信息搜集

企业信息搜集

1. 企业架构
   天眼查
   企查查
   启信宝

网站友情链接、网站地图
收集子公司、分公司、参股公司等
http://www.chinatelecom.com.cn/corp/zzjgcs/
https://www.qcc.com
https://www.tianyancha.com

2. ICP备案查询，确定目标子域名
   http://icp.bugscaner.com/
   http://icp.chinaz.com/
   http://www.gsxt.gov.cn/corp-query-homepage.html
   收集主办单位名称、主办单位备案号、网站名称、网站备案号，公开的商业信息，公司地址，联系电话/传真号码，员工姓名/职务，目标系统使用的技术架构，公开的商业信息

3. 员工信息（搜集账号信息、钓鱼攻击）
   在线邮箱收集：http://www.skymem.info/
   在线邮箱收集，可验证邮箱是否有效：
   https://hunter.io/search

员工成员
员工简历
员工身份证，手机号，生日，家乡，住址等个人信息
员工社交账号信息（QQ号，微博，微信，邮箱等）
员工家庭及交际信息
员工上网习惯等等

4. 社交渠道
   QQ搜索
   搜索引擎
   微信公众号

校招QQ群
渠道交流群
论坛
招聘网站
微博

域名信息搜集

子域名、旁站

• (暴力破解) : layer、wydomain
• 用于查找网页源代码的域名 https://github.com/nsonaniya2010/SubDomainizer

真实IP查找
多地ping：http://ping.chinaz.com/
微步在线：https://x.threatbook.cn/
DNS解析历史（查找域名历史解析IP，site.ip138.com，dnsdumpster.com，www.virustotal.com）
服务器信息泄露
探测子域名IP
看邮件发送者源IP
APP客户端
DOS DNS可能会成为回源模式
SSRF漏洞
使用网络空间引擎查找关键字

指纹识别
Google浏览器插件wappalyzer
CMS指纹识别：http://whatweb.bugscaner.com/look/
云悉：http://www.yunsee.cn/info.html

主动爬虫
burpsuit
awvs
xray

被动爬虫
https://web.archive.org/
waybackurls

IP搜集

网络空间搜索引擎
fofa
zoomeye
shodan
傻蛋

ASN
nmap --script targets-asn --script-args targets-asn.asn=15169
https://tools.ipip.net/as.php
可以使用WHOIS服务或NSE脚本，来识别属于ASN号码的所有网络块

SPF
“dig txt 域名
nslookup --qt=txt 域名”

C段

端口信息
nmap
masscan

通过IP确定大概的定位
公众号：埃文科技、云警助手等
IPIP： https://www.ipip.net/ip.html(查出的经纬度有可能是反的)
https://chaipip.com/aiwen.html
https://www.qvdv.com/tools/qvdv-coordinate.html(查询经纬度)

信息泄露

学术网站类
“百度学术
知网
Google学术”

文库
“百度文库
豆丁网
doc88”

网盘类
“百度网盘：云盘精灵查找
微盘Vdisk
360云盘”

代码托管类
“Github
Gitlab
Gitbucket
Gitee
码云”

社交平台类 QQ群、论坛、贴吧

历史漏洞信息
“wooyun历史漏洞
https://wooyun.x10sec.org/
CNCERT等”

敏感文件扫描、目录扫描 “御剑
dirsearch”

管理页面，重要系统，网络设备信息收集 fofa,shodan.zoomeye,google,baidu

社工库

移动端搜集

APP信息收集
“应用下载：豌豆荚、应用商店
抓包软件：Burpsuite、fiddler、tcpdump
apk URL获取：Diggy
安卓反编译工具：
Android killer
ApkIDE
安卓安全测试框架：
Drozer
安卓模拟器：夜神模拟器、ADB（模拟器自带）”

小程序
“微信内置搜索引擎，
使用burpsuite或fiddler抓包”

公众号
“天眼查、微信内置搜索引擎，
使用模拟器直接复制链接，
使用Burpsuite对关键链接抓包”

打点进内网

• 未授权访问
  Redis未授权访问
  Jenkins未授权访问
  Mongobdb未授权访问
  JBOSS未授权访问

• 远程代码执行
  Shiro反序列化
  Strtus2反序列化
  RMI反序列化
  JNDI注入
  PHP远程代码执行CVE
  Oracle XML反序列化
  Apache Solr不安全配置rce

• WAF-Bypass
  https降级绕过(可能https有waf,http没有)
  ssl问题绕过(选用一个waf不支持，但是服务器支持的算法)
  改变http访问方法如:get->post
  Header Content Type绕过(修改一些文件类型或者边界值)
  sql注入中，内联的方法或者探测未过滤的函数或者使用很长的垃圾数据填充
  xss中，与sql类似
  命令执行中使用单引号和反斜杠绕过或者使用其他通配符绕过
  文件上传中，文件名绕过，文件名加回车00截断
  脚本后缀、各种中间件不同版本的解析漏洞

• 登录JS加密
  jsEncrypter(Burp插件)
  使用python调用对应js来爆破

• 特定的管理工具get shell
  phpMyAdmin
  JWT的攻击

• 上传漏洞

• 识别中间件和版本(比如iis6.0 7.0 Nginx 0.5.* 0.6.*)

