安全攻防基础

信息搜集

企业信息搜集

  1. 企业架构
    天眼查
    企查查
    启信宝

网站友情链接、网站地图
收集子公司、分公司、参股公司等
http://www.chinatelecom.com.cn/corp/zzjgcs/
https://www.qcc.com
https://www.tianyancha.com

  1. ICP备案查询,确定目标子域名
    http://icp.bugscaner.com/
    http://icp.chinaz.com/
    http://www.gsxt.gov.cn/corp-query-homepage.html
    收集主办单位名称、主办单位备案号、网站名称、网站备案号,公开的商业信息,公司地址,联系电话/传真号码,员工姓名/职务,目标系统使用的技术架构,公开的商业信息

  2. 员工信息(搜集账号信息、钓鱼攻击)
    在线邮箱收集:http://www.skymem.info/
    在线邮箱收集,可验证邮箱是否有效:
    https://hunter.io/search

员工成员
员工简历
员工身份证,手机号,生日,家乡,住址等个人信息
员工社交账号信息(QQ号,微博,微信,邮箱等)
员工家庭及交际信息
员工上网习惯等等

  1. 社交渠道
    QQ搜索
    搜索引擎
    微信公众号

校招QQ群
渠道交流群
论坛
招聘网站
微博

域名信息搜集

子域名、旁站

  • (暴力破解) : layer、wydomain
  • 用于查找网页源代码的域名 https://github.com/nsonaniya2010/SubDomainizer

真实IP查找
多地ping:http://ping.chinaz.com/
微步在线:https://x.threatbook.cn/
DNS解析历史(查找域名历史解析IP,site.ip138.com,dnsdumpster.com,www.virustotal.com)
服务器信息泄露
探测子域名IP
看邮件发送者源IP
APP客户端
DOS DNS可能会成为回源模式
SSRF漏洞
使用网络空间引擎查找关键字

指纹识别
Google浏览器插件wappalyzer
CMS指纹识别:http://whatweb.bugscaner.com/look/
云悉:http://www.yunsee.cn/info.html

主动爬虫
burpsuit
awvs
xray

被动爬虫
https://web.archive.org/
waybackurls

IP搜集

网络空间搜索引擎
fofa
zoomeye
shodan
傻蛋

ASN
nmap --script targets-asn --script-args targets-asn.asn=15169
https://tools.ipip.net/as.php
可以使用WHOIS服务或NSE脚本,来识别属于ASN号码的所有网络块

SPF
“dig txt 域名
nslookup --qt=txt 域名”

C段

端口信息
nmap
masscan

通过IP确定大概的定位
公众号:埃文科技、云警助手等
IPIP: https://www.ipip.net/ip.html(查出的经纬度有可能是反的)
https://chaipip.com/aiwen.html
https://www.qvdv.com/tools/qvdv-coordinate.html(查询经纬度)

信息泄露

学术网站类
“百度学术
知网
Google学术”

文库
“百度文库
豆丁网
doc88”

网盘类
“百度网盘:云盘精灵查找
微盘Vdisk
360云盘”

代码托管类
“Github
Gitlab
Gitbucket
Gitee
码云”

社交平台类 QQ群、论坛、贴吧

历史漏洞信息
“wooyun历史漏洞
https://wooyun.x10sec.org/
CNCERT等”

敏感文件扫描、目录扫描 “御剑
dirsearch”

管理页面,重要系统,网络设备信息收集 fofa,shodan.zoomeye,google,baidu

社工库

移动端搜集

APP信息收集
“应用下载:豌豆荚、应用商店
抓包软件:Burpsuite、fiddler、tcpdump
apk URL获取:Diggy
安卓反编译工具:
Android killer
ApkIDE
安卓安全测试框架:
Drozer
安卓模拟器:夜神模拟器、ADB(模拟器自带)”

小程序
“微信内置搜索引擎,
使用burpsuite或fiddler抓包”

公众号
“天眼查、微信内置搜索引擎,
使用模拟器直接复制链接,
使用Burpsuite对关键链接抓包”

打点进内网

  • 未授权访问
    Redis未授权访问
    Jenkins未授权访问
    Mongobdb未授权访问
    JBOSS未授权访问

  • 远程代码执行
    Shiro反序列化
    Strtus2反序列化
    RMI反序列化
    JNDI注入
    PHP远程代码执行CVE
    Oracle XML反序列化
    Apache Solr不安全配置rce

  • WAF-Bypass
    https降级绕过(可能https有waf,http没有)
    ssl问题绕过(选用一个waf不支持,但是服务器支持的算法)
    改变http访问方法如:get->post
    Header Content Type绕过(修改一些文件类型或者边界值)
    sql注入中,内联的方法或者探测未过滤的函数或者使用很长的垃圾数据填充
    xss中,与sql类似
    命令执行中使用单引号和反斜杠绕过或者使用其他通配符绕过
    文件上传中,文件名绕过,文件名加回车00截断
    脚本后缀、各种中间件不同版本的解析漏洞

  • 登录JS加密
    jsEncrypter(Burp插件)
    使用python调用对应js来爆破

  • 特定的管理工具get shell
    phpMyAdmin
    JWT的攻击

  • 上传漏洞

  • 识别中间件和版本(比如iis6.0 7.0 Nginx 0.5.* 0.6.*)

