第15天：信息打点—主机架构&蜜罐识别&WAF识别&&端口扫描&协议识别&服务安全

时间轴

主要内容

1 、端口扫描 - 应用 & 协议

2 、 WAF 识别 - 分类 & 识别

3 、蜜罐识别 - 分类 & 识别

解决：

1 、 Web 服务器 & 应用服务器差异性

2 、 WAF 防火墙 & 安全防护 & 识别技术

3 、蜜罐平台 & 安全防护 & 识别技术

端口服务及渗透

蜜罐Quake系统搜索语法

蜜罐识别

演示案例

识别-Web 服务器-请求返回包

识别-应用服务器-端口扫描技术

识别-其他服务协议-端口扫描技术

识别-WAF 防火墙-看图&项目&指纹

识别-蜜罐平台-人工&网络空间&项目

识别服务器

web服务器

以xiaodi8.com为例子，f12刷新后在回显的请求返回包中可以看到服务器类型

应用服务器

显著特点：端口服务的开发。

eg：安装Apache（web服务器）默认解析80端口，而安装了应用服务器后会自动启动一个端口。

WEB服务器与应用服务器的区别

1.Web服务器默认开启80端口，而应用服务器通常开启一些新端口如701，5566等等

2.应用服务器更适用于java。

3.Web服务器可以通过网页控制台network，server查看出来，而应用服务器看不到。

4.对于应用服务器可以用端口扫描的技术来识别。

端口扫描技术

识别技术：端口扫描（常见应用服务器端口见上面端口服务及渗透）

利用工具：Nmap、Masscan、网络空间

开放状态：Open、Close、Filtered（如防火墙等过滤，有可能开也有可能不开）

意义：

1、web中间件探针

2、应用中间件探针

3、数据库类型探针

4、其他服务协议探针

nmap演示（速度慢）

namp下载：

Download the Free Nmap Security Scanner for Linux/Mac/Windows

https://github.com/robertdavidgraham/massca

nmap使用参考：

https://blog.csdn.net/qq_53079406/article/details/125263917

使用总结：

nmap选择Quick scan plus（快速扫描），Intense scan，all Tcp ports（全端口扫描）

控制台没写全的，扫描可能写的比较全。

​

masscan演示（速度快）

使用参考：

masscan：https://blog.csdn.net/qq_53079406/article/details/125266331

编译 masscan：

https://www.cnblogs.com/lzy575566/p/15513726.html

使用总结：

Masscan -p端口 Ip（指定端口）

masscan.exe -pl -65535 Ip （全部端口）

代码

masscan.exe -p8080,80,443,3306 47.96.88.47

​

网络空间演示

fofa.cn里搜IP，里面有一个IP聚合。

搜索语句：ip="47.96.88.47"，点击IP聚合可以看到更多信息

​

​

​

​

由于网络空间是对IP信息进行爬取，因此可能部分IP信息搜索不到，而且搜索出的端口也不一定全都开放，但是网络空间更快速、更直观。

考虑：

1、防火墙

2、内网环境

内网环境可能出现情况：明明数据库端口开的，网站也能正常打开，但是你对目标进行端

口扫描，发现数据库端口没有开放（排除防火墙问题）

内网将ip反代理到外网，攻击者攻击外网，影响不到内网。

端口扫描意义：

-Web中间件探测     -数据库类型探针

-应用件探针            -其他服务协议探针

WAF识别

waf解释

Web 应用防护系统（也称为：网站应用级入侵防御系统。英文： Web Application

Firewall ，简称： WAF ）。利用国际上公认的一种说法： Web 应用防火墙是通过执行一系

列针对 HTTP/HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品。

waf分类

云waf（一般是中大型企业使用）： 百度安全宝、阿里云盾、长亭雷池，华为云，亚马逊云等

硬件waf（一般为学校、政要等场所使用）： 绿盟、安恒、深信服、知道创宇等公司商业产品

软件waf（一般是个人or中小型企业使用）： 宝塔，安全狗、 D 盾等

