资产测绘学习笔记
何为资产
资产是一切可鞥被潜在攻击者利用的设备,信息,应用等数字资产。具体包括但不限于硬件设备,云主机,操作系统,ipdizhi,端口,证书,域名,web应用,业务应用,中间件,框架,机构公众号,代码,api等。
资产的指纹特征
1.一系列特征信息的集合(画像)
例如内外网ip,端口号,证书,域名,操作系统,web应用等。
2.指纹特征的目的:是为了准确描述和定位某个资产的安全属性。
资产的所有权
1.确认域名关联公司与客户公司一直,即为所属自身资产。
2.只要使用相同相同ico ,title,body,等明显代表自身网站特征,即为所属自身资产
3.绑定在同一域名的资产归为自身资产
网络空间资产界定范围不清晰,很难像传统硬件设备明确归属,只要是潜在有可能被攻击者利用的资产,都是应当纳入安全管理人员的关注范围。
何为资产测绘
测:资产探测发现能力
绘:资产数据的关联展现能力
资产测绘流程
资产测绘引擎
Fofa https://fofa.info/
360Quake https://classic.quake.360.cn/
Zoomeye https://www.zoomeye.org/
Censys https://search.censys.io/
Shodan https://www.shodan.io/
dashboard 奇安信鹰图 https://hunter.qianxin.com/
kunyu坤舆资产收集
搜索引擎语法
FOFA搜索语法
title=”abc” 从标题中搜索 abc。例:标题中有北京的网站。
header=”abc” 从 http 头中搜索 abc。例:jboss 服务器。
body=”abc” 从 html 正文中搜索 abc。例:正文包含 Hacked by。
domain=”qq.com” 搜索根域名带有 qq.com 的网站。例: 根域名是 qq.com 的网站。
host=”.gov.cn” 从 url 中搜索.gov.cn,注意搜索要用 host 作为名称。
port=”443” 查找对应 443 端口的资产。例: 查找对应 443 端口的资产。
ip=”1.1.1.1” 从 ip 中搜索包含 1.1.1.1 的网站,注意搜索要用 ip 作为名称。
protocol=”https” 搜索制定协议类型(在开启端口扫描的情况下有效)。例: 查询 https 协议
资产。
city=”Beijing” 搜索指定城市的资产。例: 搜索指定城市的资产。
region=”Zhejiang” 搜索指定行政区的资产。例: 搜索指定行政区的资产。
country=”CN” 搜索指定国家(编码)的资产。例: 搜索指定国家(编码)的资产。
cert=”google.com” 搜索证书(https 或者 imaps 等)中带有 google.com 的资产。
高级搜索:
title=”powered by” && title!=discuz
title!=”powered by” && body=discuz
( body=”content=\”WordPress” || (header=”X-Pingback” && header=”/xmlrpc.php” &&
body=”/wp-includes/“) ) && host=”gov.cn”
ZoomEy搜索语法
app:nginx 组件名
ver:1.0 版本
os:windows 操作系统
country:”China” 国家
city:”hangzhou” 城市
port:80 端口
hostname:google 主机名
site:thief.one 网站域名
desc:nmask 描述
keywords:nmask’blog 关键词
service:ftp 服务类型
ip:8.8.8.8 ip 地址
cidr:8.8.8.8/24 ip 地址段
Censys搜索语法
指定范围内的主机:
ip: [1.12.0.0 TO 1.15.255.255]
23.0.0.0/8 或 8.8.8.0/24 中的主机:
ip: {"23.0.0.0/8", "8.8.8.0/24"}
HTTP 正文中带有 powershell.exe 的主机:
services.http.response.body: powershell.exe
在德国运行 FTP 或 Telnet 的主机:
location.country_code: DE and services.service_name: {"FTP", "Telnet"}
“Sitting on the Dock of the Bay”的准确 SNMP 位置值:
