中华网络军刀 使用手册--基础篇
基础篇
中华经典网络军刀的图形用户界面参考图如下(不同版本可能存在细微差异):
界面从上至下依分隔符划分为菜单、工具条、参数区、文本反馈框和指令操作框五大部分。
| 菜单分为操作、工具、选项、帮助四大类 |
操作菜单包括如下菜单项:
◇ 连接目标地址端口:按照参数区的目标地址、端口和协议设置尝试网络连接。
◇ 关闭目标连接:关闭当前远程目标连接。
◇ 启用本地监听端口:按照参数区指定的本地监听端口尝试监听,以便接收来自网络的连接请求。
◇ 关闭监听:关闭当前监听状态,并释放监听连接。
◇ 监听为代理服务器:如果勾选,则允许模拟作为代理服务器部署(支持 HTTP CONNECT 代理连接协议),其主要目的是为了突破防火墙安全策略和根据需要随时通过远程来操纵任意更远程的有效目标连接,也普遍适用于更好地跟踪分析相关感兴趣软件的通讯数据(如截获剖析 QQ2003III 的全部通讯密文)。
◇ 监听为蜜罐系统:支持部署为 FTP/SMTP/HTTP/POP3 蜜罐(请期待更多更完善的仿真支持),用于捕捉相应端口的刺探扫描,并最终分析和诱捕入侵企图,也可用于找回自己遗忘了的相关密码。
◇ 监听绑定:如果勾选,允许指定在监听连接建立后立即绑定执行的任意本地可执行文件(默认为 Windows 2000 的 cmd.exe),一旦连接成功,便于进行命令行交互操作如设立账号密码等。
◇ 嗅探监听:如果启用嗅探,则可以捕获所有流经本地的网络数据包并根据筛选条件观察到简要分析数据 (启用嗅探可能侵犯他人隐私,请在法律许可的范围内有条件的克制使用)。
◇ ARP 协议族:用于获取和监视指定 IP 对应的 MAC 地址,监视功能的典型应用是检测自己是否正在遭受 ARP 路由欺骗甚至陷入基于交换机环境的网络嗅探。
◇ ICMP 协议族:用于追踪从本地到指定 IP 的所有途径路由节点(假如节点没有关闭 ICMP 协议)。
◇ HTTP 协议族:用于简化部分繁琐的 HTTP 协议操作。
◇ FTP 协议族:用于简化部分繁琐的 FTP 协议操作。
◇ 数据来自文件:直接从文件载入并发送(或回应)文本数据或者二进制可执行代码,辅助提高对非文本协议的操作支持。
◇ 从文件发送数据:将指定文件的二进制数据发送到远程服务器,方便对特定服务端口的数据缓冲区等潜在漏洞进行汇编代码级溢出测试 (请注意,测试可能具有高攻击危险性,请在法律许可的授权范围内进行有限操作)。
◇ 从文件回应数据:直接将指定文件的数据内容回应给监听隧道的客户端。
◇ 端口扫描:扫描指定 IP 开放的常用端口 (更高级和更多的选项在命令行指令中支持)。
◇ 探测 NetBios 信息:探测指定 IP 的 NetBios 信息包括系统指纹、组、账号、共享等。
◇ 探测系统管理员弱口令:探测指定 IP 的 Windows 系统管理员 Administrator 账号的弱口令。
◇ 探测 VSS 用户列表及口令:探测基于本地或共享局域网访问方式的指定 VSS 数据库路径中包含的用户帐号列表及等效口令。更多选项的高级密码破解请使用 Scan Vss Password 内置指令。
◇ 开放指令窗口:允许在指令操作框中输入高级的内置指令。
◇ 清除回显数据:清空回显数据文本框。
◇ 打开日志文件:阅读和分析历史通讯数据。
◇ 退出:退出本软件工具。
工具菜单包括如下菜单项:
◇ 获取受保护数据存储信息:用于获取 Outlook、IE 受保护站点以及自动完成的密码等信息。
◇ 监视文件访问:监视本地或网络的整个或指定的文件系统的所有增删读写等访问操作,可选仅显示可执行文件和增删操作,同时可选自动删除新增文件(虽然不一定都能成功)。
◇ 文件摘要验证:验证选定文件的 MD5/SHA1 哈希值。
◇ 监视系统消息:监视系统按键序列和剪贴板等。
◇ 显示本地 ARP 路由表:类似于系统 Arp -a 指令,显示 IP 和 MAC 地址的对应关系。
◇ 显示网络连接状态:类似于 NetStat DOS 命令,但增加了进程 ID 和宿主文件显示 (更高级和更多的选项在命令行指令中支持)。
◇ 显示系统进程:类似于系统任务管理器 (更高级和更多的选项在命令行指令中支持)。
◇ 显示系统窗口:列出当前系统打开的所有(包括隐含的)窗口信息 (更高级和更多的选项在命令行指令中支持)。
◇ 编码解码:实现对全部或指定文本的 Base64/QuotedPrintable 编解码、MD2/MD4/MD5/SHA1 编码以及 VSS 散列破译等编解码操作。
◇ 本地安全策略:方便用户及时关闭可能危害本地安全的系统空连接枚举、驱动器根自动隐藏共享、远程管理共享和 RPC 服务等,也可选在 Windows XP SP2 系统对移动存储设备进行写保护,阻止有害程序通过 USB 磁盘传播,不过大多数策略可能需要重新启动计算机才能生效。
选项菜单以勾选相应菜单项的形式提供下列用户配置(勾选表示允许):
◇ 总在最前面:保持软件始终位于所有其它窗口前方,方便及时观察运行动态。
◇ 禁止屏幕保护:如果勾选,屏幕保护程序将暂时被屏蔽。
◇ 发送指令编码格式:发送的指令支持采用十进制或者十六进制编码串格式发送或回应非文本数据。要获得该支持,必须手工选定编码方案的格式,并且发送的编码串必须以 % 作为前缀,不过数据分隔则可以采用“%/^,;”以及空格、回车换行等任选其一的字符。
◇ 通讯数据回显样式:通讯数据支持按普通原文字符串/十进制、十六进制编码串/C++、Debug字符风格等多种显示样式进行回显,同时还可选择仅对非文本字符(ASCII码界于 0x20~0x7E 之外)进行编码,更方便对非文本通讯数据进行实时监测和跟踪分析,也更加适合不同网络应用和个人数据阅读偏好的需要。
◇ 响应功能热键:如果勾选则本工具的快捷键有效。
◇ 记录操作日志:将所有操作以及反馈信息记录到 CCNBLog<时间戳>.txt 文件,以便事后作详细分析。
◇ 回显框内容长度控制:如果勾选,则回显框文本将自动控制在 32K 以内以保持回显框处理效率,否则可能因为文本累计过多而导致响应迟滞。
◇ 标记数据传输流向:如果勾选,则可以很方便清晰的从回显框或通讯日志中分析数据往来的通讯机制。
◇ 监听数据反馈回显给客户端:将监听到的客户端指令回馈给客户端显示,方便诸如 Telnet 用户了解当前输入的指令。
◇ 包转发:支持远程连接和监听连接两条通讯隧道之间的加密双向包转发,可作为秘密通讯的通用网关和跳板使用。
◇ 自动双向转发:默认勾选,即允许启用包转发服务 (请注意:内部自调试时可能需要关闭此选项,以避免无限循环)。
◇ 加密远程通讯流:如果勾选,则对远程连接通道传输数据加密,杜绝明文输出(需要与“加密监听通讯流”配对使用)。
◇ 加密监听通讯流:如果勾选,则对监听通讯数据加密,杜绝明文通讯(需要与“加密远程通讯流”配对使用)。
◇ 目标连接中断警示:如果勾选,则远程连接丢失后会通知状态栏更换到警示图标。
◇ 目标连接中断关机:如果勾选,则远程连接丢失后会自动引发关机事件,典型应用于无人值守环境下,当外部电源中断而 UPS 供电时间有限时的服务器自动关机。
◇ 目标连接中断自动重新连接:提供在被远程断开条件下的自动重新连接功能,免除手工续连操作。
◇ 自动补足附加发送信息:主要用于补足 HTTP 协议所要求的参考站点及来源等域字段。
◇ 解析内部指令:如果勾选,则可以输入所有内部命令行指令以获取更高级和更多的信息支持。
帮助菜单包括如下菜单项:
◇ 在线帮助:阅读官方网站上的帮助信息。
◇ 访问官方更新网站:了解更新记录和下载最新版本。
◇ 发送 Email 反馈函:发送反馈信息或者批评建议。
◇ 申请付费序列号:如果已经付费,通过此菜单可申请获取付费序列号,以启用所有内部会员高级功能。
◇ About:关于本软件的简要申明。
| 工具条 |
| 参数区 |
◇ 目标地址:指定需要连接的远程目标服务器域名(不应包含 http://)或者 IP 地址(默认为 Localhost)。
◇ 端口:指定需要连接到的目标端口,可以从下拉列表中选择最常用端口,也可以任意输入需要的端口号。
◇ 协议:指定连接采用的协议,目前暂时仅支持 TCP/IP 和 UDP 两种协议。
◇ 本地绑定端口:指定进行远程连接时所分配的本地端口,其意义在于让远程刺探入侵连接更具有隐蔽性和迷惑性,例如可以绑定本地 80 端口进行远程控制,以使对方的安全日志乍看起来像在浏览网页。不过有些遗憾的是,由于网络连接不一定是被优雅关闭,因此可能需要一段时间等待系统端口资源释放,这样才能在另一次远程连接时再次成功绑定同一个本地端口。
