信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全
Web服务器
Apache、Nginx、IIS、lighttpd等(如何识别)
应用服务器(需要进行端口扫描才能识别)
Web服务器和应用服务器的统称为中间件
Tomcat、Jboss、weblogic、websphere
端口扫描:Nmap、Masscan、网络空间(被动收集,前两个主动收集)
根据演示内容来看,Nmap和网络空间是端口扫描的利器,Masscan则不太行。
地址:https://github.com/nmap/nmap
在使用Nmap时通常使用Intense scan, all TCP ports或者Quick scan plus两个模式
端口及服务
| 端口 | 服务 | 渗透用途 |
| tcp 20,21 | FTP | 允许匿名的上传下载,爆破,嗅探,win 提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4) |
| tcp 22 | SSH | 可根据已搜集到的信息尝试爆破,v1 版本可中间人,ssh 隧道及内网代理转发,文件传输等等 |
| tcp 23 | Telnet | 爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令 |
| tcp 25 | SMTP | 邮件伪造,vrfy/expn 查询邮件用户信息,可使用 smtp-user-enum 工具来自动跑 |
| tcp/udp 53 | DNS | 允许区域传送,dns 劫持,缓存投毒,欺骗以及各种基于 dns 隧道 的远控 |
| tcp/udp 69 | TFTP | 尝试下载目标及其的各类重要配置文件 |
| tcp 80- 89,443,8440 -8450,8080- 8089 | 各种常用的 Web 服务端 口 | 可尝试经典的 topn,vpn,owa,webmail,目标 oa,各类 Java 控制台,各类服务器 Web 管理面板,各类 Web 中间件漏洞利用,各类 Web 框架漏洞利用等等…… |
| tcp 110 | POP3 | 可尝试爆破,嗅探 |
| tcp111,2049 | NFS | 权限配置不当 |
| tcp137,139,445 | Samba | 可尝试爆破以及 smb 自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等…… |
| tcp 143 | IMAP | 可尝试爆破 |
| udp 161 | SNMP | 爆破默认团队字符串,搜集目标内网信息 |
| tcp 389 | LDAP | ldap 注入,允许匿名访问,弱口令 |
| tcp512,513,514 | Linux rexec | 可爆破,rlogin 登陆 |
| tcp 873 | Rsync | 匿名访问,文件上传 |
| tcp 1194 | OpenVPN | 想办法钓 VPN 账号,进内网 |
| tcp 1352 | Lotus | 弱口令,信息泄漏,爆破 |
| tcp 1433 | SQLServer | 注入,提权,sa 弱口令,爆破 |
| tcp 1521 | Oracle | tns 爆破,注入,弹 shell… |
| tcp 1500 | ISPmanager | 弱口令 |
| tcp 1723 | PPTP | 爆破,想办法钓 VPN 账号,进内网 |
| tcp2082,2083 | cPanel | 弱口令 |
| tcp 2181 | ZooKeeper | 未授权访问 |
| tcp2601,2604 | Zebra | 默认密码 zerbra |
| tcp 3128 | Squid | 弱口令 |
| tcp3312,3311 | kangle | 弱口令 |
| tcp 3306 | MySQL | 注入,提权,爆破 |
| tcp 3389 | Windows rdp | shift 后门[需要 03 以下的系统],爆破,ms12-020 |
| tcp 3690 | SVN | svn 泄露,未授权访问 |
| tcp 4848 | GlassFish | 弱口令 |
| tcp 5000 | Sybase/DB2 | 爆破,注入 |
| tcp 5432 | PostgreSQL | 爆破,注入,弱口令 |
| tcp5900,5901,5902 | VNC | 弱口令爆破 |
| tcp 5984 | CouchDB | 未授权导致的任意指令执行 |
| tcp 6379 | Redis | 可尝试未授权访问,弱口令爆破 |
| tcp7001,7002 | WebLogic | Java 反序列化,弱口令 |
| tcp 7778 | Kloxo | 主机面板登录 |
| tcp 8000 | Ajenti | 弱口令 |
| tcp 8009 | tomcat Ajp | Tomcat-Ajp 协议漏洞 |
| tcp 8443 | Plesk | 弱口令 |
| tcp 8069 | Zabbix | 远程执行,SQL 注入 |
| tcp 8080-8089 | Jenkins,JBoss | 反序列化,控制台弱口令 |
| tcp 9080- 9081,9090 | WebSphere | Java 反序列化/弱口令 |
| tcp9200,9300 | ElasticSearch | 远程执行 |
| tcp 11211 | Memcached | 未授权访问 |
| tcp27017,27018 | MongoDB | 爆破,未授权访问 |
| tcp50070,50030 | Hadoop | 默认端口未授权访问 |
WAF识别
主要是自己经验判断,使用识别项目,或者网络空间查看三种方式
识别项目:wafw00f,identywaf
地址:https://github.com/EnableSecurity/wafw00f
基本有WAF,90%就可以宣告失败了,如果是软件WAF还能挣扎一下。其他的云WAF或者硬件WAF基本没可能,只能尝试是否在设置WAF时别人出现疏漏,或者一些小的方向。
WAF分类
云WAF:百度安全云、阿里云盾、长亭雷池、华为云、亚马逊云等
硬件WAF:绿盟、安恒、深信服、知道创宇等公司商业产品
软件WAF:宝塔、安全狗、D盾等
代码级WAF:自己写的waf规则,防止出现注入等,一般是在代码里面写死的
蜜罐识别
蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的攻击记录推测攻击者的意图和手段等信息。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。
1.项目识别
Heimdaller:浏览器插件,误报率挺高,胜在方便
quake_rs:准确,但是需要花钱,还需要自己进行配置
quake.exe init apikey值
quake.exe honeypot 目标
2.人工识别
①端口多而有规律性
②Web访问协议就下载:不是很懂原理。但表现是,当访问非http协议(比如mysql)的内容时,它会自动进行下载,那此时就能判断他是一个蜜罐。但需要注意并不是所有蜜罐都会进行这样的下载操作。
③设备指纹分析
3.网络空间
鹰图,Quake
