安全学习DAY145_主机服务器端口扫描&蜜罐、WAF识别

信息打点-主机架构&蜜罐识别&WAF识别&端口扫描

文章目录

  • 信息打点-主机架构&蜜罐识别&WAF识别&端口扫描
  • 概述-思维导图
  • 本节知识点:
  • 识别应用服务器&其他服务协议:端口扫描
      • Nmap
      • Masscan
      • 意外环境:
  • 识别WAF防火墙
      • WAF解释:
      • WAF分类
    • WAF识别
      • 识别看图
      • 识别项目(工具
  • 识别蜜罐平台
      • 蜜罐解释:
      • 蜜罐分类
      • 蜜罐识别原理
      • 蜜罐安装示例
    • 蜜罐识别技术
      • 工具项目识别:
      • 人工识别:
      • 网络空间平台识别
  • 附:
    • 常见端口对应服务&渗透用途
    • 蜜罐产品&响应特征

概述-思维导图

安全学习DAY145_主机服务器端口扫描&蜜罐、WAF识别_第1张图片

本节知识点:

1、端口扫描-应用&协议

2、WAF识别-分类&识别

3、蜜罐识别-分类&识别

解决:

1、Web服务器&应用服务器差异性

2、WAF防火墙&安全防护&识别技术

3、蜜罐平台&安全防护&识别技术

Web服务器

Apache、Nginx、IIS、lighttpd等

应用服务器:

Tomcat、Jboss、Weblogic、Websphere等(一般和Java的一些服务相关

会开放一个特定端口,支持运行的业务与Web服务器不同,一般Java相关服务使用应用服务器

由语言开发出来的程序特性不同,所使用的服务器不同

应用服务器不能够通过response头中的server判断识别,而是应该通过端口扫描判断

数据库类型:

Mysql、SqlServer、Oracle、Redis、MongoDB等

操作系统信息

Linux、windows等

应用服务信息:

FTP(文件传输协议)、SSH(Linux远程连接)、RDP(Win远程连接3389)、SMB、SMTP(邮件服务)、LDAP、Rsync等

WAF信息

创宇盾、宝塔、ModSecurity、玄武盾、OpenRASP等。

蜜罐信息:

HFish、TeaPot、T-Pot、Glastopf等

识别应用服务器&其他服务协议:端口扫描

识别Web服务器:请求返回包

识别web服务器只需要查看请求返回包中的数据即可

端口扫描:Nmap、Masscan、网络空间

端口开放状态:open、close、filtered

主动分析、主动扫描:Nmap、Masscan

被动分析:网络空间

有些挖洞规则会要求不能主动干啥干啥,就需要在一些平台上查

端口扫描不只是扫描服务器,也会扫描数据库等信息

Nmap

https://nmap.org/download.html

使用参考:

https://blog.csdn.net/qq_53079406/article/details/125266331

nmap功能强大,扫描出来更精准

Masscan

https://github.com/robertdavidgraham/masscan

使用参考:

https://blog.csdn.net/qq_53079406/article/details/125266331

源码,需要编译,参考:

编译masscan:https://www.cnblogs.com/lzy575566/p/15513726.html

相对来说功能没有nmap强大,速度快,有时候用来批量扫描多一些

端口扫描的意义:将目标信息了解的足够多,安全测试的方法,入手点,就会多很多

意外环境:

1、防火墙

​ 扫到端口但是被防火墙过滤了(filtered状态

2、内网环境

​ 可能出现的情况:数据库端口开放的,网站也能正常打开,但是对目标进行端口扫描,发现数据库端口没有开放(排除防火墙问题)(没办法解决,在内网环境)

3、Web反向代理

识别WAF防火墙

WAF解释:

Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

识别WAF防火墙仅仅是给我们一些提示,对安全测试没有太大意义,只是识别出来有WAF,从测试思路上选择放弃某些方法

有WAF的情况下,大部分的常规攻击手段都会失效,能绕过就绕过,不能绕过就放弃,即使有漏洞也不行

大部分WAF都不能绕过,能绕过的是小部分而且是不重要的、鸡肋的

WAF分类

  • 云WAF:百度安全宝、阿里云盾、长亭雷池,华为云,亚马逊云等

    中大型企业,有实力的黑*领域/擦边球网站

    功能最强大的,最新的

  • 硬件WAF:绿盟、安恒、深信服、知道创宇等公司商业产品

    中大型企业,政要、官方、军工

  • 软件WAF:宝塔,安全狗、D盾等

    一般个人,小中型网站常用的,非法,没有经济实力的黑*领域的用

  • 代码级WAF(其实就是写在代码中的一些过滤规则)

    自己写的waf规则,防止出现注入等,一般是在代码里面写死的

云WAF和硬件WAF基本不可能绕过,有的绕过了但是也没有什么作用,微乎其微,不会影响关键业务的

只有软件WAF有绕过的可能,而且绕过是有局限性的,只是在某一个方面

遇到大部分防火墙直接跑路,除非是软件WAF

WAF识别

识别看图

看拦截页面、identywaf项目内置

识别项目(工具

网络空间也能识别

wafw00f

https://github.com/EnableSecurity/wafw00f

identywaf

https://github.com/stamparm/identYwaf

识别蜜罐平台

蓝队部署蜜罐,红队识别蜜罐

蜜罐解释:

蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。

蜜罐分类

根据蜜罐与攻击者之间进行的交互的程度可以将蜜罐分为三类:低交互蜜罐、中交互蜜罐、高交互蜜罐。当然还可以根据蜜罐模拟的目标进行分类,比如:数据库蜜罐、工控蜜罐、物联网蜜罐、Web蜜罐等等。

蜜罐识别原理

https://mp.weixin.qq.com/s/jPz9hBmUypFyQlU27vglUg

蜜罐安装示例

hfish.net/#/

蜜罐识别技术

工具项目识别:

heimdallr

https://github.com/graynjo/Heimdallr

浏览器插件,会误报而且误报概率高

quake_rs

https://github.com/360quake/quake_rs

quake.exe init apikey值

quake.exe honeypot 目标

人工识别:

  • 端口多而有规律性

  • Web访问协议就下载

    正常不能解析,但是用web协议访问,就会下载

  • 设备指纹对应分析

网络空间平台识别

鹰图,Quake

三种方式结合判断识别

附:

常见端口对应服务&渗透用途

端口 服务 渗透用途
tcp 20,21 FTP 允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)
tcp 22 SSH 可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等
tcp 23 Telnet 爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令
tcp 25 SMTP 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑
tcp/udp 53 DNS 允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控
tcp/udp 69 TFTP 尝试下载目标及其的各类重要配置文件
tcp 80-89,443,8440-8450,8080-8089 各种常用的Web服务端口 可尝试经典的topn,,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等……
tcp 110 POP3 可尝试爆破,嗅探
tcp 111,2049 NFS 权限配置不当
tcp 137,139,445 Samba 可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等……
tcp 143 IMAP 可尝试爆破
udp 161 SNMP 爆破默认团队字符串,搜集目标内网信息
tcp 389 LDAP ldap注入,允许匿名访问,弱口令
tcp 512,513,514 Linux rexec 可爆破,rlogin登陆
tcp 873 Rsync 匿名访问,文件上传
tcp 1194 OpenVPN 想办法钓VPN账号,进内网
tcp 1352 Lotus 弱口令,信息泄漏,爆破
tcp 1433 SQL Server 注入,提权,sa弱口令,爆破
tcp 1521 Oracle tns爆破,注入,弹shell…
tcp 1500 ISPmanager 弱口令
tcp 1723 PPTP 爆破,想办法钓VPN账号,进内网
tcp 2082,2083 cPanel 弱口令
tcp 2181 ZooKeeper 未授权访问
tcp 2601,2604 Zebra 默认密码zerbra
tcp 3128 Squid 弱口令
tcp 3312,3311 kangle 弱口令
tcp 3306 MySQL 注入,提权,爆破
tcp 3389 Windows rdp shift后门[需要03以下的系统],爆破,ms12-020
tcp 3690 SVN svn泄露,未授权访问
tcp 4848 GlassFish 弱口令
tcp 5000 Sybase/DB2 爆破,注入
tcp 5432 PostgreSQL 爆破,注入,弱口令
tcp 5900,5901,5902 VNC 弱口令爆破
tcp 5984 CouchDB 未授权导致的任意指令执行
tcp 6379 Redis 可尝试未授权访问,弱口令爆破
tcp 7001,7002 WebLogic Java反序列化,弱口令
tcp 7778 Kloxo 主机面板登录
tcp 8000 Ajenti 弱口令
tcp 8009 tomcat Ajp Tomcat-Ajp协议漏洞
tcp 8443 Plesk 弱口令
tcp 8069 Zabbix 远程执行,SQL注入
tcp 8080-8089 Jenkins,JBoss 反序列化,控制台弱口令
tcp 9080-9081,9090 WebSphere Java反序列化/弱口令
tcp 9200,9300 ElasticSearch 远程执行
tcp 11211 Memcached 未授权访问
tcp 27017,27018 MongoDB 爆破,未授权访问
tcp 50070,50030 Hadoop 默认端口未授权访问

