nc

信息取证

顾名思义，就是可以把目标机器的信息弄到自己电脑上，而且不会进行目标主机的信息读写，不会破坏数据，还不会影响到以删除数据的恢复，总之，就是我不懂的就对了.

我的主机

我的主机需要负责监听，命令是：

nc -l -p [port]

l:listen, p:port

可以使用重定向把输出结果保存到文本里，by the way.

目标主机

目标主机执行这个命令就会建立文本传输：

nc -nv [我的主机ip] [我的主机刚刚开启的监听端口]

同样的，可以使用管道符，进行取证。取证结果直接传回我的主机：

ls -l | nc -nv [我的主机ip] [我的主机刚刚开启的监听端口]

只能局域网内使用

这个原理说是建立一个TCP连接，TCP是运输层协议，我想可能是因为这个，让它只能在局域网通信吧～

这个就是模拟的本机，开启了444端口

这个是模拟的目标机器，这样做，这两台同一局域网的机器就可以传输文本了。
在这里插入图片描述

然后来试试让面说的取证。

自己的机子执行sudo nc -l -p 444 > ps.txt开启444监听端口并将收到目标主机的文本存到ps.txt

目标机器模拟执行ps -e | nc -nv [ip] [port]执行ps命令并将结果传给我的机子