信息搜集
文章平均质量分 64
aFa攻防实验室
专注于代码审计、WEB渗透、网络攻防、红蓝对抗等技术
展开
-
信息搜集 - 三层发现 Nmap
0x00:简介nmap 在之前二层发现目标主要是通过 sn 参数,而三层发现的参数也是 sn,namp 通过 sn 参数进行扫描目标,作用于哪层要根据扫描的范围来定。当扫描的目标和自己在同一个网段的时候,sn 参数主要就是用的 arp 协议来扫描,当目标和自己不在同一个网段时,sn 参数主要就是用的 icmp 协议来扫描。所以二层发现用的 nmap 命令和三层发现用的 nmap 命令参数一...原创 2018-11-01 11:42:59 · 646 阅读 · 0 评论 -
信息搜集 - shodan
0x00:简介shodan 可以理解成搜索引擎,和谷歌百度类似,只不过 shodan 专注的是搜索联网的设备。在渗透测试信息搜集的阶段,可以使用 shodan 来搜索下目标的相关信息。地址是 shodan.io。0x01:语法hostname:用来搜索指定的主机或域名。例如:port:搜索指定的端口和服务,例如:country:搜索指定的国家,例如:city:搜...原创 2018-10-12 10:47:07 · 947 阅读 · 0 评论 -
服务扫描之服务识别
0x00:简介在服务扫描中,主要就是去发现端口上跑的是哪个服务。探测目标端口开放,并不能确定其服务,有时候 21 并非 ftp,80 也并非 web。他们只是默认端口,但不代表不可以更改。如果一些服务开放的端口不是默认的话,信息搜集便会受到很大的局限性。服务扫描分了两块,一个是 banner 信息获取,一个是服务识别,之前总结的 banner 信息获取中,banner 也存在不确定性,只能...原创 2018-11-24 18:56:48 · 3462 阅读 · 0 评论 -
SMB/CIFS 扫描
0x00:SMB 简介SMB 是 Server Message Block 的缩写,现在改名为 CIFS,是 Common internet File System 的缩写。主要用于网络上的计算机共享文件,打印机,串行端口和通讯等。使用端口主要为 139 和 445,smb 不同版本对应了不同的操作系统,对应如下:139 和 445 都是 smb 的端口,其区别在于 139 端口是基于...原创 2018-11-28 22:47:32 · 3020 阅读 · 0 评论 -
burpsuite 集成 sqlmap 插件
0x00:前言之前测试 sql 注入的时候很多平台中的很多查询功能都类似,于是通常就只测第一个功能,如果有问题,报告中就加一句类似此功能请逐一检查并修复。如果没问题,就直接过了。那么这样测合适么,答案是否定的。一个系统不可能是一个人开发的,多人开发就可能会出现第一个没问题,第二个类似功能却有问题了。那么,逐一测么,这个问题不讨论,看情况。通常怎么测的呢,burp 拦截包后,在 sqlm...原创 2018-08-22 21:46:07 · 3074 阅读 · 0 评论 -
渗透测试业务逻辑之业务接口调用
0x00:前言上周做渗透,有一个 sql 注入,负责安全审核的人给开发说你们的程序既然还有 sql 注入,我一年也看不见几个。这句话让我又再次深刻的认识到,渗透测试常规的一些注入跨站漏洞不如以前那么盛了,有点经验的开发写东西都会去考虑到了,再加上修复方法也在逐渐的完善,逻辑类的东西也应该并重的去测。0x01:分类我把逻辑类的问题大概总结了一下,大概可以分为十个模块,分别是登录认证模块测...原创 2018-08-14 15:42:41 · 2290 阅读 · 0 评论 -
防火墙识别
0x00:端口识别在检测防火墙是否对一个端口过滤还是关闭,可通过发送两个类型的数据包来判断,第一个是 syn 包,第二个是 ack 包。分别根据这两个包的返回来进行确认。正常的请求过程是发 syn,回 syn/ack,发 ack,回 fin/ack。两个发两个回,所以可以通过两回来确认。这里分为四种情况。第一种是最简单的,端口是开放状态,走的是正常的流程,所以 syn 应回 syn/ack...原创 2018-11-29 23:35:33 · 2265 阅读 · 0 评论 -
SNMP 扫描
0x00:简介snmp 即简单网络管理协议,snmap 会搜集其他设备的信息然后反馈给管理员,方便管理员进行管理。客户端发送这些信息用的是 162 端口,服务器接收用的是 161 端口。信息搜集中,如果目标服务器的 snmp 协议配置不安全,则可以通过扫描 snmp 来获取大量的服务器信息。以 windows2003 为例,安装 snmap。首先打开控制面板的添加删除程序,找到管理和监视工...原创 2018-11-26 22:36:09 · 4022 阅读 · 0 评论 -
