当前位置:   article > 正文

第15天:信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全_插件识别 蜜罐

插件识别 蜜罐

第十五天

Untitled

本课意义

1.Web服务器&应用服务器差异性
2.WAF防火墙&安全防护&识别技术
3.蜜罐平台&安全防护&识别技术

一、端口扫描-应用&协议

意义:

了解服务器上开放的东西,让自己的渗透思路更开阔。针对网站就使用网站的渗透思路,针对服务器就使用服务器的渗透思路

扫描范围:

  • Web中间件探针

  • 应用中间件探针

  • 数据库类型探针

  • 其他服务协议探针


中间件

  1. Web服务器:浏览器F12中的数据包回显的Server,代表的就是服务器信息
  2. 应用服务器:特点为端口服务的开放,判定应用服务器要用到端口扫描,使用端口扫描来判断服务是否存在
  3. 类型

Web服务器:Apache、Nginx、IIS、lighttpd等

应用服务器:Tomcat、Jboss、Weblogic、Websphere等

1.端口扫描:

  1. Nmap、Masscan、网络空间
  2. 开放状态:关闭:Close 开放:Open 受到防火墙保护:Filtered
  3. https://nmap.org/download.html
  4. https://github.com/robertdavidgraham/masscan

2.使用参考:

https://blog.csdn.net/qq_53079406/article/details/125266331

https://blog.csdn.net/qq_53079406/article/details/125263917

编译masscan:https://www.cnblogs.com/lzy575566/p/15513726.html


考虑:

  1. 防火墙
  2. 内网环境

内网环境可能出现情况:明明数据库端口开的,网站也能正常打开,但是你对目标进行端口扫描,发现数据库端口没有开放(排除防火墙问题)

端口服务渗透用途
tcp 20,21FTP允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)
tcp 22SSH可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等
tcp 23Telnet爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令
tcp 25SMTP邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑
tcp/udp 53DNS允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控
tcp/udp 69TFTP尝试下载目标及其的各类重要配置文件
tcp 80-89,443,8440-8450,8080-8089各种常用的Web服务端口可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等……
tcp 110POP3可尝试爆破,嗅探
tcp 111,2049NFS权限配置不当
tcp 137,139,445Samba可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等……
tcp 143IMAP可尝试爆破
udp 161SNMP爆破默认团队字符串,搜集目标内网信息
tcp 389LDAPldap注入,允许匿名访问,弱口令
tcp 512,513,514Linux rexec可爆破,rlogin登陆
tcp 873Rsync匿名访问,文件上传
tcp 1194OpenVPN想办法钓VPN账号,进内网
tcp 1352Lotus弱口令,信息泄漏,爆破
tcp 1433SQL Server注入,提权,sa弱口令,爆破
tcp 1521Oracletns爆破,注入,弹shell…
tcp 1500ISPmanager弱口令
tcp 1723PPTP爆破,想办法钓VPN账号,进内网
tcp 2082,2083cPanel弱口令
tcp 2181ZooKeeper未授权访问
tcp 2601,2604Zebra默认密码zerbra
tcp 3128Squid弱口令
tcp 3312,3311kangle弱口令
tcp 3306MySQL注入,提权,爆破
tcp 3389Windows rdpshift后门[需要03以下的系统],爆破,ms12-020
tcp 3690SVNsvn泄露,未授权访问
tcp 4848GlassFish弱口令
tcp 5000Sybase/DB2爆破,注入
tcp 5432PostgreSQL爆破,注入,弱口令
tcp 5900,5901,5902VNC弱口令爆破
tcp 5984CouchDB未授权导致的任意指令执行
tcp 6379Redis可尝试未授权访问,弱口令爆破
tcp 7001,7002WebLogicJava反序列化,弱口令
tcp 7778Kloxo主机面板登录
tcp 8000Ajenti弱口令
tcp 8009tomcat AjpTomcat-Ajp协议漏洞
tcp 8443Plesk弱口令
tcp 8069Zabbix远程执行,SQL注入
tcp 8080-8089Jenkins,JBoss反序列化,控制台弱口令
tcp 9080-9081,9090WebSphereJava反序列化/弱口令
tcp 9200,9300ElasticSearch远程执行
tcp 11211Memcached未授权访问
tcp 27017,27018MongoDB爆破,未授权访问
tcp 50070,50030Hadoop默认端口未授权访问