◇ 本地监听端口:指定将要开放的、提供远程接入的本地端口(默认为 5555)。
◇ 端口复用:如果勾选,则允许监听端口被再次绑定或者强制绑定在已经占用的端口上,这意味着可以替换或拦截原有服务。当然,并非所有端口都可以成功强行绑定,这取决于操作系统对安全稳定性的考虑和设计,例如操作系统通常都不会允许端口复用在一些重要的系统端口如 135/139/445 等。
◇ 监听端口号自动中断递增:如果勾选,则每一次监听端口在被远程断开后,将自动释放当前端口并启用递增的端口号,以此来满足个别协议如 FTP 的特殊要求。
| 文本回显反馈框 |
如果需要保存所有通讯信息,请启用“记录操作日志”功能。
| 指令操作框 |
如果该文本框处于灰色不可用状态,则表明当前没有任何可供发送操作指令的网络连接,即无可用连接。
当然,可以通过“开放指令窗口”菜单项强制开放指令输入框以输入内置指令。
本软件提供如下内置指令:
| 指令 | 功能 | 语法 |
| ? | 阅读在线帮助。 | ? |
| Clear | 清除文本反馈框。 | Clear |
| Close | 关闭当前远程网络连接。 | Close |
| Disable | 关闭会员模式。 | Disable |
| Enable | 进入会员模式以启用内部高级功能。 | Enable 会员序列号 (绑定 Show Version 中反馈的 UserID,仅内部发放或者付费申请) |
| Kill | 终止指定进程、线程或者窗口。 | Kill Process 进程ID Kill Thread 线程ID Kill Window 窗口句柄 |
| Scan | 会员功能:通过 MAC/NetBios/Port/VSS 扫描监视 MAC 地址、探测 NetBios 信息、侦测弱口令、检查开放端口以及破译 VSS 账号等效密码。 | Scan Mac 目标IP地址 [连续IP数量] [0 Base NCB 扫描接口索引] Scan NetBios 目标IP地址 [用户名] [密码] Scan NetBios Password 目标IP地址 [用户名] [密码] Scan Port 目标IP地址 [默认常用端口或指定范围(端口1,端口2-端口n)] [线程数] [0/1:是否获取端口欢迎信息] [0/1:是否显示扫描进度] Scan Vss VSS数据库路径 [用户名] Scan Vss Password 密码Hash [0/-1/1:字母数字/所有可显示ASCII/仅数字] [0/1:是否搜索所有等效密码] [搜索时长(秒)] |
| Send | 会员功能:发送原始数据包。 | Send Tcp 目标IP地址 [目标端口] [伪造源IP] [伪造源端口] [包数量] [循环次数] [每次循环暂停秒数] [标志位] [#SEQ] [#ACK] |
| Set | 设置 ARP 静态路由、调整内存分配以及 Menu/Window 状态属性。 | Set Arp 接口 目标IP地址 [静态 Mac 地址] Set Memory 进程ID [最小内存分配] [最大内存分配] (最大最小内存均置空或设为 -1 表示释放所有物理内存占用) Set Menu 菜单句柄 菜单项位置 菜单呈现状态(Disable/Enable/Gray) Set Window 窗口句柄 窗口状态(Disable/Enable/Default/Hide/Max/Min/Normal/Restore/Show) |
| Show | 查阅相关信息。 | Show Adapter Show Arp Show CpuInfo Show DiskInfo Show Memory 进程ID 0x十六进制内存地址 字节数 Show Menu 窗口句柄 Show NetStat [0/1:是否将地址和端口反向解析为名称] Show Process [进程ID] [1:模块列表/2:线程列表/3:内存堆列表/4:内存块列表及32字节预览] [内存预览过滤字符串] Show Version (其中 UserID 与会员序列号惟一对应) Show Window [窗口句柄] [0/1:是否遍历子窗口] [0/1:是否仅显示可视窗口] [0/1:是否仅显示可用窗口] |