信息打点-主机架构&蜜罐识别&WAF识别&端口扫描
文章目录
概述-思维导图
本节知识点:
1、端口扫描-应用&协议
2、WAF识别-分类&识别
3、蜜罐识别-分类&识别
解决:
1、Web服务器&应用服务器差异性
2、WAF防火墙&安全防护&识别技术
3、蜜罐平台&安全防护&识别技术
Web服务器
Apache、Nginx、IIS、lighttpd等
应用服务器:
Tomcat、Jboss、Weblogic、Websphere等(一般和Java的一些服务相关
会开放一个特定端口,支持运行的业务与Web服务器不同,一般Java相关服务使用应用服务器
由语言开发出来的程序特性不同,所使用的服务器不同
应用服务器不能够通过response头中的server判断识别,而是应该通过端口扫描判断
数据库类型:
Mysql、SqlServer、Oracle、Redis、MongoDB等
操作系统信息
Linux、windows等
应用服务信息:
FTP(文件传输协议)、SSH(Linux远程连接)、RDP(Win远程连接3389)、SMB、SMTP(邮件服务)、LDAP、Rsync等
WAF信息
创宇盾、宝塔、ModSecurity、玄武盾、OpenRASP等。
蜜罐信息:
HFish、TeaPot、T-Pot、Glastopf等
识别应用服务器&其他服务协议:端口扫描
识别Web服务器:请求返回包
识别web服务器只需要查看请求返回包中的数据即可
端口扫描:Nmap、Masscan、网络空间
端口开放状态:open、close、filtered
主动分析、主动扫描:Nmap、Masscan
被动分析:网络空间
有些挖洞规则会要求不能主动干啥干啥,就需要在一些平台上查
端口扫描不只是扫描服务器,也会扫描数据库等信息
Nmap
https://nmap.org/download.html
使用参考:
https://blog.csdn.net/qq_53079406/article/details/125266331
nmap功能强大,扫描出来更精准
Masscan
https://github.com/robertdavidgraham/masscan
使用参考:
https://blog.csdn.net/qq_53079406/article/details/125266331
源码,需要编译,参考:
编译masscan:https://www.cnblogs.com/lzy575566/p/15513726.html
相对来说功能没有nmap强大,速度快,有时候用来批量扫描多一些
端口扫描的意义:将目标信息了解的足够多,安全测试的方法,入手点,就会多很多
意外环境:
1、防火墙
扫到端口但是被防火墙过滤了(filtered状态
2、内网环境
可能出现的情况:数据库端口开放的,网站也能正常打开,但是对目标进行端口扫描,发现数据库端口没有开放(排除防火墙问题)(没办法解决,在内网环境)
3、Web反向代理
识别WAF防火墙
WAF解释:
Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
识别WAF防火墙仅仅是给我们一些提示,对安全测试没有太大意义,只是识别出来有WAF,从测试思路上选择放弃某些方法
有WAF的情况下,大部分的常规攻击手段都会失效,能绕过就绕过,不能绕过就放弃,即使有漏洞也不行
大部分WAF都不能绕过,能绕过的是小部分而且是不重要的、鸡肋的
WAF分类
-
云WAF:百度安全宝、阿里云盾、长亭雷池,华为云,亚马逊云等
中大型企业,有实力的黑*领域/擦边球网站
功能最强大的,最新的
-
硬件WAF:绿盟、安恒、深信服、知道创宇等公司商业产品
中大型企业,政要、官方、军工
-
软件WAF:宝塔,安全狗、D盾等
一般个人,小中型网站常用的,非法,没有经济实力的黑*领域的用
-
代码级WAF(其实就是写在代码中的一些过滤规则)
自己写的waf规则,防止出现注入等,一般是在代码里面写死的
云WAF和硬件WAF基本不可能绕过,有的绕过了但是也没有什么作用,微乎其微,不会影响关键业务的
只有软件WAF有绕过的可能,而且绕过是有局限性的,只是在某一个方面
遇到大部分防火墙直接跑路,除非是软件WAF
WAF识别
识别看图
看拦截页面、identywaf项目内置
识别项目(工具
网络空间也能识别
wafw00f
https://github.com/EnableSecurity/wafw00f
identywaf
https://github.com/stamparm/identYwaf
识别蜜罐平台
蓝队部署蜜罐,红队识别蜜罐
蜜罐解释:
蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。
蜜罐分类
根据蜜罐与攻击者之间进行的交互的程度可以将蜜罐分为三类:低交互蜜罐、中交互蜜罐、高交互蜜罐。当然还可以根据蜜罐模拟的目标进行分类,比如:数据库蜜罐、工控蜜罐、物联网蜜罐、Web蜜罐等等。
蜜罐识别原理
https://mp.weixin.qq.com/s/jPz9hBmUypFyQlU27vglUg
蜜罐安装示例
hfish.net/#/
蜜罐识别技术
工具项目识别:
heimdallr
https://github.com/graynjo/Heimdallr
浏览器插件,会误报而且误报概率高
quake_rs
https://github.com/360quake/quake_rs
quake.exe init apikey值
quake.exe honeypot 目标
人工识别:
-
端口多而有规律性
-
Web访问协议就下载
正常不能解析,但是用web协议访问,就会下载
-
设备指纹对应分析
网络空间平台识别
鹰图,Quake
三种方式结合判断识别
附:
常见端口对应服务&渗透用途
| 端口 | 服务 | 渗透用途 |
|---|---|---|
| tcp 20,21 | FTP | 允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4) |
| tcp 22 | SSH | 可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等 |
| tcp 23 | Telnet | 爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令 |
| tcp 25 | SMTP | 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑 |
| tcp/udp 53 | DNS | 允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控 |
| tcp/udp 69 | TFTP | 尝试下载目标及其的各类重要配置文件 |
| tcp 80-89,443,8440-8450,8080-8089 | 各种常用的Web服务端口 | 可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等…… |
| tcp 110 | POP3 | 可尝试爆破,嗅探 |
| tcp 111,2049 | NFS | 权限配置不当 |
| tcp 137,139,445 | Samba | 可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等…… |
| tcp 143 | IMAP | 可尝试爆破 |
| udp 161 | SNMP | 爆破默认团队字符串,搜集目标内网信息 |
| tcp 389 | LDAP | ldap注入,允许匿名访问,弱口令 |
| tcp 512,513,514 | Linux rexec | 可爆破,rlogin登陆 |
| tcp 873 | Rsync | 匿名访问,文件上传 |
| tcp 1194 | OpenVPN | 想办法钓VPN账号,进内网 |
| tcp 1352 | Lotus | 弱口令,信息泄漏,爆破 |
| tcp 1433 | SQL Server | 注入,提权,sa弱口令,爆破 |
| tcp 1521 | Oracle | tns爆破,注入,弹shell… |
| tcp 1500 | ISPmanager | 弱口令 |
| tcp 1723 | PPTP | 爆破,想办法钓VPN账号,进内网 |
| tcp 2082,2083 | cPanel | 弱口令 |
| tcp 2181 | ZooKeeper | 未授权访问 |
| tcp 2601,2604 | Zebra | 默认密码zerbra |
| tcp 3128 | Squid | 弱口令 |
| tcp 3312,3311 | kangle | 弱口令 |
| tcp 3306 | MySQL | 注入,提权,爆破 |
| tcp 3389 | Windows rdp | shift后门[需要03以下的系统],爆破,ms12-020 |
| tcp 3690 | SVN | svn泄露,未授权访问 |
| tcp 4848 | GlassFish | 弱口令 |
