信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全
Web服务器:
- Apache
- Nginx
- IIS
- Lighttpd等
应用服务器:
- Tomoat
- Jboss
- Weblogin
- Websphere
端口扫描:
工具:
Nmap(主动扫描-扫描时间略长-单个扫描):
图形化界面:zenmap - 常用扫描方法:Quick scan plus
使用参考:
https://blog.csdn.net/qq_53079406/article/details/125266331``https://blog.csdn.net/qq_53079406/article/details/125263917`
Msscan(主动扫描-扫描时间短-批量扫描)
需要下载源码进行编译安装
编译(visualstudio):https://www.cnblogs.com/lzy575566/p/15513726.html
网络空间(被动收集)
作用:
判定端口是否开放识别:web中间件,应用中间件,数据库类型,其他服务协议
针对对应服务使用对应测试手法
开放状态:
Close Open Filtered
考虑问题:
- 防火墙:端口实际开放,但是被防火墙阻止了,显示Filtered或关闭,不知道开没开
- 内网:网站部署在内网服务器,使用反向代理到外网。可能出现问题:明明某些端口(如数据库3306端口)开放,网站也能正常打开,但是对目标进行扫描时,发现端口没有打开(排除防火墙),只能扫到代理到的端口。要与目标内网主机通讯才能全面正确的扫描
WAF防火墙识别(大概率放弃不用识别)
WAF解释:
Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web ApplicationFirewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
WAF分类:
云WAF(最强,较贵,中大型企业、有经济实力的黑产领域):百度安全宝、阿里云盾、长亭雷池,华为云,亚马逊云等
硬件WAF(中大型企业、政务、学校、军工):绿盟、安恒、深信服、知道创宇等公司商业产品
软件WAF(较为便宜,个人小中型企业、无经济实力的黑产领域):宝塔,安全狗、D盾等(可以尝试绕过)
代码级WAF:自己写的waf规则(过滤规则),防止出现注入等,一般是在代码里面写死的
识别:
通过拦截页面
通过工具:
wafw00f
1
python .\main.py url
identYwaf
通过网络空间
蜜罐识别(红蓝对抗-蓝队部署红队识别)
蜜罐解释:
蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。
蜜罐分类:
根据蜜罐与攻击者之间进行的交互的程度可以将蜜罐分为三类
低交互蜜罐:简单忽悠下
中交互蜜罐
高交互蜜罐
根据蜜罐模拟的目标
数据库蜜罐
工控蜜罐
物联网蜜罐
Web蜜罐等
识别原理:
https://mp.weixin.qq.com/s/jPz9hBmUypFyQlU27vglUg
Linux服务器安装蜜罐:
工具:HFish
https://hfish.net/#/识别是否存在蜜罐
项目识别
浏览器插件:Heimdallr
https://github.com/Ghr07h/Heimdallr使用:如果指纹嗅探和蜜罐告警有信息,可能存在蜜罐(方便,但存在误报)
quake工具(推荐):
https://github.com/360quake/quake_rsquake网络空间需要初始化,并配置apikey(出钱)
quake.360.net人工:
端口多且有规律性
web访问协议就下载,如访问3306会下载一个.html文件(可能):模拟出来的蜜罐有传输数据,中转数据的功能(Jsonp技术)
查看响应特征