信息搜集 - DNS
0x00:前言在搜集域名相关的信息时,除了使用上一篇记录的 nslookup 命令外,dig 也是经常用的一个工具比 nslookup 更强大。0x01:digdig 也是用来查询域名的相关信息的,和 nslookup 相似,但更强大,可以查询一些 dns 的信息。最简单的使用就是 dig 后跟要查询的域名,后面直接跟要查询的记录类型,然后可以指定一下查询的地址,也可以不指定,不指定时...原创 2018-10-10 22:53:49 · 420 阅读 · 0 评论 -
信息搜集-nslookup
0x00:前言被动信息搜集中,可以使用nslookup工具来搜集目标的ip以及各种解析记录,这个命令在win和linux中都是自带的,可以直接使用。0x01:常见的记录a记录:将域名解析为ipv4地址。cname记录:将域名指向另一个域名,也叫做别名记录。mx记录:邮件服务器地址记录。ns记录:域名解析服务器,用来指定该域名由哪个dns服务器来进行解析。txt/spf记录:tx...原创 2018-10-08 17:09:31 · 918 阅读 · 0 评论 -
Netcat详解
0x00:介绍netcat 简称 nc,安全界叫它瑞士军刀。ncat 也会顺便介绍,弥补了 nc 的不足,被叫做 21 世纪的瑞士军刀。nc 的基本功能如下:telnet / 获取系统 banner 信息 传输文本信息 传输文件和目录 加密传输文件 端口扫描 远程控制 / 正方向 shell 流媒体服务器 远程克隆硬盘0x01:端口扫描首先应该知道的一个参数是 - h,...原创 2018-09-24 22:52:54 · 43323 阅读 · 6 评论 -
Nikto 扫描
0x00:简介nikto 是一款用来发现 web 应用程序漏洞的一个工具,扫描的内容大概包括服务器软件的版本,比较版本是否为最新,现版本和最新版的差以及这个版本可能存在的漏洞。会搜索一些存在隐患的文件,例如测试文件,或者是网站备份文件等。也会去扫描服务器的配置漏洞,有没有默认配置,或配置不当的问题。然后就是网站上的一些常见的漏洞了,例如 top10 那种。0x01:nikto 基本使用...原创 2018-12-02 17:43:02 · 6218 阅读 · 1 评论 -
渗透测试之信息搜集
现在很多测试者,不论是在公司测试项目,还是身为白帽子挖洞,大部分都是拿到就开始直接测,其实信息搜集作为渗透测试的第一个阶段,其重要性还是毋庸置疑的,我把之前关于信息搜集的内容整理了一下,录制了个视频,感兴趣可以看下。 公众号推荐:aFa攻防实验室...原创 2019-01-29 11:13:40 · 314 阅读 · 0 评论 -
msf 端口扫描
0x00:介绍msf 端口扫描可以通过两个方式实现,一个是调用 nmap 来扫描目标机的开放端口,一个是利用自带的端口扫描模块来进行扫描。nmap 扫描方式直接在 msf 中输入相应的 nmap 命令即可,msf 模块扫描方式需要调用 auxiliary 下的 scanner 下的 portscan 下的脚本。0x01:msf 调用 nmap以 kali 为例,命令行输入 msfcon...原创 2019-02-12 15:22:04 · 6163 阅读 · 0 评论 -
暴力破解定义和预防
0x00:定义暴力破解可分为两种,一种是针对性的密码爆破,另外一种是扩展性的密码喷洒。密码爆破:密码爆破一般很熟悉,即针对单个账号或用户,用密码字典来不断的尝试,直到试出正确的密码,破解出来的时间和密码的复杂度及长度及破解设备有一定的关系。密码喷洒:密码喷洒和密码爆破相反,也可以叫反向密码爆破,即用指定的一个密码来批量的试取用户,在信息搜集阶段获取了大量的账号信息或者系统的用户,然后以...原创 2019-03-24 15:30:13 · 9503 阅读 · 0 评论 -
目标操作系统识别
0x00:简介操作系统识别判断有两种形式,一种是简单的根据 ttl 的值来做判断,一种是根据服务器的通信特征然后和已有的特征库做对比,最后做判断。在识别的过程中也分两种形式,一种是主动探测,一种是被动探测。主动探测是主动向目标发送请求做的判断,被动是拦截通信的数据包,然后根据数据包的特征来做判断。主动方面可以使用 scapy 和 nmap,被动可以使用 p0f。0x01:ttl最简...原创 2018-11-25 18:06:26 · 1353 阅读 · 0 评论 -
