HW（护网）蓝队准备大全

本文为原创，如需转载请联系本人。

作者：Coding

资产收集

1. 什么是资产

资产，是指企业过去的交易或者事项形成的，由企业拥有或者控制的，预期会给企业带来经济

利益的资源。⽽我们这⾥说的是企业的⽹络资产，即计算机（或通讯）⽹络中使⽤的各种设备。主要

包括服务器（或个⼈PC）、⽹络设备（路由器、交换机等）和安全设备（

IPS、态势感知平台、

WAF等）。

随着企业内部业务的不断壮⼤，各种业务平台和管理系统越来越多，很多企业往往存在着“隐形

资产”，这些“隐形资产”通常被管理员所遗忘，⻓时间⽆⼈维护，导致存在较多的已知漏洞。

2. 资产收集及漏洞管理

作为企业内部⽹络安全建设的基础环节，资产的收集以及对应的管理，尤其是漏洞管理，都是

⽹络安全建设的基础。

2.1. 资产收集第⼀步--已⼊⽹设备的收集

收集⼿段：根据历史登记记录查询或者使⽤扫描⽅式对⽹络环境内部进⾏活跃主机探测。

收集⽬标：覆盖所有已⼊⽹设备，包括云、IoT设备等，建⽴相应的库表结构存储，定期复测，

有序更新。

资产收集第⼆步--新⼊⽹设备的收集

收集⼿段：⼊⽹登记或者使⽤智能⼊⽹探测机制，可以利⽤⽹络探测技术，或者⼊⽹联通身份

验证机制做收集。

收集⽬标：覆盖所有新⼊⽹设备，包括云、IoT设备等，建⽴相应的库表结构存储，定期复测，

有序更新。

资产收集第三步--虚拟资产的收集

虚拟资产：包括但不限于重要数据记录、IP地址、MAC地址、主域名、⼦域名、CNAME记

录、MX记录、NS记录、A记录等等。

收集⼿段：登记审核机制以及扫描解析请求

。

收集⽬标：覆盖所有虚拟资产，建⽴相应的库表结构存储，定期复测，有序更新。

资产分析第⼀步--主机OS、SOFTWARE、SERVICES等信息收集

技术⼿段：扫描。（可使⽤Nmap、Fscan等⼯具对企业资产进⾏全⾯的扫描）

收集信息：os系统信息（包含⼝令信息）、⽹络协议栈信息（MAC、IP、PORT、

PROTOCOL、SERVICES）、软件信息（软件名称、版本）

收集⽬标：覆盖所有以上信息，并定期追踪探测，有序更新。

资产分析第⼆步--漏洞库建⽴

收集⽅法：有条件的建⽴⾃⼰的SRC和漏洞平台，众测收集漏洞；⾃身，或邀请有资质的机构

进⾏渗透测试，挖掘漏洞，并记录进⼊⾃⼰的漏洞库；关注CVE、CNNVD进⾏同步。

收集内容：漏洞危险等级，漏洞影响范围、软件、版本，漏洞测试⽅法、漏洞修补⽅法。

收集⽬标：尽量覆盖所有相关漏洞信息，并定期追踪探测，有序更新。

资产分析第三步--漏洞检查修复

漏洞匹配阶段：资产信息与漏洞库匹配检查，必要时使⽤poc测试（可使⽤企业购买的漏扫设

备或开源的扫描器，如Xray、pocsuite等）。

漏洞修复阶段：分等级限期修复，修复好验证。⽆法修复的记录，并制定其他限制策略。

指纹识别

1. 什么是指纹

⼈的⽪肤由表⽪、真⽪和⽪下组织三部分组成。指纹就是表⽪上突起的纹线。由于⼈的遗传特

性。虽然指纹⼈⼈皆有，但各不相同。

在互联⽹数字资产管理中，数字资产指纹就是数字资产的“身份证”，也是信息系统安全管理⼯

作的基础。通过⽹络资产探测（指纹）可以在0day 爆发时快速匹配到受影响的信息系统；还可以发

现违规开放的资产，为安全运营管理提供便利，确保安全制度的稳健实施。指纹识别更是基线管理的

基础，正如⽣物指纹对于⽣物的价值⼀样，数字资产指纹识别也在数字资产管理中起到了⾄关重要的

作⽤。所以，不论对于攻击⽅还是防守⽅，数字资产的指纹信息的收集都是⾮常重要的。

2. 指纹识别原理

⽬前常规的指纹识别技术主要分为两种：⼀种是针对HTTP的指纹识别，通过对URL请求得到的

各种响应信息进⾏特征匹配，从⽽判断指纹；另⼀种是针对TCP/IP协议栈的指纹识别，我们可以通

