信息搜集
企业信息搜集
- 企业架构
天眼查
企查查
启信宝
网站友情链接、网站地图
收集子公司、分公司、参股公司等
http://www.chinatelecom.com.cn/corp/zzjgcs/
https://www.qcc.com
https://www.tianyancha.com
-
ICP备案查询,确定目标子域名
http://icp.bugscaner.com/
http://icp.chinaz.com/
http://www.gsxt.gov.cn/corp-query-homepage.html
收集主办单位名称、主办单位备案号、网站名称、网站备案号,公开的商业信息,公司地址,联系电话/传真号码,员工姓名/职务,目标系统使用的技术架构,公开的商业信息 -
员工信息(搜集账号信息、钓鱼攻击)
在线邮箱收集:http://www.skymem.info/
在线邮箱收集,可验证邮箱是否有效:
https://hunter.io/search
员工成员
员工简历
员工身份证,手机号,生日,家乡,住址等个人信息
员工社交账号信息(QQ号,微博,微信,邮箱等)
员工家庭及交际信息
员工上网习惯等等
- 社交渠道
QQ搜索
搜索引擎
微信公众号
校招QQ群
渠道交流群
论坛
招聘网站
微博
域名信息搜集
子域名、旁站
- (暴力破解) : layer、wydomain
- 用于查找网页源代码的域名 https://github.com/nsonaniya2010/SubDomainizer
真实IP查找
多地ping:http://ping.chinaz.com/
微步在线:https://x.threatbook.cn/
DNS解析历史(查找域名历史解析IP,site.ip138.com,dnsdumpster.com,www.virustotal.com)
服务器信息泄露
探测子域名IP
看邮件发送者源IP
APP客户端
DOS DNS可能会成为回源模式
SSRF漏洞
使用网络空间引擎查找关键字
指纹识别
Google浏览器插件wappalyzer
CMS指纹识别:http://whatweb.bugscaner.com/look/
云悉:http://www.yunsee.cn/info.html
主动爬虫
burpsuit
awvs
xray
被动爬虫
https://web.archive.org/
waybackurls
IP搜集
网络空间搜索引擎
fofa
zoomeye
shodan
傻蛋
ASN
nmap --script targets-asn --script-args targets-asn.asn=15169
https://tools.ipip.net/as.php
可以使用WHOIS服务或NSE脚本,来识别属于ASN号码的所有网络块
SPF
“dig txt 域名
nslookup --qt=txt 域名”
C段
端口信息
nmap
masscan
通过IP确定大概的定位
公众号:埃文科技、云警助手等
IPIP: https://www.ipip.net/ip.html(查出的经纬度有可能是反的)
https://chaipip.com/aiwen.html
https://www.qvdv.com/tools/qvdv-coordinate.html(查询经纬度)
信息泄露
学术网站类
“百度学术
知网
Google学术”
文库
“百度文库
豆丁网
doc88”
网盘类
“百度网盘:云盘精灵查找
微盘Vdisk
360云盘”
代码托管类
“Github
Gitlab
Gitbucket
Gitee
码云”
社交平台类 QQ群、论坛、贴吧
历史漏洞信息
“wooyun历史漏洞
https://wooyun.x10sec.org/
CNCERT等”
敏感文件扫描、目录扫描 “御剑
dirsearch”
管理页面,重要系统,网络设备信息收集 fofa,shodan.zoomeye,google,baidu
社工库
移动端搜集
APP信息收集
“应用下载:豌豆荚、应用商店
抓包软件:Burpsuite、fiddler、tcpdump
apk URL获取:Diggy
安卓反编译工具:
Android killer
ApkIDE
安卓安全测试框架:
Drozer
安卓模拟器:夜神模拟器、ADB(模拟器自带)”
小程序
“微信内置搜索引擎,
使用burpsuite或fiddler抓包”
公众号
“天眼查、微信内置搜索引擎,
使用模拟器直接复制链接,
使用Burpsuite对关键链接抓包”
打点进内网
-
未授权访问
Redis未授权访问
Jenkins未授权访问
Mongobdb未授权访问
JBOSS未授权访问 -
远程代码执行
Shiro反序列化
Strtus2反序列化
RMI反序列化
JNDI注入
PHP远程代码执行CVE
Oracle XML反序列化
Apache Solr不安全配置rce -
WAF-Bypass
https降级绕过(可能https有waf,http没有)
ssl问题绕过(选用一个waf不支持,但是服务器支持的算法)
改变http访问方法如:get->post
Header Content Type绕过(修改一些文件类型或者边界值)
sql注入中,内联的方法或者探测未过滤的函数或者使用很长的垃圾数据填充
xss中,与sql类似
命令执行中使用单引号和反斜杠绕过或者使用其他通配符绕过
文件上传中,文件名绕过,文件名加回车00截断
脚本后缀、各种中间件不同版本的解析漏洞 -
登录JS加密
jsEncrypter(Burp插件)
使用python调用对应js来爆破 -