| tcp 5000 | Sybase/DB2 | 爆破,注入 |
| tcp 5432 | PostgreSQL | 爆破,注入,弱口令 |
| tcp 5900,5901,5902 | VNC | 弱口令爆破 |
| tcp 5984 | CouchDB | 未授权导致的任意指令执行 |
| tcp 6379 | Redis | 可尝试未授权访问,弱口令爆破 |
| tcp 7001,7002 | WebLogic | Java反序列化,弱口令 |
| tcp 7778 | Kloxo | 主机面板登录 |
| tcp 8000 | Ajenti | 弱口令 |
| tcp 8009 | tomcat Ajp | Tomcat-Ajp协议漏洞 |
| tcp 8443 | Plesk | 弱口令 |
| tcp 8069 | Zabbix | 远程执行,SQL注入 |
| tcp 8080-8089 | Jenkins,JBoss | 反序列化,控制台弱口令 |
| tcp 9080-9081,9090 | WebSphere | Java反序列化/弱口令 |
| tcp 9200,9300 | ElasticSearch | 远程执行 |
| tcp 11211 | Memcached | 未授权访问 |
| tcp 27017,27018 | MongoDB | 爆破,未授权访问 |
| tcp 50070,50030 | Hadoop | 默认端口未授权访问 |
蜜罐产品&响应特征
| 蜜罐 | Quake系统搜索语法 |
|---|---|
| STRUTSHONEYPOT | app:“StrutsHoneypot” |
| CONPOT HTTP 蜜罐 | app:“Conpot Http 蜜罐” |
| CONPOT MODBUS 蜜罐 | app:“Conpot modbus 蜜罐” |
| CONPOT S7 蜜罐 | app:“Conpot s7 蜜罐” |
| KIPPO 蜜罐 | app:“kippo 蜜罐” |
| HONEYPY HTTP 蜜罐 | app:“Honeypy Http 蜜罐” |
| HONEYPY ES蜜罐 | app:“Honeypy ES蜜罐” |
| AMUN IMAP 蜜罐 | app:“amun imap 蜜罐” |
| AMUN HTTP蜜罐 | app:“amun http蜜罐” |
| NEPENTHES NETBIOS蜜罐 | app:“Nepenthes netbios蜜罐” |
| NEPENTHES FTP 蜜罐 | app:“Nepenthes FTP 蜜罐” |
| SSHESAME SSH 蜜罐 | app:“sshesame ssh 蜜罐” |
| OPENCANARY蜜罐管理后台 | app:“opencanary蜜罐管理后台” |
| DIONAEA SIPD 蜜罐 | app:“Dionaea sipd 蜜罐” |
| DIONAEA SMBD 蜜罐 | app:“Dionaea smbd 蜜罐” |
| DIONAEA HTTP 蜜罐 | app:“Dionaea Http 蜜罐” |
| DIONAEA MSSQL 蜜罐 | app:“Dionaea MSSQL 蜜罐” |
| DIONAEA FTP 蜜罐 | app:“Dionaea ftp 蜜罐” |
| DIONAEA MEMCACHED 蜜罐 | app:“Dionaea Memcached 蜜罐” |
| KOJONEY SSH 蜜罐 | app:“Kojoney SSH 蜜罐” |
| WEBLOGIC蜜罐 | app:“weblogic蜜罐” |
| MYSQL蜜罐 | app:“MySQL蜜罐” |
| HFISH蜜罐 | app:“HFish蜜罐” |
| HFISH蜜罐管理后台 | app:“HFish蜜罐管理后台” |
| HONEYTHING物联网蜜罐 | app:“honeything物联网蜜罐” |
| ELASTICSEARCH蜜罐 | app:“elasticsearch蜜罐” |
| HOSTUS蜜罐 | app:“HostUS蜜罐” |
| WHOISSCANME蜜罐 | app:“whoisscanme蜜罐” |
| 未知蜜罐 | app:“未知蜜罐” |
| COWRIE TELNETD蜜罐 | app:“Cowrie telnetd蜜罐” |
| GLASTOPF蜜罐 | app:“glastopf蜜罐” |
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