• 上传技巧
  大小写混淆
  %00截断
  上传.htacess分布式部署软件
  图片头修改
  其他黑名单外的文件格式
  修改Content-type

• 编辑器
  Ueditor
  FCKeditor
  KindEditor

• webshell
  免杀
  构造法绕过检测
  乱码变形

• 数据库类型
  Access
  Mssql
  Mysql
  Oracle

• 注入点
  Get
  Post
  Cookie
  http头文件

• 注入点类型
  数字型
  字符型注入
  搜索型注入

• 注入种类
  联合注入
  盲注(布尔，时间，报错)

• 可能发生注入的地方
  主要发生在数据交互的地方(增删查改操作)

• 找源码泄露，然后做代码审计

• 文件读取漏洞

• xss
  植入恶意的html/js代码

• Office宏
  使用宏病毒进入内网(偏钓鱼)

• csrf
  使用钓鱼或者xss达到越权类的危害

• 各大cms历史遗留的漏洞

• DNSLOG
  SQL注入、命令执行没回显的情况下用
  因为DNS解析时会留下解析日志

• 水坑攻击
  “在受害者必经的道路上设置陷阱”，比如知道受害者会从某个网站下载某个软件

• 鱼叉攻击
  邮件钓鱼

• SSRF
  伪造服务端请求(内网探测，扫描端口，伪协议file://)

• xxe
  外部实体化(应用没有禁止XML引用外部实体，也没有过滤用户提交的XML数据)

命令和控制（持续控制）

powershell
用于上线(invoke-obfuscation 用来给powershell脚本混淆)

ATT&CK
一个用于安全攻防的框架
比如dll注入 api监控，注册表监控等
远控
anydesk(用于禁止3389登陆的情况)
获得主机权限但不通外网
隧道技术(SSH\DNS\ICMP)
使用Ptunnel建立ICMP技术
Http隧道
ABPTTS(将TCP流量通过HTTP/HTTPS进行流量转发)
reGeorg(将JSP/PHP等上传到服务器后，就可以访问服务器后面的主机)
Tunna(基于http的隧道工具)

穿透和转发

端口转发(渗透中，拿下目标站后,比如内网3389端口不对外开放，需要从内网中进行端口转发，以至于外网也可以访问3389)
lcx
netcat
Frp内网穿透(横向渗透，建立一条通道类似于把此目标机当成vps访问内网机器)
基于Portfwd端口转发
用于端口转发
DNS隧道(tcp,udp,http协议都无法使其上线的情况，但是可以解析互联网域名，可以ping指定ip，那就用dns)
Dns2tcp
DnsCat
Venom-代理转发、多级穿透
用于代理和端口转发

内部信息搜集

权限提升

本质是把上传到服务器的webshell提升到拥有管理员权限，从拿下网站变成拿下整个服务器
不同操作系统有不同的exp
使用数据库提权
溢出漏洞提权
第三方软件提权
Linux
通过对应版本号查找对应的exp
Windows
通过对应的版本号、服务列表查找对应的exp

权限维持

• 其他权限
  后台权限维持
• 网站权限
• 服务器权限
  • windows
    建立隐藏用户
    开机自启远控
    shift后门
  • linux
    ssh后门
    crontab定时任务
    ssh公钥
    创建suid为0的用户

入侵排查

windows

• 账号

  • 排查是否存在弱口令、对应的一些端口是否有向公网开放。比如22、3389
  • 根据日志，查看管理员登录时间、用户名是否存在异常。
    eventvwr.msc 用于查看日志
    Log Parser https://www.microsoft.com/en-us/download/details.aspx?id=24659 用于分析日志
  • 查看服务器是否有可疑账号、或者新增了账号。
    查看usrmgr.msc
  • 查看是否存在隐藏账号、和克隆账号
    打开注册表 ，查看管理员对应键值
    D盾_web查杀工具，集成了对克隆账号检测的功能

• 端口、进程

  • 查看端口的连接情况，排查是否有远程连接和可疑连接。
    netstat -ano 排查ESTABLISHED，也能找到端口对应的pid值
    根据找到的pid值，可以使用tasklist | findstr “PID” 找对应的进程。
  • 进程
    开始–运行–msinfo32–软件环境–正在运行任务或者通过任务管理器查看详细任务
    通过微软官方提供的 Process Explorer 等工具进行排查

• 系统相关版本
  开始–运行–systeminfo 查看系统信息
  查看可疑目录和文件
  用户目录文件//看有没有新增用户 新增用户会在C:\Users\新增一个目录
  %UserProfile%\Recent查看最近打开的可疑文件
  根据文件或者目录的列表时间进行排序，查找可疑文件。

• 启动项、计划任务、服务

  • 启动项
    查看开机启动项
    查看组策略
    查看计划任务
    查看你服务自启动

• 日志分析

  • 分析方法
    前提：开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等。
    Win+R 打开运行，输入 “eventvwr.msc”，回车运行，打开"事件查看器"。
    导出应用程序日志、安全日志、系统日志，利用 Log Parser进行分析
  • web访问日志
    找到中间件的web日志，打包到本地方便进行分析

linux

账号安全
历史命令
异常端口
异常进程
开机启动项
定时任务
检查服务
异常文件
系统日志