特定的管理工具get shell
phpMyAdmin
JWT的攻击 -
上传漏洞
-
识别中间件和版本(比如iis6.0 7.0 Nginx 0.5.* 0.6.*)
-
上传技巧
大小写混淆
%00截断
上传.htacess分布式部署软件
图片头修改
其他黑名单外的文件格式
修改Content-type -
编辑器
Ueditor
FCKeditor
KindEditor -
webshell
免杀
构造法绕过检测
乱码变形 -
数据库类型
Access
Mssql
Mysql
Oracle -
注入点
Get
Post
Cookie
http头文件 -
注入点类型
数字型
字符型注入
搜索型注入 -
注入种类
联合注入
盲注(布尔,时间,报错) -
可能发生注入的地方
主要发生在数据交互的地方(增删查改操作) -
找源码泄露,然后做代码审计
-
文件读取漏洞
-
xss
植入恶意的html/js代码 -
Office宏
使用宏病毒进入内网(偏钓鱼) -
csrf
使用钓鱼或者xss达到越权类的危害 -
各大cms历史遗留的漏洞
-
DNSLOG
SQL注入、命令执行没回显的情况下用
因为DNS解析时会留下解析日志 -
水坑攻击
“在受害者必经的道路上设置陷阱”,比如知道受害者会从某个网站下载某个软件 -
鱼叉攻击
邮件钓鱼 -
SSRF
伪造服务端请求(内网探测,扫描端口,伪协议file://) -
xxe
外部实体化(应用没有禁止XML引用外部实体,也没有过滤用户提交的XML数据)
命令和控制(持续控制)
powershell
用于上线(invoke-obfuscation 用来给powershell脚本混淆)
ATT&CK
一个用于安全攻防的框架
比如dll注入 api监控,注册表监控等
远控
anydesk(用于禁止3389登陆的情况)
获得主机权限但不通外网
隧道技术(SSH\DNS\ICMP)
使用Ptunnel建立ICMP技术
Http隧道
ABPTTS(将TCP流量通过HTTP/HTTPS进行流量转发)
reGeorg(将JSP/PHP等上传到服务器后,就可以访问服务器后面的主机)
Tunna(基于http的隧道工具)
穿透和转发
端口转发(渗透中,拿下目标站后,比如内网3389端口不对外开放,需要从内网中进行端口转发,以至于外网也可以访问3389)
lcx
netcat
Frp内网穿透(横向渗透,建立一条通道类似于把此目标机当成vps访问内网机器)
基于Portfwd端口转发
用于端口转发
DNS隧道(tcp,udp,http协议都无法使其上线的情况,但是可以解析互联网域名,可以ping指定ip,那就用dns)
Dns2tcp
DnsCat
Venom-代理转发、多级穿透
用于代理和端口转发
内部信息搜集
权限提升
本质是把上传到服务器的webshell提升到拥有管理员权限,从拿下网站变成拿下整个服务器
不同操作系统有不同的exp
使用数据库提权
溢出漏洞提权
第三方软件提权
Linux
通过对应版本号查找对应的exp
Windows
通过对应的版本号、服务列表查找对应的exp
权限维持
- 其他权限
后台权限维持 - 网站权限
- 服务器权限
- windows
建立隐藏用户
开机自启远控
shift后门 - linux
ssh后门
crontab定时任务
ssh公钥
创建suid为0的用户
- windows
入侵排查
windows
-
账号
- 排查是否存在弱口令、对应的一些端口是否有向公网开放。比如22、3389
- 根据日志,查看管理员登录时间、用户名是否存在异常。
eventvwr.msc 用于查看日志
Log Parser https://www.microsoft.com/en-us/download/details.aspx?id=24659 用于分析日志 - 查看服务器是否有可疑账号、或者新增了账号。
查看usrmgr.msc - 查看是否存在隐藏账号、和克隆账号
打开注册表 ,查看管理员对应键值
D盾_web查杀工具,集成了对克隆账号检测的功能
-
端口、进程
- 查看端口的连接情况,排查是否有远程连接和可疑连接。
netstat -ano 排查ESTABLISHED,也能找到端口对应的pid值
根据找到的pid值,可以使用tasklist | findstr “PID” 找对应的进程。 - 进程
开始–运行–msinfo32–软件环境–正在运行任务或者通过任务管理器查看详细任务
通过微软官方提供的 Process Explorer 等工具进行排查
- 查看端口的连接情况,排查是否有远程连接和可疑连接。
-
系统相关版本
开始–运行–systeminfo 查看系统信息
查看可疑目录和文件
用户目录文件//看有没有新增用户 新增用户会在C:\Users\新增一个目录
%UserProfile%\Recent查看最近打开的可疑文件
根据文件或者目录的列表时间进行排序,查找可疑文件。 -
启动项、计划任务、服务
- 启动项
查看开机启动项
查看组策略
查看计划任务
查看你服务自启动
- 启动项
-
日志分析
- 分析方法
前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
Win+R 打开运行,输入 “eventvwr.msc”,回车运行,打开"事件查看器"。
导出应用程序日志、安全日志、系统日志,利用 Log Parser进行分析 - web访问日志
找到中间件的web日志,打包到本地方便进行分析
- 分析方法
linux
账号安全
历史命令
异常端口
异常进程
开机启动项
定时任务
检查服务
异常文件
系统日志