services.snmp.oid_system.location = "Sitting on the Dock of the Bay"
带有短语“Schneider Electric”或 Dell 在 23.20.0.0/14 范围内的主机:
("Schneider Electric" OR Dell) AND ip:23.20.0.0/14
打开以下任一端口的主机:22、23、24、25:
services.port: {22, 23, 24, 25}
没有运行 HTTP 服务的主机:
NOT services.service_name: HTTP
主持人出示任何证书:
services.tls.certificates.leaf_fp_sha_256: *
显示字符串 hello 的主机以任何值成功(正则表达式):
/hello.*/
shodan搜索语法
hostname: 搜索指定的主机或域名,例如 hostname:”google”
port:
country:
city:
搜索指定的端口或服务,例如 port:”21”
搜索指定的国家,例如 country:”CN”
搜索指定的城市,例如 city:”Hefei”
org: 搜索指定的组织或公司,例如 org:”google”
isp: 搜索指定的 ISP 供应商,例如 isp:”China Telecom”
product: 搜索指定的操作系统/软件/平台,例如 product:”Apache httpd”
version: 搜索指定的软件版本,例如 version:”1.6.2”
geo: 搜索指定的地理位置,例如 geo:”31.8639, 117.2808”
before/after: 搜索指定收录时间前后的数据,格式为 dd-mm-yy,例如 before:”11-11-
15”
net: 搜索指定的 IP 地址或子网,例如 net:”210.45.240.0/24”
鹰图搜索语法
ip="1.1.1.1"
ip="220.181.111.1/24"
ip.port="6379"
搜索IP为 ”1.1.1.1”的资产
搜索起始IP为”220.181.111.1“的C段资产搜索
开放端口为”6379“的资产
搜索IP对应主机所在国为”中国“的资产 ip.country="CN" 或 ip.country="中国"
ip.province="江苏"
ip.city="北京"
搜索IP对应主机在江苏省的资产
搜索IP对应主机所在城市为”北京“市的资产
ip.isp="电信"
ip.os="Windows"
is_domain=true
domain="qq.com"
搜索运营商为”中国电信”的资产
搜索操作系统标记为”Windows“的资产搜索
域名标记不为空的资产
搜索域名包含"qq.com"的网站
domain.suffix="qq.com"
搜索主域为qq.com的网站
header.server=="Microsoft-IIS/10" 搜索server全名为“Microsoft-IIS/10”的
服务器
搜索HTTP消息主体的大小为691的网站
搜索HTTP请求返回状态码为”402”的资产
header.content_length="691"
header.status_code="402"
header="elastic"
搜索HTTP请求头中含有”elastic“的资产
企业未知资产搜集方法
1主动扫描
利用资产测绘引擎,在网络中的一个或多个节点,对网络中的IP地址空间以及域名空间,通过预先设置好的册罗进行扫描与协议分析,进而发现存活的IP地址,端口服务,以及更深层次的设备型号,操作系统,应用组件等资产信息。
2.被动流量资产发现
被动流量资产发现手段作为补充把公主主动资产测绘查缺补漏。
未知资产发现与处置流程
发现(留存,但不一定长期上线如钓鱼网站)-->上报各户-->跟踪资产(一周)-->客户确认-->抑制资产补充,位置资产整理存档并协同处理-->资产测绘报告编写
确认已知资产信息
1.确定已知资产信息(ip 域名 是否已启用 使用协议 关联业务)
2.确认已知开放端口信息(ip 对应开放端口号 开放协议 关联业务)
对未知资产进行留存验证
留存:找到疑似未知资产,先对当前页面进行截图留存(需要包含url,域名,备案号等信息)
验证:1.将找到的位置资产和端口,和已知资产进行比对
在已知资产里则继续搜索其他未知否则形成未知资产表,未知端口表发给客户确认
2.确认这些端口是什么业务
正常业务应该具体说明否则处置结果是什么是关停还是其他操作
对已知资产整理,未知资产补充协助
1.对客户已确认的自身资产添加到已知资产表
2.对客户已确认的自身端口添加到一直开放端口表
3.非客户自身财产将反馈后的处置结果进行整理,同时配合后续处理。