过向对⽅发送⼀系列精⼼设计的报⽂，分析对⽅响应，从⽽判断指纹。

2.1 ⼏种常⽤的指纹识别⽅式

⽹⻚中发现关键字：先访问⾸⻚或特定⻚⾯，通过正则的⽅式去匹配某些关键字

特定⽂件的MD5（主要是静态⽂件、不⼀定要是MD5）：通过爬取⽹站的特定图⽚⽂件、js⽂

件、CSS等静态⽂件进⾏抓取并⽐对md5值

请求头信息的关键字匹配：根据⽹站response返回头信息进⾏关键字匹配

指定URL的关键字

基于TCP/IP请求协议识别服务指纹

指纹识别常⽤⼯具 ：Wapplyzer

https: //www.wappalyzer.com/

 Wapplyzer是基于正则表达式来识别web应⽤的，它是⼀个浏览器的插件形式存在的。

3.1 Whatweb

 https://github.com/urbanadventurer/WhatWeb

 WhatWeb可以⽤来确定服务器使⽤的CMS、博客平台、统计分析软件包、JavaScript库等。

 3.1 Glass

https://github.com/s7ckTeam/Glass

 Glass是⼀款针对资产列表的快速指纹识别⼯具，通过调⽤Fofa/ZoomEye/Shodan/360等api 接⼝快速查询资产信息并识别重点资产的指纹，也可针对IP/IP段或资产列表进⾏快速的指纹识别。

3.1 EHole

https: //github.com/EdgeSecurityTeam/EHole

 

EHole是⼀款对资产中重点系统指纹识别的⼯具。EHole(棱洞)2.0提供了两种指纹识别⽅式，可

从本地读取识别，也可以从FOFA进⾏批量调⽤API识别(需要FOFA密钥)，同时⽀持结果JSON格式

输出。

3.1 云悉指纹

https: //www.yunsee.cn/

 3.1 观星指纹平台

https://fp.shuziguanxing.com/

 3.1 潮汐指纹

http: //finger.tidesec.net/

 常用服务/协议简介

SSH 服务

SSH 是 Secure Shell Protocol 的简写，由 IETF ⽹络⼯作⼩组（Network Working Group )

制定；在进⾏数据传输之前，SSH先对联机数据包通过加密技术进⾏加密处理，加密后在进⾏数据传

输。确保了传递的数据安全。利⽤ SSH 协议可以有效的防⽌远程管理过程中的信息泄露问题，在当

前的⽣产环境运维⼯作中，绝⼤多数企业普遍采⽤SSH协议服务来代替传统的不安全的远程联机服务

软件，如telnet(23端⼝，⾮加密的)等。

在默认状态下，SSH服务主要提供两个服务功能：

1.

⼀是提供类似telnet远程联机服务器的服务，即上⾯提到的SSH服务。

2.

另⼀个是类似FTP服务的sftp-server,借助SSH协议来传输数据的.提供更安全的SFTP服务

(vsftp，proftp)。

默认端⼝：22

FTP服务

FTP为⽂件传输协议，通常⽤作对远程服务器进⾏管理，典型的使⽤就是对web系统进⾏管理。

⼀旦FTP密码泄露就直接威胁web系统安全，甚⾄⿊客通过提权可以直接控制服务器. ftp配置⼀般分

为两种配置⽅式，第⼀种是使⽤系统软件来配置，第⼆种是通过第三⽅软件来配置。

默认端⼝：20（数据端⼝）；21（控制端⼝）；

NFS 服务

NFS（Network File System）即⽹络⽂件系统，是FreeBSD⽀持的⽂件系统中的⼀种，它允

许⽹络中的计算机之间通过TCP/IP⽹络共享资源。在NFS的应⽤中，本地NFS的客户端应⽤可以透

明地读写位于远端NFS服务器上的⽂件，就像访问本地⽂件⼀样。如今NFS具备了防⽌被利⽤导出⽂

件夹的功能，但遗留系统中的NFS服务配置不当，则仍可能遭到恶意攻击者的利⽤

。

默认端⼝：2049(TCP)

