13、网络安全中的侧向移动与数据收集

网络安全中的侧向移动与数据收集

在网络安全领域，侧向移动和数据收集是攻击者常用的手段，了解如何利用这些技术以及如何防御，对于保障网络安全至关重要。本文将介绍如何通过Python代码实现侧向移动和数据收集的相关操作，包括监控SMB流量、收集浏览器会话cookie、监控剪贴板数据等。

1. 监控SMB流量

SMB（Server Message Block）协议常用于网络文件共享，攻击者可能会利用它上传恶意文件或执行命令。我们可以使用Python和Scapy库来监控SMB流量，检测文件操作和认证尝试。

1.1 检测文件操作

在Wireshark中，我们可以看到SMB文件创建的数据包，其中Command值为0x5表示文件创建。但Scapy会将其误读为大端值，因此在SMB2 Header中，值为1280表示Create命令。我们可以通过正则表达式在数据包负载中搜索文件名。

import struct
from scapy.all import sniff

def processPacket(p):
    if p.haslayer('Raw'):
        load = p['Raw'].load
        try:
            ind = load.index(b'NTLMSSP')
            nameLen = struct.unpack("<h", load[ind + 36:ind + 38])[0]
            offset = ind + struct.unpack("<hh", load[ind + 40: