第15天:信息办理—主机架构&蜜罐辨认&WAF辨认&&端口扫描&协议辨认&服务安
时间轴https://i-blog.csdnimg.cn/direct/c5fa07cec7fb49d9b7416580f84225ba.png 主要内容
1 、端口扫描 - 应用 & 协议 2 、 WAF 辨认 - 分类 & 辨认 3 、蜜罐辨认 - 分类 & 辨认 办理: 1 、 Web 服务器 & 应用服务器差异性 2 、 WAF 防火墙 & 安全防护 & 辨认技能 3 、蜜罐平台 & 安全防护 & 辨认技能 端口服务及渗出
https://i-blog.csdnimg.cn/direct/df327564c371459087e1f4ae578610c0.png https://i-blog.csdnimg.cn/direct/bdab2c4c660e428792e86ce7cc4fb436.png https://i-blog.csdnimg.cn/direct/5d7a9a66a28c483099b0ad62584bb62f.png
蜜罐Quake系统搜索语法
https://i-blog.csdnimg.cn/direct/92dcb92762904517a01a7afc38035bb3.png https://i-blog.csdnimg.cn/direct/3cb53d938dab4a8abd8c88080b0de889.png 蜜罐辨认
https://i-blog.csdnimg.cn/direct/5d1a65c2e55844e2b079c2c0b60ea436.png 演示案例
辨认-Web 服务器-请求返回包 辨认-应用服务器-端口扫描技能 辨认-其他服务协议-端口扫描技能 辨认-WAF 防火墙-看图&项目&指纹 辨认-蜜罐平台-人工&网络空间&项目
辨认服务器
web服务器
以xiaodi8.com为例子,f12刷新后在回显的请求返回包中可以看到服务器类型
https://i-blog.csdnimg.cn/direct/70aa6fd58af44a78ac0cb4a0b9de984b.png
应用服务器
明显特点:端口服务的开发。
eg:安装Apache(web服务器)默认分析80端口,而安装了应用服务器后会自动启动一个端口。
WEB服务器与应用服务器的区别
1.Web服务器默认开启80端口,而应用服务器通常开启一些新端口如701,5566等等
2.应用服务器更适用于java。
3.Web服务器可以通过网页控制台network,server查察出来,而应用服务器看不到。
4.对于应用服务器可以用端口扫描的技能来辨认。
端口扫描技能
辨认技能:端口扫描(常见应用服务器端口见上面端口服务及渗出)
使用工具:Nmap、Masscan、网络空间
开放状态:Open、Close、Filtered(如防火墙等过滤,有可能开也有可能不开)
意义:
1、web中间件探针
2、应用中间件探针
3、数据库类型探针
4、其他服务协议探针
nmap演示(速率慢)
namp下载:
Download the Free Nmap Security Scanner for Linux/Mac/Windows
https://github.com/robertdavidgraham/massca
nmap使用参考:
https://blog.csdn.net/qq_53079406/article/details/125263917
使用总结:
nmap选择Quick scan plus(快速扫描),Intense scan,all Tcp ports(全端口扫描)
控制台没写全的,扫描可能写的比较全。
https://i-blog.csdnimg.cn/direct/db82484d599e46d2baa6f70dbb07fdee.png
masscan演示(速率快)
使用参考:
masscan:https://blog.csdn.net/qq_53079406/article/details/125266331
编译 masscan: https://www.cnblogs.com/lzy575566/p/15513726.html 使用总结: Masscan -p端口 Ip(指定端口) masscan.exe -pl -65535 Ip (全部端口) 代码 masscan.exe -p8080,80,443,3306 47.96.88.47 https://i-blog.csdnimg.cn/direct/e3caaaee30dc46a8b29fa83ecbbc1caf.png 网络空间演示
fofa.cn里搜IP,里面有一个IP聚合。
搜索语句:ip="47.96.88.47",点击IP聚合可以看到更多信息
https://i-blog.csdnimg.cn/direct/41e22a1788364bc0b2f7b7ee04923929.png
https://i-blog.csdnimg.cn/direct/a7f7a3ee212c47678e5d365364ca4845.png
https://i-blog.csdnimg.cn/direct/3ebd954c5af7403097ef3b29c76e271d.png
https://i-blog.csdnimg.cn/direct/9876b5516a02472b8571696965ce08f7.png
由于网络空间是对IP信息举行爬取,因此可能部门IP信息搜索不到,而且搜索出的端口也不一定全都开放,但是网络空间更快速、更直观。
考虑: 1、防火墙 2、内网环境 内网环境可能出现环境:明明数据库端口开的,网站也能正常打开,但是你对目标举行端 口扫描,发现数据库端口没有开放(排除防火墙题目) https://i-blog.csdnimg.cn/direct/6ff4540d2cd74d7cb969493c9101f5d6.png 内网将ip反署理到外网,攻击者攻击外网,影响不到内网。 端口扫描意义:
-Web中间件探测 -数据库类型探针 -应用件探针 -其他服务协议探针 WAF辨认
waf解释
Web 应用防护系统(也称为:网站应用级入侵防御系统。英文: Web Application Firewall ,简称: WAF )。使用国际上公认的一种说法: Web 应用防火墙是通过执行一系 列针对 HTTP/HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品。 waf分类
云waf(一样平常是中大型企业使用): 百度安全宝、阿里云盾、长亭雷池,华为云,亚马逊云等 硬件waf(一样平常为学校、政要等场合使用): 绿盟、安恒、深信服、知道创宇等公司商业产品 软件waf(一样平常是个人or中小型企业使用): 宝塔,安全狗、 D 盾等 代码级waf: 本身写的 waf 规则,防止出现注入等,一样平常是在代码里面写死的 辨认看图(人工)
拦截页面,identywaf 项目内置
拦截页面演示:
以江门饭堂承包|饭堂承包|江门食堂承包|江门合旺官网 (jmhewang.com)为例
https://i-blog.csdnimg.cn/direct/72b459badb17426aae671d3db9e522ce.png
在网址后面输入 and 1=1。
https://i-blog.csdnimg.cn/direct/5c999351999941cc9f03c399d2342d30.png
identywaf 项目内置举例
https://i-blog.csdnimg.cn/direct/00fe45510e9a46508935c633a215a135.png
国表里常见waf图片:
https://i-blog.csdnimg.cn/direct/05b04f6322634ca28aabc71bfc89fbeb.png
辨认项目(工具)
wafw00f
https://github.com/EnableSecurity/wafw00f 安装及使用 安装指令: python setup.py install https://i-blog.csdnimg.cn/direct/58321dbee2234102946d36318c1ba345.png
使用指令:(cd wafw00f)
python main.py url 案例一
以上述的jmhewang.com为例子,辨认出来发现是safedog waf
https://i-blog.csdnimg.cn/direct/f1cdd5fdf24e478e9d9c79f1bcf77a37.png
案例二
223.111.128.103:9808
https://i-blog.csdnimg.cn/direct/5e7bd1dba1c142e9923618348d1f7762.png
https://i-blog.csdnimg.cn/direct/9f102697593441e79b90cc1f7c6063ca.png
python main.py -l可以查察该工具可以或许辨认出来的对象(下面还有蛮多的,一张图放不下啦~
python main.py -l https://i-blog.csdnimg.cn/direct/0113095927ca41449720477ef9f93b38.png
identywaf
https://github.com/stamparm/identYwaf
使用指令:
python identYwaf.py url案例一
下面就照旧用jmhewang.com那个例子 https://i-blog.csdnimg.cn/direct/55076769a6e34a8ea34534877a62dfd4.png 案例二
智联云NGX-WAF防护 (zhaopin.com)
https://i-blog.csdnimg.cn/direct/8e95dcd047504cda95e36361e9a5fb7a.png
https://i-blog.csdnimg.cn/direct/972727548ea14a24823466f8ca1f280b.png
网络空间
除此之外,还可以使用网络空间IP聚合对waf举行辨认。
https://i-blog.csdnimg.cn/direct/5b3328cd2cf54bafa993e85070be0c09.png
https://i-blog.csdnimg.cn/direct/626765f605b04a7798f7f59d543e5dd1.png
蜜罐辨认
蜜罐解释
蜜罐是一种安全威胁的检测技能,其本质在于引诱和欺骗攻击者,而且通过记录攻击者的攻击日记来产生价值。安全研究人员可以通太过析蜜罐的被攻击记录推测攻击者的意图和手段等信息。攻击方可以通过蜜罐辨认技能来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐辨认的方式方法。
蜜罐分类
根据蜜罐与攻击者之间举行的交互程度分类:低交互蜜罐、中交互蜜罐、高交互蜜罐
根据蜜罐模拟的目标分类:数据库蜜罐、工控蜜罐、物联网蜜罐、web蜜罐等
蜜罐产品
见上面蜜罐Quake系统搜索语法板块
辨认原理
谁是鱼谁是饵?红队视角下蜜罐辨认方式汇总 (qq.com)
辨认技能
1.测试
大概相识组成功能等
反制溯源_欺骗防御_主动防御-HFish免费蜜罐平台
摆设演示(以linux为例)
以root权限运行以下命令,确保设置防火墙开启TCP/4433、TCP/4434
firewall-cmd --add-port=4433/tcp --permanent #(用于web界面启动)
firewall-cmd --add-port=4434/tcp --permanent #(用于节点与管理端通信)
firewall-cmd --reloadhttps://i-blog.csdnimg.cn/direct/62f22f5674494a14aa08acdee203ba3e.png
以root权限运行以下一键摆设命令
bash <(curl -sS -L https://hfish.net/webinstall.sh)https://i-blog.csdnimg.cn/direct/4ba1547946cf443c84c21eb35068e384.png
摆设成功后,会默认开启4433端口,用浏览器访问https://ip:4433/web/
账号:admin
密码:HFish2021
https://i-blog.csdnimg.cn/direct/8c86d8a89ec74bdaa0a5ebbdc7efaa79.png
这里选择第一个就行
https://i-blog.csdnimg.cn/direct/7702e233638e48d8ba031d23af392200.png
在环境管理—>节点管理可以自行选择要开放or不开放的端口
https://i-blog.csdnimg.cn/direct/abc04eddbf46497ab8cc08158909b9cf.png
访问这个url的8080端口,会发现已经替换成了海康摄像头蜜罐
https://i-blog.csdnimg.cn/direct/5ad9415ecd6841d287976a5ecd8e74ee.png
实行输入用户名和密码
https://i-blog.csdnimg.cn/direct/b30c48a261d74e9a8c9bcee37a4458ac.png
在威胁实体—>账号泉源处可以看到攻击内容
https://i-blog.csdnimg.cn/direct/103c96139ff042f09f690b862b84bc64.png
大屏处可以看到有谁正在访问
https://i-blog.csdnimg.cn/direct/c4f294330131481c9fa9a2ff16939c84.png
2.项目
项目辨认
heimdallr
GitHub - Ghr07h/Heimdallr: 一款完全被动监听的谷歌插件,用于高危指纹辨认、蜜罐特性告警和拦截、呆板特性对抗
在浏览器中打开开发者模式,安装插件即可使用
启用插件后,发现指纹嗅探or蜜罐告警有提示,基本可以判定有蜜罐(这个插件主要是方便,但是误报率高,很鸡肋)
https://i-blog.csdnimg.cn/direct/71759bea379d49c1b4951fac91781a03.png
360quake
GitHub - 360quake/quake_rs: Quake Command-Line Application 首次使用需要设置以下信息: quake.exe init apikey值 https://i-blog.csdnimg.cn/direct/0752c74bd8c84f77873731f0b7728935.png 使用命令: quake.exe honeypot 目标如果是正常网站,则会有如下提示
https://i-blog.csdnimg.cn/direct/0e461c2560394fa6b7389100b1493598.png
但是好像也不是很准确的样子
3.人工分析
端口多而有规律性(4433玩过就知道啦~)
https://i-blog.csdnimg.cn/direct/5dc3b5ce3006412bb7f57e6f094e458d.png
web访问协议就下载(转发跳转下载)
账号密码会采用web jsonp去传输(web功能)
转发 跳转 jsonp去传输
当你去web http去访问这个端口 采用协议去下载
当访问NAS-JUNCHEN会触发下载。
https://i-blog.csdnimg.cn/direct/a2284f740d4147a497f2081978fe9fb4.png
装备指纹分析
https://i-blog.csdnimg.cn/direct/5d1a65c2e55844e2b079c2c0b60ea436.png
4.网络空间
鹰图、Quake对ip举行查询有可能爆出蜜罐。
以上内容由番薯小羊卷~和李豆豆喵共同完成。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]