Telnet 服务

Telnet协议是TCP/IP协议族中的⼀员，是Internet远程登录服务的标准协议和主要⽅式。它为

⽤户提供了在本地计算机上完成远程主机⼯作的能⼒。在终端使⽤者的电脑上使⽤telnet程序，⽤它

连接到服务器。终端使⽤者可以在telnet程序中输⼊命令，这些命令会在服务器上运⾏，就像直接在

服务器的控制台上输⼊⼀样。可以在本地就能控制服务器。

默认端⼝：23

Samba服务

Samba是linux和unix系统上实现SMB/CIFS协议的⼀个免费软件，由服务器和客户端程序构

成。SMB协议是客户机/服务器型协议，客户机通过该协议可以访问服务器上的共享⽂件系统、打印

机及其他资源。

默认端⼝：445 (TCP)

Windows远程桌⾯连接

远程桌⾯是提供的⼀种远程控制功能.通过它我们能够连接远程计算机，访问它的所有应⽤程

序、⽂件和⽹络资源，实现实时操作，如在上⾯安装软件、运⾏程序、排查故障等。好像你正坐在那

台计算机前⾯⼀样．不论实际距离有多远。

默认端⼝：3389

DHCP服务

DHCP(动态主机配置协议)是⼀个局域⽹的⽹络协议，使⽤UDP协议⼯作，给内部⽹络或⽹络服

务供应商⾃动分配IP地址，给⽤户或者内部⽹络管理员作为对所有计算机作中央管理的⽬的。

默认端⼝：67（Udp）、68（Udp）

Tips：客户端属向68端⼝（

bootps）⼴播请求配置，服务器向67端⼝（

bootpc）⼴播回应请

求。

DNS服务

DNS是“域名系统”的英⽂缩写，是⼀种组织成域层次结构的计算机和⽹络服务命名系统，

使⽤的是UDP协议的53号端⼝，它⽤于TCP/IP⽹络，它所提供的服务是⽤来将主机名和域名转换为

IP地址的⼯作。

默认端⼝：53

VNC服务

VNC（

Virtual Network Computing），为⼀种使⽤RFB协议的显示屏画⾯分享及远程操作软

件。此软件借由⽹络，可发送键盘与⿏标的动作及即时的显示屏画⾯。

默认端⼝：5900+桌⾯ID（

5901；5902）

SMTP协议

SMTP是⼀种提供可靠且有效的电⼦邮件传输的协议。SMTP是建⽴在FTP⽂件传输服务上的⼀

种邮件服务，主要⽤于系统之间的邮件信息传递，并提供有关来信的通知。

默认端⼝：25（

smtp）、465（

smtps）

POP3协议

本协议主要⽤于⽀持使⽤客户端远程管理在服务器上的电⼦邮件。提供了SSL加密的POP3协议

被称为POP3S。

默认端⼝：109（POP2）、110（POP3）、995（POP3S）

IMAP协议

MAP以前称作交互邮件访问协议，是⼀个应⽤层协议。IMAP是斯坦福⼤学在1986年开发的⼀

种邮件获取协议。它的主要作⽤是邮件客户端可以通过这种协议从邮件服务器上获取邮件的信息，下

载邮件等。

默认端⼝：143（

imap）、993（

imaps）

SNMP协议

简单⽹络管理协议（

SNMP）是专⻔设计⽤于在IP ⽹络管理⽹络节点（服务器、⼯作站、路由

器、交换机及HUBS等）的⼀种标准协议，它是⼀种应⽤层协议。

默认端⼝：161

rsync服务

rsync是linux系统下的数据镜像备份⼯具。使⽤快速增量备份⼯具Remote Sync可以远程同

步，⽀持本地复制，或者与其他SSH、rsync主机同步。

默认端⼝：873

常见端口/服务漏洞列表汇总

如图：

 

 看完了？还不点个赞和关注？

关注我，更精彩