服务扫描获取 banner 信息的方法有哪些
0x00:简介banner 信息来表示欢迎语,其中会包含一些敏感信息,所以获取 banner 也属于信息搜集的范畴。在渗透测试中,典型的 4xx、5xx 信息泄露就属于 banner 泄露的一种。在 banner 信息中,可以获取到软件开发商、软件名称、服务类型、版本号等。而版本号有时候就会存在公开的 CVE 问题,可以直接进行利用。banner 信息获取的基础是在和目标建立链接后的,只有...原创 2018-11-24 12:06:56 · 15074 阅读 · 0 评论 -
信息搜集 - 三层发现 fping
0x00:简介fping 命令和 ping 类似,主要区别在于 ping 不支持网段扫描,需要结合 shell 写脚本。而 fping 支持。这里把 fping 放到了三层发现,其主要使用协议还是 icmp。0x01:fping首先,最基本的用法和 ping 无异,单个目标直接后面跟 ip 地址,如果需要限制发包数量,则通过 c 参数来设置,示例如下:结果返回发送一个包收到一个...原创 2018-11-01 17:40:51 · 321 阅读 · 0 评论 -
信息搜集 - 三层发现 hping3
0x00:简介hping 也是一个很强大的发包程序,最新版本是 3,hping 除了可以发送各种各样的数据包外,还可以做压力测试,造成一定程度的拒绝服务攻击。0x01:hping3hping3 在三层发现目标的基本用法和 ping 类似,也和 fping 类似,但不支持批量操作,也需要借用 shell 脚本来实现。各有优缺点。最基本的用法是后跟一个目标地址,然后指定发送包的类型,c 参...原创 2018-11-02 22:22:42 · 372 阅读 · 0 评论 -
UDP 端口扫描 - Nmap
0x00:简介nmap 在二层做主机发现时使用的参数是 sn(ping 扫描,不做端口扫描)。在三层做主机发现时也是使用的 sn 参数,这里二三层都用的 sn 参数,而具体使用的是二层协议 arp 还是三层协议 icmp,判断依据是是否属于同一个网段。在四层发现时主要利用的是 tcp 和 udp,而 nmap 用到的主要参数就是 PU 和 PA。nmap 使用 udp 来做端口扫描时,用到...原创 2018-11-12 23:52:24 · 44352 阅读 · 1 评论 -
信息搜集 - 四层发现 hping3
0x00:简介hping3 之前在三层发现有记录,格式是 hping3 1.1.1.1 --icmp -c 1,利用的主要是三层协议 icmp。而在四层中,格式类似,区别在于指定的协议不同。0x01:hping3 udphping3 四层发现主要使用的协议是 udp 和 tcp,使用方法和三层的 icmp 类似,先来看下 udp 的用法,格式是 hping3 1.1.1.1 --udp...原创 2018-11-10 21:30:24 · 792 阅读 · 0 评论 -
信息搜集 - 四层发现 Scapy
0x00:简介Scapy 不仅可以在二层、三层去发现目标主机,也可以在四层去应用。主要用到的协议是 TCP 和 UDP。0x01:scapy tcp首先,构造一个 tcp 包,tcp 单独是不能发送的,所以需要结合一下三层的 ip 协议,scapy 中也就是 ip 函数和 tcp 函数的结合,示例如下:IP 包头里的 dst 字段,指定目标地址。TCP 包头里的 flags ...原创 2018-11-05 17:08:21 · 668 阅读 · 0 评论 -
端口扫描 - Scapy
0x00:简介scapy 除了之前在二层三层四层做发现外,也可以用来扫描端口。0x01:scapy udp 端口扫描先说一下 scapy 根据 udp 来发现端口的原理,首先,要扫描端口的主机是在线的,可以通过之前各层的发现技术去发现目标主机是否在线。发送 udp 包如果一个机器收到后,端口在没有开放的情况下会返回一个 icmp 包,提示端口不可达。如果端口开放的话,则没有任何返回...原创 2018-11-11 22:36:30 · 2828 阅读 · 0 评论 -
信息搜集 - 四层发现 Nmap
