015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全
#知识点:
1、端口扫描-应用&协议
2、WAF识别-分类&识别
3、蜜罐识别-分类&识别
解决:
1、Web服务器&应用服务器差异性
2、WAF防火墙&安全防护&识别技术
3、蜜罐平台&安全防护&识别技术
#补充:
开发语言:PHP、JAVA、Ruby、Python、C#,JS等
Web服务器:Apache、Nginx、IIS、lighttpd等
应用服务器:Tomcat、Jboss、Weblogic、Websphere等
数据库类型:Mysql、SqlServer、Oracle、Redis、MongoDB等
操作系统信息:Linux、windows等
应用服务信息:FTP、SSH、RDP、SMB、SMTP、LDAP、Rsync等
CDN信息:帝联、Cloudflare、网宿、七牛云、阿里云等
WAF信息:创宇盾、宝塔、ModSecurity、玄武盾、OpenRASP等。
蜜罐信息:HFish、TeaPot、T-Pot、Glastopf等
其他组件信息:fastjson、shiro、log4j、OA办公等
| 端口 | 服务 | 渗透用途 |
|---|---|---|
| tcp20,21 | FTP | 允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd1.3.5),各类后门(proftpd,vsftp2.3.4) |
| tcp22 | SSH | 可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等 |
| tcp23 | Telnet | 爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令 |
| tcp25 | SMTP | 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑 |
| tcp/udp53 | DNS | 允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控 |
| tcp/udp69 | TFTP | 尝试下载目标及其的各类重要配置文件 |
| tcp80-89,443,8440-8450,8080-8089 | 各种常用的Web服务端口 | 可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等…… |
| tcp110 | POP3 | 可尝试爆破,嗅探 |
| tcp111,2049 | NFS | 权限配置不当 |
| tcp137,139,445 | Samba | 可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等…… |
| tcp143 | IMAP | 可尝试爆破 |
| udp161 | SNMP | 爆破默认团队字符串,搜集目标内网信息 |
| tcp389 | LDAP | ldap注入,允许匿名访问,弱口令 |
| tcp512,513,514 | Linuxrexec | 可爆破,rlogin登陆 |
| tcp873 | Rsync | 匿名访问,文件上传 |
| tcp1194 | OpenVPN | 想办法钓VPN账号,进内网 |
| tcp1352 | Lotus | 弱口令,信息泄漏,爆破 |
| tcp1433 | SQLServer | 注入,提权,sa弱口令,爆破 |
| tcp1521 | Oracle | tns爆破,注入,弹shell… |
| tcp1500 | ISPmanager | 弱口令 |
| tcp1723 | PPTP | 爆破,想办法钓VPN账号,进内网 |
| tcp2082,2083 | cPanel | 弱口令 |
| tcp2181 | ZooKeeper | 未授权访问 |
| tcp2601,2604 | Zebra | 默认密码zerbra |
| tcp3128 | Squid | 弱口令 |
| tcp3312,3311 | kangle | 弱口令 |
| tcp3306 | MySQL | 注入,提权,爆破 |
| tcp3389 | Windowsrdp | shift后门[需要03以下的系统],爆破,ms12-020 |
| tcp3690 | SVN | svn泄露,未授权访问 |
| tcp4848 | GlassFish | 弱口令 |
| tcp5000 | Sybase/DB2 | 爆破,注入 |
| tcp5432 | PostgreSQL | 爆破,注入,弱口令 |
| tcp5900,5901,5902 | VNC | 弱口令爆破 |
| tcp5984 | CouchDB | 未授权导致的任意指令执行 |
| tcp6379 | Redis | 可尝试未授权访问,弱口令爆破 |
| tcp7001,7002 | WebLogic | Java反序列化,弱口令 |
| tcp7778 | Kloxo | 主机面板登录 |
| tcp8000 | Ajenti | 弱口令 |
| tcp8009 | tomcatAjp | Tomcat-Ajp协议漏洞 |
| tcp8443 | Plesk | 弱口令 |
| tcp8069 | Zabbix | 远程执行,SQL注入 |
| tcp8080-8089 | Jenkins,JBoss | 反序列化,控制台弱口令 |
| tcp9080-9081,9090 | WebSphere | Java反序列化/弱口令 |
