关于Above


Above是一款专为红队研究人员设计的网络协议嗅探工具,该工具隐蔽型极强,可以帮助广大研究人员搜索目标网络中的相关安全漏洞。



Above可以帮助渗透测试人员和安全专家搜索目标网络设备中的安全漏洞,该工具完全基于网络流量来执行安全分析,因此不会在网络系统中产生任何噪声。Above使用纯Python开发,基于Scapy库实现其功能。Above的主要任务是搜索目标网络内部的L2/L3协议,基于流量嗅探来识别和发现配置中存在的安全问题。


支持的协议


当前版本的Above支持检测下列12种网络协议:


1、CDP
2、DTP
3、Dot1Q
4、OSPF
5、EIGRP
6、VRRPv2
7、HSRPv1
8、STP
9、LLMNR
10、NBT-NS
11、MDNS
12、DHCPv6


需要注意的是,该工具实现了线程机制,因此所有的协议分析都可以同步进行。


运行机制


Above支持下列两种运行模式:


1、热模式:定期对目标接口执行实时嗅探;
2、冷模式:离线分析之前转储的流量数据;

我们只需要给工具脚本指定运行参数,即可控制Above的任务执行:

Interface:指定需要嗅探的目标网络接口;
Timer:设置执行流量分析的时间间隔;
Output pcap:Above将会把监听到的流量数据记录到pcap文件中,文件名称支持自定义;
Input pcap:工具支持将准备好的.pcap文件作为输入参数,并对其执行安全审计分析;


支持收集的协议信息


Impact:可以针对该协议执行的攻击类型;
Tools:可以针对该协议执行攻击的工具;
Technical Information:攻击者所需要的相关信息,例如IP地址、FHRP组ID、OSPF/EIGRP域等;


工具安装


由于该工具基于纯Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:


caster@kali:~$ git clone https://github.com/wearecaster/Above


然后切换到项目目录中,执行工具安装脚本即可:


caster@kali:~$ cd Above/

caster@kali:~/Above$ sudo python3 setup.py install


工具参数


usage: above [-h] [--interface INTERFACE] [--timer TIMER] [--output-pcap OUTPUT_FILE] [--input-pcap INPUT_FILE]

 

options:

  -h, --help                     显示工具帮助信息和退出

  --interface INTERFACE         指定目标网络接口

  --timer TIMER                 指定一个时间间隔(秒)

  --output-pcap OUTPUT_FILE    指定记录流量的输出pcap文件路径

  --input-pcap INPUT_FILE       指定要分析流量的输入pcap文件路径


工具使用


首先,我们需要先将接口切换为混杂模式,并使用root权限运行Above脚本:


caster@kali:~$ sudo ip link set eth0 promisc on


Above在启动时至少要指定一个目标接口和一个计时器:


caster@kali:~$ sudo above --interface eth0 --timer 120


如果你需要记录嗅探到的网络流量,请使用--output-pcap参数:


caster@kali:~$ sudo above --interface eth0 --timer 120 --output-pcap dump.pcap


如果你已经存储了记录下的嗅探流量,你可以使用--input-pcap参数来寻找其中潜在的安全问题:


caster@kali:~$ above --input-pcap dump.pcap


工具使用演示


网络流量嗅探



PCAP分析



许可证协议


本项目的开发与发布遵循Apache-2.0开源许可证协议。


项目地址


Above:【GitHub传送门


参考资料


https://pypi.org/project/auto-py-to-exe/