015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第1张图片

#知识点:

1、端口扫描-应用&协议
2、WAF识别-分类&识别
3、蜜罐识别-分类&识别
解决:
1、Web服务器&应用服务器差异性
2、WAF防火墙&安全防护&识别技术
3、蜜罐平台&安全防护&识别技术

#补充:

开发语言:PHP、JAVA、Ruby、Python、C#,JS等
Web服务器:Apache、Nginx、IIS、lighttpd等
应用服务器:Tomcat、Jboss、Weblogic、Websphere等
数据库类型:Mysql、SqlServer、Oracle、Redis、MongoDB等
操作系统信息:Linux、windows等
应用服务信息:FTP、SSH、RDP、SMB、SMTP、LDAP、Rsync等
CDN信息:帝联、Cloudflare、网宿、七牛云、阿里云等
WAF信息:创宇盾、宝塔、ModSecurity、玄武盾、OpenRASP等。
蜜罐信息:HFish、TeaPot、T-Pot、Glastopf等
其他组件信息:fastjson、shiro、log4j、OA办公等

端口 服务 渗透用途
tcp 20,21 FTP 允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)
tcp 22 SSH 可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等
tcp 23 Telnet 爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令
tcp 25 SMTP 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑
tcp/udp 53 DNS 允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控
tcp/udp 69 TFTP 尝试下载目标及其的各类重要配置文件
tcp 80-89,443,8440-8450,8080-8089 各种常用的Web服务端口 可尝试经典的topn,,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等……
tcp 110 POP3 可尝试爆破,嗅探
tcp 111,2049 NFS 权限配置不当
tcp 137,139,445 Samba 可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等……
tcp 143 IMAP 可尝试爆破
udp 161 SNMP 爆破默认团队字符串,搜集目标内网信息
tcp 389 LDAP ldap注入,允许匿名访问,弱口令
tcp 512,513,514 Linux rexec 可爆破,rlogin登陆
tcp 873 Rsync 匿名访问,文件上传
tcp 1194 OpenVPN 想办法钓VPN账号,进内网
tcp 1352 Lotus 弱口令,信息泄漏,爆破
tcp 1433 SQL Server 注入,提权,sa弱口令,爆破
tcp 1521 Oracle tns爆破,注入,弹shell…
tcp 1500 ISPmanager 弱口令
tcp 1723 PPTP 爆破,想办法钓VPN账号,进内网
tcp 2082,2083 cPanel 弱口令
tcp 2181 ZooKeeper 未授权访问
tcp 2601,2604 Zebra 默认密码zerbra
tcp 3128 Squid 弱口令
tcp 3312,3311 kangle 弱口令
tcp 3306 MySQL 注入,提权,爆破
tcp 3389 Windows rdp shift后门[需要03以下的系统],爆破,ms12-020
tcp 3690 SVN svn泄露,未授权访问
tcp 4848 GlassFish 弱口令
tcp 5000 Sybase/DB2 爆破,注入
tcp 5432 PostgreSQL 爆破,注入,弱口令
tcp 5900,5901,5902 VNC 弱口令爆破
tcp 5984 CouchDB 未授权导致的任意指令执行
tcp 6379 Redis 可尝试未授权访问,弱口令爆破
tcp 7001,7002 WebLogic Java反序列化,弱口令
tcp 7778 Kloxo 主机面板登录
tcp 8000 Ajenti 弱口令
tcp 8009 tomcat Ajp Tomcat-Ajp协议漏洞
tcp 8443 Plesk 弱口令
tcp 8069 Zabbix 远程执行,SQL注入
tcp 8080-8089 Jenkins,JBoss 反序列化,控制台弱口令
tcp 9080-9081,9090 WebSphere Java反序列化/弱口令
tcp 9200,9300 ElasticSearch 远程执行
tcp 11211 Memcached 未授权访问
tcp 27017,27018 MongoDB 爆破,未授权访问
tcp 50070,50030 Hadoop 默认端口未授权访问
蜜罐 Quake系统搜索语法
STRUTSHONEYPOT app:“StrutsHoneypot”
CONPOT HTTP 蜜罐 app:“Conpot Http 蜜罐”
CONPOT MODBUS 蜜罐 app:“Conpot modbus 蜜罐”
CONPOT S7 蜜罐 app:“Conpot s7 蜜罐”
KIPPO 蜜罐 app:“kippo 蜜罐”
HONEYPY HTTP 蜜罐 app:“Honeypy Http 蜜罐”
HONEYPY ES蜜罐 app:“Honeypy ES蜜罐”
AMUN IMAP 蜜罐 app:“amun imap 蜜罐”
AMUN HTTP蜜罐 app:“amun http蜜罐”
NEPENTHES NETBIOS蜜罐 app:“Nepenthes netbios蜜罐”
NEPENTHES FTP 蜜罐 app:“Nepenthes FTP 蜜罐”
SSHESAME SSH 蜜罐 app:“sshesame ssh 蜜罐”
OPENCANARY蜜罐管理后台 app:“opencanary蜜罐管理后台”
DIONAEA SIPD 蜜罐 app:“Dionaea sipd 蜜罐”
DIONAEA SMBD 蜜罐 app:“Dionaea smbd 蜜罐”
DIONAEA HTTP 蜜罐 app:“Dionaea Http 蜜罐”
DIONAEA MSSQL 蜜罐 app:“Dionaea MSSQL 蜜罐”
DIONAEA FTP 蜜罐 app:“Dionaea ftp 蜜罐”
DIONAEA MEMCACHED 蜜罐 app:“Dionaea Memcached 蜜罐”
KOJONEY SSH 蜜罐 app:“Kojoney SSH 蜜罐”
WEBLOGIC蜜罐 app:“weblogic蜜罐”
MYSQL蜜罐 app:“MySQL蜜罐”
HFISH蜜罐 app:“HFish蜜罐”
HFISH蜜罐管理后台 app:“HFish蜜罐管理后台”
HONEYTHING物联网蜜罐 app:“honeything物联网蜜罐”
ELASTICSEARCH蜜罐 app:“elasticsearch蜜罐”
HOSTUS蜜罐 app:“HostUS蜜罐”
WHOISSCANME蜜罐 app:“whoisscanme蜜罐”
未知蜜罐 app:“未知蜜罐”
COWRIE TELNETD蜜罐 app:“Cowrie telnetd蜜罐”
GLASTOPF蜜罐 app:“glastopf蜜罐”