| tcp9200,9300 | ElasticSearch | 远程执行 |
| tcp11211 | Memcached | 未授权访问 |
| tcp27017,27018 | MongoDB | 爆破,未授权访问 |
| tcp50070,50030 | Hadoop | 默认端口未授权访问 |
| 蜜罐 | Quake系统搜索语法 |
|---|---|
| STRUTSHONEYPOT | app:“StrutsHoneypot” |
| CONPOTHTTP蜜罐 | app:“ConpotHttp蜜罐” |
| CONPOTMODBUS蜜罐 | app:“Conpotmodbus蜜罐” |
| CONPOTS7蜜罐 | app:“Conpots7蜜罐” |
| KIPPO蜜罐 | app:“kippo蜜罐” |
| HONEYPYHTTP蜜罐 | app:“HoneypyHttp蜜罐” |
| HONEYPYES蜜罐 | app:“HoneypyES蜜罐” |
| AMUNIMAP蜜罐 | app:“amunimap蜜罐” |
| AMUNHTTP蜜罐 | app:“amunhttp蜜罐” |
| NEPENTHESNETBIOS蜜罐 | app:“Nepenthesnetbios蜜罐” |
| NEPENTHESFTP蜜罐 | app:“NepenthesFTP蜜罐” |
| SSHESAMESSH蜜罐 | app:“sshesamessh蜜罐” |
| OPENCANARY蜜罐管理后台 | app:“opencanary蜜罐管理后台” |
| DIONAEASIPD蜜罐 | app:“Dionaeasipd蜜罐” |
| DIONAEASMBD蜜罐 | app:“Dionaeasmbd蜜罐” |
| DIONAEAHTTP蜜罐 | app:“DionaeaHttp蜜罐” |
| DIONAEAMSSQL蜜罐 | app:“DionaeaMSSQL蜜罐” |
| DIONAEAFTP蜜罐 | app:“Dionaeaftp蜜罐” |
| DIONAEAMEMCACHED蜜罐 | app:“DionaeaMemcached蜜罐” |
| KOJONEYSSH蜜罐 | app:“KojoneySSH蜜罐” |
| WEBLOGIC蜜罐 | app:“weblogic蜜罐” |
| MYSQL蜜罐 | app:“MySQL蜜罐” |
| HFISH蜜罐 | app:“HFish蜜罐” |
| HFISH蜜罐管理后台 | app:“HFish蜜罐管理后台” |
| HONEYTHING物联网蜜罐 | app:“honeything物联网蜜罐” |
| ELASTICSEARCH蜜罐 | app:“elasticsearch蜜罐” |
| HOSTUS蜜罐 | app:“HostUS蜜罐” |
| WHOISSCANME蜜罐 | app:“whoisscanme蜜罐” |
| 未知蜜罐 | app:“未知蜜罐” |
| COWRIETELNETD蜜罐 | app:“Cowrietelnetd蜜罐” |
| GLASTOPF蜜罐 | app:“glastopf蜜罐” |
演示案例:
➢识别-Web服务器-请求返回包
➢识别-应用服务器-端口扫描技术
➢识别-其他服务协议-端口扫描技术
➢识别-WAF防火墙-看图&项目&指纹
➢识别-蜜罐平台-人工&网络空间&项目
#识别-Web服务器-请求返回包
#识别-应用服务器-端口扫描技术
#识别-其他服务协议-端口扫描技术
-Web中间件探针
-应用中间件探针
-数据库类型探针
-其他服务协议探针
首先选择要扫描的网址或域名:小迪渗透吧-提供最专业的渗透测试培训,web安全培训,网络安全培训,代码审计培训,安全服务培训,CTF比赛培训,SRC平台挖掘培训,红蓝对抗培训!_小迪安全,小迪渗透,小迪培训 (xiaodi8.com)
利用浏览器自带的检查抓包,查看表头可以获取一定的中间件服务信息但不全面
采用端口扫描:
- Nmap:配置中:Quick scan plus是快速扫描,intense scan all TCP ports 是全部端口扫描
- Masscan:在目录下直接输入cmd,进行调用 语法:测试一个至多个端口是否开通
masscan.exe -p 3307 47.75.212.155测试多个端口:masscan.exe -p 1-65535 1.15.51.4
- 网络空间:直接查询即可
端口扫描:Nmap、Masscan、网络空间
开放状态:Close Open Filtered
https://nmap.org/download.htmlhttps://github.com/robertdavidgraham/masscan
使用参考:
https://blog.csdn.net/qq_53079406/article/details/125266331https://blog.csdn.net/qq_53079406/article/details/125263917
编译masscan:https://www.cnblogs.com/lzy575566/p/15513726.html
遇到的问题:Zenmap扫描时报错:’utf8’codec can’t decode byte 0xc1 in position 0:invalid start byte。
原因是:环境变量有中文,无法解析
解决方式:使用虚拟机,英文用户安装即可
端口扫出的作用:可以直接选用带有http的端口粘贴在域名后进行访问
考虑:1、防火墙 2、内网环境
内网环境可能出现情况:明明数据库端口开的,网站也能正常打开,但是你对目标进行端口扫描,发现数据库端口没有开放(排除防火墙问题)
#识别-WAF防火墙-看图&项目&指纹
1、WAF解释:
Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
学会认清现实,绕不过不要钻牛角尖
2、WAF分类:
云WAF:百度安全宝、阿里云盾、长亭雷池,华为云,亚马逊云等(中大型企业)
硬件WAF:绿盟、安恒、深信服、知道创宇等公司商业产品(政府,学习,军工)
软件WAF:宝塔,安全狗、D盾等(个人)
代码级WAF:自己写的waf规则,防止出现注入等,一般是在代码里面写死的
3、识别看图:拦截页面,identywaf项目内置
4、识别项目:
wafw00f
https://github.com/EnableSecurity/wafw00f
- **安装:目录下打开cmd输入:python setup.py install
- **使用:安装后打开wafwoof目录下cmd输入:python main.py https://jmhewang.com/
- 注意:查询时候关闭代理,不然无法连接
identywaf
https://github.com/stamparm/identYwaf
- 使用语法:python identYwaf.py https://jmhewang.com/
#识别-蜜罐平台-人工&网络空间&项目
蜜罐解释:
蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。
蜜罐分类:
根据蜜罐与攻击者之间进行的交互的程度可以将蜜罐分为三类:低交互蜜罐、中交互蜜罐、高交互蜜罐。当然还可以根据蜜罐模拟的目标进行分类,比如:数据库蜜罐、工控蜜罐、物联网蜜罐、Web蜜罐等等。
蜜罐产品:见下图
识别原理:
https://mp.weixin.qq.com/s/jPz9hBmUypFyQlU27vglUg蜜罐(Honeypot)是一种安全机制,其原理和特点为:
- 引诱攻击: 蜜罐的主要原理是通过模拟目标系统的弱点或敏感区域,吸引和引诱攻击者。蜜罐可以模拟各种服务和应用,如Web服务器、数据库、邮件服务器等,使其看起来像是真实系统。
- 数据捕获: 一旦攻击者对蜜罐进行攻击,蜜罐会记录和捕获攻击行为的详细信息,包括攻击者的IP地址、攻击手段、使用的工具等。这些信息对于分析攻击者的行为和提高网络防御水平非常有价值。
- 学习和改进: 蜜罐可以用于学习攻击者的新技术和手段。通过分析蜜罐收集到的数据,安全团队可以了解到新型威胁的特点,并相应地改进网络防御策略。
- 欺骗和误导: 蜜罐可以欺骗攻击者,使其浪费时间和资源在虚假系统上。这有助于减缓攻击速度、提高检测准确性,并增加攻击者被发现的可能性。
- 实时监控: 蜜罐可以用于实时监控网络上的攻击活动。通过在网络中分布蜜罐,可以提前探测到潜在的威胁,从而更及时地采取防御措施。
- 早期警告: 蜜罐可以在攻击者尚未对真实系统造成实质性危害之前提供早期警告。这有助于组织及时采取行动,防止潜在的风险。
识别技术:
大概了解组成功能等
https://hfish.net/#/
项目识别
https://github.com/graynjo/Heimdallr
- 安装:打开浏览器开发者模式解压文件拖入即可
https://github.com/360quake/quake_rs
- 安装:解压后在目录下cmd启用quake.exe
- quake.exe init apikey值(api值需要注册360网络空间获取360网络空间测绘 — 因为看见,所以安全
- 使用语法:quake.exe honeypot 目标
人工识别
蜜罐网址:annie脸圆圆创作者主页_杭州插画师-站酷ZCOOL
Evastacha – Vivez vos passions en toute liberté (sport.blog)
端口多而有规律性
Web访问协议就下载
设备指纹分析(见上图)
面试可能会问到的问题:
网络空间识别
鹰图,Quake
补充:蜜罐+Linux安装
Linux联网环境,一键安装(强烈推荐)
CentOS 是HFish团队主力开发和测试系统,推荐选用CentOS系统部署管理端
如果部署的环境为Linux,且可以访问互联网,强烈建议使用一键部署脚本进行安装和配置,在使用一键脚本前,请先配置防火墙。
如果蜜罐节点暴露在互联网,可能会出现TCP连接超过最大1024个连接数限制,导致其他连接被拒绝的情况,可手动放开机器TCP最大连接数。参考解决链接:https://www.cnblogs.com/lemon-flm/p/7975812.html
以root权限运行以下命令,确保配置防火墙开启TCP/4433、TCP/4434
firewall-cmd --add-port=4433/tcp --permanent #(用于web界面启动)firewall-cmd --add-port=4434/tcp --permanent #(用于节点与管理端通信)firewall-cmd --reload如之后蜜罐服务需要占用其他端口,可使用相同命令打开
以root权限运行以下一键部署命令
bash <(curl -sS -L https://hfish.net/webinstall.sh)完成安装后,通过以下网址、账号密码登录
登陆链接:https://192.168.200.130:4433/web/账号:admin密码:HFish2021遇到问题:访问网址时候无法访问
解决:必须在前面加上https:才能正确访问到
简单配置:
看到节点管理,点击到展开即可看到配置的蜜罐信息 想要访问相应的服务端口,必须要先开启防火墙才能访问开启防火墙格式例如:
TCP/8080输入密码确认开启即可访问 查看攻击来源即可看到,攻击ip地址等信息 还可以开启大屏查看
问题:在访问的时候要依据开放的端口协议去对应访问不然可能访问失败