代码级waf： 自己写的 waf 规则，防止出现注入等，一般是在代码里面写死的

识别看图（人工）

拦截页面，identywaf 项目内置

拦截页面演示：

以江门饭堂承包|饭堂承包|江门食堂承包|江门合旺官网 (jmhewang.com)为例

在网址后面输入 and 1=1。

identywaf 项目内置举例

国内外常见waf图片：

识别项目（工具）

wafw00f

https://github.com/EnableSecurity/wafw00f

安装及使用

安装指令：

python setup.py install

使用指令：(cd wafw00f)

python main.py url

案例一

以上述的jmhewang.com为例子，识别出来发现是safedog waf

案例二

223.111.128.103:9808

python main.py -l可以查看该工具能够识别出来的对象（下面还有蛮多的，一张图放不下啦~

python main.py -l

identywaf

https://github.com/stamparm/identYwaf

使用指令：

python identYwaf.py url

案例一

下面就还是用jmhewang.com那个例子

案例二

智联云NGX-WAF防护 (zhaopin.com)

网络空间

除此之外，还可以使用网络空间IP聚合对waf进行识别。

蜜罐识别

蜜罐解释

蜜罐是一种安全威胁的检测技术，其本质在于引诱和欺骗攻击者，并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此，我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。

蜜罐分类

根据蜜罐与攻击者之间进行的交互程度分类：低交互蜜罐、中交互蜜罐、高交互蜜罐

根据蜜罐模拟的目标分类：数据库蜜罐、工控蜜罐、物联网蜜罐、web蜜罐等

蜜罐产品

见上面蜜罐Quake系统搜索语法板块

识别原理

谁是鱼谁是饵？红队视角下蜜罐识别方式汇总 (qq.com)

识别技术

1.测试

大概了解组成功能等

反制溯源_欺骗防御_主动防御-HFish免费蜜罐平台

部署演示（以linux为例）

以root权限运行以下命令，确保配置防火墙开启TCP/4433、TCP/4434

firewall-cmd --add-port=4433/tcp --permanent   #（用于web界面启动）
firewall-cmd --add-port=4434/tcp --permanent   #（用于节点与管理端通信）
firewall-cmd --reload

以root权限运行以下一键部署命令

bash <(curl -sS -L https://hfish.net/webinstall.sh)

部署成功后，会默认开启4433端口，用浏览器访问https://ip:4433/web/

账号：admin

密码：HFish2021

这里选择第一个就行

在环境管理—>节点管理可以自行选择要开放or不开放的端口

访问这个url的8080端口，会发现已经替换成了海康摄像头蜜罐

尝试输入用户名和密码

在威胁实体—>账号来源处可以看到攻击内容

大屏处可以看到有谁正在访问

2.项目

项目识别

heimdallr

GitHub - Ghr07h/Heimdallr: 一款完全被动监听的谷歌插件，用于高危指纹识别、蜜罐特征告警和拦截、机器特征对抗

在浏览器中打开开发者模式，安装插件即可使用

启用插件后，发现指纹嗅探or蜜罐告警有提示，基本可以判定有蜜罐（这个插件主要是方便，但是误报率高，很鸡肋）

360quake

GitHub - 360quake/quake_rs: Quake Command-Line Application

首次使用需要配置以下信息：

quake.exe init apikey值

使用命令：

quake.exe honeypot 目标

如果是正常网站，则会有如下提示

但是好像也不是很准确的样子

3.人工分析

端口多而有规律性（4433玩过就知道啦~）

web访问协议就下载（转发跳转下载）

账号密码会采用web jsonp去传输（web功能）

转发 跳转 jsonp去传输

当你去web http去访问这个端口 采用协议去下载

当访问NAS-JUNCHEN会触发下载。

设备指纹分析

4.网络空间

鹰图、Quake对ip进行查询有可能爆出蜜罐。

以上内容由番薯小羊卷~和李豆豆喵共同完成。