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第2张图片

演示案例:

➢识别-Web服务器-请求返回包
➢识别-应用服务器-端口扫描技术
➢识别-其他服务协议-端口扫描技术
➢识别-WAF防火墙-看图&项目&指纹
➢识别-蜜罐平台-人工&网络空间&项目

#识别-Web服务器-请求返回包

#识别-应用服务器-端口扫描技术

#识别-其他服务协议-端口扫描技术

-Web中间件探针
-应用中间件探针
-数据库类型探针
-其他服务协议探针

  • 首先选择要扫描的网址或域名:小迪渗透吧-提供最专业的渗透测试培训,web安全培训,网络安全培训,代码审计培训,安全服务培训,CTF比赛培训,SRC平台挖掘培训,红蓝对抗培训!_小迪安全,小迪渗透,小迪培训 (xiaodi8.com)

  • 利用浏览器自带的检查抓包,查看表头可以获取一定的中间件服务信息但不全面

  • 采用端口扫描:

    • Nmap:配置中:Quick scan plus是快速扫描,intense scan all TCP ports 是全部端口扫描

    015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第3张图片

    • Masscan:在目录下直接输入cmd,进行调用 语法:测试一个至多个端口是否开通masscan.exe -p 3307 47.75.212.155 测试多个端口:masscan.exe -p 1-65535 1.15.51.4

    015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第4张图片

    015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第5张图片

    • 网络空间:直接查询即可

    015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第6张图片

    015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第7张图片

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第8张图片

端口扫描:Nmap、Masscan、网络空间
开放状态:Close Open Filtered
https://nmap.org/download.htmlhttps://github.com/robertdavidgraham/masscan
使用参考:
https://blog.csdn.net/qq_53079406/article/details/125266331https://blog.csdn.net/qq_53079406/article/details/125263917
编译masscan:https://www.cnblogs.com/lzy575566/p/15513726.html

遇到的问题:Zenmap扫描时报错:’utf8’ codec can’t decode byte 0xc1 in position 0:invalid start byte。

原因是:环境变量有中文,无法解析

解决方式:使用虚拟机,英文用户安装即可

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第9张图片

Untitled

端口扫出的作用:可以直接选用带有http的端口粘贴在域名后进行访问

考虑:1、防火墙 2、内网环境
内网环境可能出现情况:明明数据库端口开的,网站也能正常打开,但是你对目标进行端口扫描,发现数据库端口没有开放(排除防火墙问题)

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第10张图片

#识别-WAF防火墙-看图&项目&指纹

1、WAF解释:

Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

学会认清现实,绕不过不要钻牛角尖

2、WAF分类:

云WAF:百度安全宝、阿里云盾、长亭雷池,华为云,亚马逊云等(中大型企业)
硬件WAF:绿盟、安恒、深信服、知道创宇等公司商业产品(政府,学习,军工)
软件WAF:宝塔,安全狗、D盾等(个人)
代码级WAF:自己写的waf规则,防止出现注入等,一般是在代码里面写死的

3、识别看图:拦截页面,identywaf项目内置

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第11张图片

4、识别项目:

wafw00f

https://github.com/EnableSecurity/wafw00f

  • **安装:目录下打开cmd输入:python setup.py install
  • **使用:安装后打开wafwoof目录下cmd输入:python main.py https://jmhewang.com/
  • 注意:查询时候关闭代理,不然无法连接

