也就binwalk,我也就只知道这一个,也问过朋友,好像也没有其他好用的了。(如果有,求推荐)。

How to generate a Pcap traffic from Text file with the help of Scapy

徘徊边缘 提交于 2020-03-23 09:53:11
问题 I have multiple text file which I have previously captured via TCPDump, but I didn't set the config correctly and as a result I don't have a complete dump to convert it to pcap file with the help of text2pcap. Therefore, I have tried to write a python script to convert my text files to pcaps. Following is what my captured file looks like: tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes 1509471560.944080 MAC1 > MAC2, ethertype IPv4 (0x0800), length 74: (tos
订阅 scapy