蜜罐产品&响应特征

蜜罐 Quake系统搜索语法
STRUTSHONEYPOT app:“StrutsHoneypot”
CONPOT HTTP 蜜罐 app:“Conpot Http 蜜罐”
CONPOT MODBUS 蜜罐 app:“Conpot modbus 蜜罐”
CONPOT S7 蜜罐 app:“Conpot s7 蜜罐”
KIPPO 蜜罐 app:“kippo 蜜罐”
HONEYPY HTTP 蜜罐 app:“Honeypy Http 蜜罐”
HONEYPY ES蜜罐 app:“Honeypy ES蜜罐”
AMUN IMAP 蜜罐 app:“amun imap 蜜罐”
AMUN HTTP蜜罐 app:“amun http蜜罐”
NEPENTHES NETBIOS蜜罐 app:“Nepenthes netbios蜜罐”
NEPENTHES FTP 蜜罐 app:“Nepenthes FTP 蜜罐”
SSHESAME SSH 蜜罐 app:“sshesame ssh 蜜罐”
OPENCANARY蜜罐管理后台 app:“opencanary蜜罐管理后台”
DIONAEA SIPD 蜜罐 app:“Dionaea sipd 蜜罐”
DIONAEA SMBD 蜜罐 app:“Dionaea smbd 蜜罐”
DIONAEA HTTP 蜜罐 app:“Dionaea Http 蜜罐”
DIONAEA MSSQL 蜜罐 app:“Dionaea MSSQL 蜜罐”
DIONAEA FTP 蜜罐 app:“Dionaea ftp 蜜罐”
DIONAEA MEMCACHED 蜜罐 app:“Dionaea Memcached 蜜罐”
KOJONEY SSH 蜜罐 app:“Kojoney SSH 蜜罐”
WEBLOGIC蜜罐 app:“weblogic蜜罐”
MYSQL蜜罐 app:“MySQL蜜罐”
HFISH蜜罐 app:“HFish蜜罐”
HFISH蜜罐管理后台 app:“HFish蜜罐管理后台”
HONEYTHING物联网蜜罐 app:“honeything物联网蜜罐”
ELASTICSEARCH蜜罐 app:“elasticsearch蜜罐”
HOSTUS蜜罐 app:“HostUS蜜罐”
WHOISSCANME蜜罐 app:“whoisscanme蜜罐”
未知蜜罐 app:“未知蜜罐”
COWRIE TELNETD蜜罐 app:“Cowrie telnetd蜜罐”
GLASTOPF蜜罐 app:“glastopf蜜罐”

安全学习DAY145_主机服务器端口扫描&蜜罐、WAF识别_第2张图片

你可能感兴趣的:(安全学习笔记_信息打点,安全,学习,服务器)