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第12张图片

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第13张图片

identywaf

https://github.com/stamparm/identYwaf

  • 使用语法:python identYwaf.py https://jmhewang.com/

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第14张图片

#识别-蜜罐平台-人工&网络空间&项目

蜜罐解释:

蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。

蜜罐分类:

根据蜜罐与攻击者之间进行的交互的程度可以将蜜罐分为三类:低交互蜜罐、中交互蜜罐、高交互蜜罐。当然还可以根据蜜罐模拟的目标进行分类,比如:数据库蜜罐、工控蜜罐、物联网蜜罐、Web蜜罐等等。

蜜罐产品:见下图

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第15张图片

  • 识别原理:
    https://mp.weixin.qq.com/s/jPz9hBmUypFyQlU27vglUg

    蜜罐(Honeypot)是一种安全机制,其原理和特点为:

    1. 引诱攻击: 蜜罐的主要原理是通过模拟目标系统的弱点或敏感区域,吸引和引诱攻击者。蜜罐可以模拟各种服务和应用,如Web服务器、数据库、邮件服务器等,使其看起来像是真实系统。
    2. 数据捕获: 一旦攻击者对蜜罐进行攻击,蜜罐会记录和捕获攻击行为的详细信息,包括攻击者的IP地址、攻击手段、使用的工具等。这些信息对于分析攻击者的行为和提高网络防御水平非常有价值。
    3. 学习和改进: 蜜罐可以用于学习攻击者的新技术和手段。通过分析蜜罐收集到的数据,安全团队可以了解到新型威胁的特点,并相应地改进网络防御策略。
    4. 欺骗和误导: 蜜罐可以欺骗攻击者,使其浪费时间和资源在虚假系统上。这有助于减缓攻击速度、提高检测准确性,并增加攻击者被发现的可能性。
    5. 实时监控: 蜜罐可以用于实时监控网络上的攻击活动。通过在网络中分布蜜罐,可以提前探测到潜在的威胁,从而更及时地采取防御措施。
    6. 早期警告: 蜜罐可以在攻击者尚未对真实系统造成实质性危害之前提供早期警告。这有助于组织及时采取行动,防止潜在的风险。

识别技术:

大概了解组成功能等
https://hfish.net/#/

项目识别
  • https://github.com/graynjo/Heimdallr

    • 安装:打开浏览器开发者模式解压文件拖入即可

    015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第16张图片

    015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第17张图片

  • https://github.com/360quake/quake_rs

    • 安装:解压后在目录下cmd启用quake.exe
    • quake.exe init apikey值(api值需要注册360网络空间获取360网络空间测绘 — 因为看见,所以安全
    • 使用语法:quake.exe honeypot 目标

    015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第18张图片

Untitled

人工识别

蜜罐网址:annie脸圆圆创作者主页_杭州插画师-站酷ZCOOL

Evastacha – Vivez vos passions en toute liberté (sport.blog)
端口多而有规律性
Web访问协议就下载
设备指纹分析(见上图)

面试可能会问到的问题:

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第19张图片

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第20张图片

网络空间识别

鹰图,Quake

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第21张图片

补充:蜜罐+Linux安装

Linux联网环境,一键安装(强烈推荐)

CentOS 是HFish团队主力开发和测试系统,推荐选用CentOS系统部署管理端

如果部署的环境为Linux,且可以访问互联网,强烈建议使用一键部署脚本进行安装和配置,在使用一键脚本前,请先配置防火墙。

如果蜜罐节点暴露在互联网,可能会出现TCP连接超过最大1024个连接数限制,导致其他连接被拒绝的情况,可手动放开机器TCP最大连接数。参考解决链接:https://www.cnblogs.com/lemon-flm/p/7975812.html

以root权限运行以下命令,确保配置防火墙开启TCP/4433、TCP/4434

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第22张图片

firewall-cmd --add-port=4433/tcp --permanent   #(用于web界面启动)
firewall-cmd --add-port=4434/tcp --permanent   #(用于节点与管理端通信)
firewall-cmd --reload

如之后蜜罐服务需要占用其他端口,可使用相同命令打开

以root权限运行以下一键部署命令

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第23张图片

bash <(curl -sS -L https://hfish.net/webinstall.sh)

完成安装后,通过以下网址、账号密码登录

登陆链接:https://192.168.200.130:4433/web/
账号:admin
密码:HFish2021

遇到问题:访问网址时候无法访问

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第24张图片

解决:必须在前面加上https:才能正确访问到

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第25张图片

简单配置:

看到节点管理,点击到展开即可看到配置的蜜罐信息 想要访问相应的服务端口,必须要先开启防火墙才能访问开启防火墙格式例如:TCP/8080输入密码确认开启即可访问 查看攻击来源即可看到,攻击ip地址等信息 还可以开启大屏查看

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第26张图片

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第27张图片

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第28张图片

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第29张图片

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第30张图片

问题:在访问的时候要依据开放的端口协议去对应访问不然可能访问失败

Untitled

015-信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_第31张图片

你可能感兴趣的:(架构,安全)