  • 上传技巧
    大小写混淆
    %00截断
    上传.htacess分布式部署软件
    图片头修改
    其他黑名单外的文件格式
    修改Content-type

  • 编辑器
    Ueditor
    FCKeditor
    KindEditor

  • webshell
    免杀
    构造法绕过检测
    乱码变形

  • 数据库类型
    Access
    Mssql
    Mysql
    Oracle

  • 注入点
    Get
    Post
    Cookie
    http头文件

  • 注入点类型
    数字型
    字符型注入
    搜索型注入

  • 注入种类
    联合注入
    盲注(布尔,时间,报错)

  • 可能发生注入的地方
    主要发生在数据交互的地方(增删查改操作)

  • 找源码泄露,然后做代码审计

  • 文件读取漏洞

  • xss
    植入恶意的html/js代码

  • Office宏
    使用宏病毒进入内网(偏钓鱼)

  • csrf
    使用钓鱼或者xss达到越权类的危害

  • 各大cms历史遗留的漏洞

  • DNSLOG
    SQL注入、命令执行没回显的情况下用
    因为DNS解析时会留下解析日志

  • 水坑攻击
    “在受害者必经的道路上设置陷阱”,比如知道受害者会从某个网站下载某个软件

  • 鱼叉攻击
    邮件钓鱼

  • SSRF
    伪造服务端请求(内网探测,扫描端口,伪协议file://)

  • xxe
    外部实体化(应用没有禁止XML引用外部实体,也没有过滤用户提交的XML数据)

命令和控制(持续控制)

powershell
用于上线(invoke-obfuscation 用来给powershell脚本混淆)

ATT&CK
一个用于安全攻防的框架
比如dll注入 api监控,注册表监控等
远控
anydesk(用于禁止3389登陆的情况)
获得主机权限但不通外网
隧道技术(SSH\DNS\ICMP)
使用Ptunnel建立ICMP技术
Http隧道
ABPTTS(将TCP流量通过HTTP/HTTPS进行流量转发)
reGeorg(将JSP/PHP等上传到服务器后,就可以访问服务器后面的主机)
Tunna(基于http的隧道工具)

穿透和转发

端口转发(渗透中,拿下目标站后,比如内网3389端口不对外开放,需要从内网中进行端口转发,以至于外网也可以访问3389)
lcx
netcat
Frp内网穿透(横向渗透,建立一条通道类似于把此目标机当成vps访问内网机器)
基于Portfwd端口转发
用于端口转发
DNS隧道(tcp,udp,http协议都无法使其上线的情况,但是可以解析互联网域名,可以ping指定ip,那就用dns)
Dns2tcp
DnsCat
Venom-代理转发、多级穿透
用于代理和端口转发

内部信息搜集

权限提升

本质是把上传到服务器的webshell提升到拥有管理员权限,从拿下网站变成拿下整个服务器
不同操作系统有不同的exp
使用数据库提权
溢出漏洞提权
第三方软件提权
Linux
通过对应版本号查找对应的exp
Windows
通过对应的版本号、服务列表查找对应的exp

权限维持

  • 其他权限
    后台权限维持
  • 网站权限
  • 服务器权限
    • windows
      建立隐藏用户
      开机自启远控
      shift后门
    • linux
      ssh后门
      crontab定时任务
      ssh公钥
      创建suid为0的用户

入侵排查

windows

  • 账号

    • 排查是否存在弱口令、对应的一些端口是否有向公网开放。比如22、3389
    • 根据日志,查看管理员登录时间、用户名是否存在异常。
      eventvwr.msc 用于查看日志
      Log Parser https://www.microsoft.com/en-us/download/details.aspx?id=24659 用于分析日志
    • 查看服务器是否有可疑账号、或者新增了账号。
      查看usrmgr.msc
    • 查看是否存在隐藏账号、和克隆账号
      打开注册表 ,查看管理员对应键值
      D盾_web查杀工具,集成了对克隆账号检测的功能
  • 端口、进程

    • 查看端口的连接情况,排查是否有远程连接和可疑连接。
      netstat -ano 排查ESTABLISHED,也能找到端口对应的pid值
      根据找到的pid值,可以使用tasklist | findstr “PID” 找对应的进程。
    • 进程
      开始–运行–msinfo32–软件环境–正在运行任务或者通过任务管理器查看详细任务
      通过微软官方提供的 Process Explorer 等工具进行排查
  • 系统相关版本
    开始–运行–systeminfo 查看系统信息
    查看可疑目录和文件
    用户目录文件//看有没有新增用户 新增用户会在C:\Users\新增一个目录
    %UserProfile%\Recent查看最近打开的可疑文件
    根据文件或者目录的列表时间进行排序,查找可疑文件。

  • 启动项、计划任务、服务

    • 启动项
      查看开机启动项
      查看组策略
      查看计划任务
      查看你服务自启动
  • 日志分析

    • 分析方法
      前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
      Win+R 打开运行,输入 “eventvwr.msc”,回车运行,打开"事件查看器"。
      导出应用程序日志、安全日志、系统日志,利用 Log Parser进行分析
    • web访问日志
      找到中间件的web日志,打包到本地方便进行分析

linux

账号安全
历史命令
异常端口
异常进程
开机启动项
定时任务
检查服务
异常文件
系统日志

上一篇:201971010232-牛靖威 实验一 软件工程准备


下一篇:(转)修改Hosts不生效的解决办法