0x00:简介四层发现主要利用 tcp 和 udp,而除了 scapy 外,nmap 无疑也是一个很强大的工具。0x01:nmap 四层发现首先,来看一下主要用到的参数,如下图:红框中的参数分别是 PS、PA、PU、PY,扫描类型代表是 syn、ack、udp、sctp。nmap 在四层使用 udp 做发现命令格式是:namp 1.1.1.0/24 -PU22222 -sn...原创 2018-11-08 21:50:26 · 646 阅读 · 0 评论 -
端口扫描 - Nmap - 隐蔽扫描
0x00:简介除了使用 scapy 的 tcp 包根据返回了 flags 来判断端口是否开放外,nmap 也可以去做端口扫描,隐蔽扫描主要用到的参数是 sS,如果不加 sS 参数,nmap 默认也会使用 tcp 去发 SYN 来根据返回的结果做判断。nmap 的 sS 文档说明如下:0x01:nmap sS格式是:nmap -sS 1.1.1.1 -p 端口,这个端口可以写成范围的...原创 2018-11-15 23:33:58 · 7381 阅读 · 0 评论 -
端口扫描 - nmap - 全链接扫描
0x00:简介nmap 之前的隐蔽扫描方式主要是通过 sS 参数只像目标服务器发送 SYN 包根据返回结果来判断端口是否开放。全链接扫描参数是 sT,T 既代表 tcp 全链接,使用方法和隐蔽扫描无异,只不过由 sS 换成了 sT。0x01:nmap 全链接扫描端口方式还是范围方式,逗号方式,- 全端口方式,以及不写端口默认常用 1000 个端口的方式。以范围方式为例,如下图:...原创 2018-11-18 22:23:10 · 4703 阅读 · 0 评论 -
端口扫描 - Scapy - 隐蔽扫描
0x00:简介端口扫描可分为三种,分别是隐蔽扫描、全链接扫描、僵尸扫描。隐蔽扫描:像服务器发起的请求不会经历完整的三次握手,首先会向目标服务器进行第一次握手,发送一个 SYN 包,然后根据服务器返回的 flags 来判断目标端口是否开放,flags 如果返回了 SA(SYN/ACK)则代表端口开放,SA 这个是正常的第二次握手,如果返回的是 RA(RSTS/ACK),则代表端口不开放,RA...原创 2018-11-14 22:47:48 · 2990 阅读 · 0 评论 -
端口扫描 - hping3 - 隐蔽扫描
0x00:简介hping3 通过 syn 包来进行端口扫描,设计的参数有:--scan 和 - S,scan 代表开始扫描模式,S 代表 syn 包检测。0x01:hping3 synhping3 端口书写格式和 nmap 几乎一样,首先是单个端口,格式是 hping3 1.1.1.1 --scan 53 -S,检测如下:第二种是多个多个不连续的端口需要用逗号分隔,格式是 hp...原创 2018-11-16 23:03:50 · 3154 阅读 · 0 评论 -
如何利用僵尸扫描来发现服务器的开放端口
0x00:简介渗透测试信息搜集阶段,在发现目标服务器所开放端口时,扫描方式可分为三种,分别是:隐蔽扫描,全链接扫描和僵尸扫描。全链接扫描:即正常的请求,过程包含了三次握手,判断端口开放的依据是第三次握手返回的信息是否为 FIN/ACK。隐蔽扫描:即只发送第一次握手的 SYN 包,判断端口开放的依据是返回的信息是否为 SYN/ACK,如果为 SYN/ACK 则端口开放,否则为未开...原创 2018-11-23 23:04:05 · 1009 阅读 · 0 评论 -
端口扫描 - nc - 全链接扫描
0x00:简介nc 在众多强大的功能中,也有端口扫描,主要的参数有以下几个:其中 n 参数作用是跟 ip 地址,不做 dns 域名解析,可以加快速度。v 参数是显示详细信息。z 参数就是扫描模式,默认就是 tcp 全链接扫描。w 参数是设置超时时间。nc 使用全链接方式扫描端口命令格式如下:nc -nvz 1.1.1.1 1-100。0x01:nc 全链接扫描端口首先执行其命令...原创 2018-11-19 21:22:18 · 6314 阅读 · 0 评论 -
端口扫描 - scapy - 全链接扫描
0x00:介绍端口扫描分为隐蔽扫描、全链接扫描、僵尸扫描。全链接扫描:隐蔽扫描是直接发的 syn 包,只进行第一次握手,通过返回的信息判断端口是否开放。全链接扫描顾名思义,像正常的请求一样去访问目标服务器,也就是要进行三次握手。有时候会受一些防火墙的影像,直接发送 syn 导致没有信息返回,判断不准确的情况,这时候可以用全链接方式进行扫描。弊端在于大量的全链接请求,而请求后又没有进行后...原创 2018-11-17 22:41:11 · 1815 阅读 · 0 评论