二、WAF识别-分类&识别

1.WAF解释:

Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。


2.WAF分类:

  1. 云WAF:百度安全宝、阿里云盾、长亭雷池,华为云,亚马逊云等
  2. 硬件WAF:绿盟、安恒、深信服、知道创宇等公司商业产品
  3. 软件WAF:宝塔,安全狗、D盾等
  4. 代码级WAF:自己写的waf规则,防止出现注入等,一般是在代码里面写死的

3.识别看图:

拦截页面,identywaf项目内置


4.识别项目:

  • wafw00f

https://github.com/EnableSecurity/wafw00f

  • identywaf

https://github.com/stamparm/identYwaf


三、蜜罐识别-分类&识别

1.蜜罐解释:

蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。


2.蜜罐分类:

根据蜜罐与攻击者之间进行的交互的程度可以将蜜罐分为三类:低交互蜜罐、中交互蜜罐、高交互蜜罐。当然还可以根据蜜罐模拟的目标进行分类,比如:数据库蜜罐、工控蜜罐、物联网蜜罐、Web蜜罐等等。


3.蜜罐产品:

蜜罐Quake系统搜索语法
STRUTSHONEYPOTapp:“StrutsHoneypot”
CONPOT HTTP 蜜罐app:“Conpot Http 蜜罐”
CONPOT MODBUS 蜜罐app:“Conpot modbus 蜜罐”
CONPOT S7 蜜罐app:“Conpot s7 蜜罐”
KIPPO 蜜罐app:“kippo 蜜罐”
HONEYPY HTTP 蜜罐app:“Honeypy Http 蜜罐”
HONEYPY ES蜜罐app:“Honeypy ES蜜罐”
AMUN IMAP 蜜罐app:“amun imap 蜜罐”
AMUN HTTP蜜罐app:“amun http蜜罐”
NEPENTHES NETBIOS蜜罐app:“Nepenthes netbios蜜罐”
NEPENTHES FTP 蜜罐app:“Nepenthes FTP 蜜罐”
SSHESAME SSH 蜜罐app:“sshesame ssh 蜜罐”
OPENCANARY蜜罐管理后台app:“opencanary蜜罐管理后台”
DIONAEA SIPD 蜜罐app:“Dionaea sipd 蜜罐”
DIONAEA SMBD 蜜罐app:“Dionaea smbd 蜜罐”
DIONAEA HTTP 蜜罐app:“Dionaea Http 蜜罐”
DIONAEA MSSQL 蜜罐app:“Dionaea MSSQL 蜜罐”
DIONAEA FTP 蜜罐app:“Dionaea ftp 蜜罐”
DIONAEA MEMCACHED 蜜罐app:“Dionaea Memcached 蜜罐”
KOJONEY SSH 蜜罐app:“Kojoney SSH 蜜罐”
WEBLOGIC蜜罐app:“weblogic蜜罐”
MYSQL蜜罐app:“MySQL蜜罐”
HFISH蜜罐app:“HFish蜜罐”
HFISH蜜罐管理后台app:“HFish蜜罐管理后台”
HONEYTHING物联网蜜罐app:“honeything物联网蜜罐”
ELASTICSEARCH蜜罐app:“elasticsearch蜜罐”
HOSTUS蜜罐app:“HostUS蜜罐”
WHOISSCANME蜜罐app:“whoisscanme蜜罐”
未知蜜罐app:“未知蜜罐”
COWRIE TELNETD蜜罐app:“Cowrie telnetd蜜罐”
GLASTOPF蜜罐app:“glastopf蜜罐”

image-20240323183829583

4.识别原理:

https://mp.weixin.qq.com/s/jPz9hBmUypFyQlU27vglUg


5.识别技术:

1.测试

大概了解组成功能等

https://hfish.net/#/


2.项目

项目识别

https://github.com/graynjo/Heimdallr

https://github.com/360quake/quake_rs

quake.exe init apikey值

quake.exe honeypot 目标


3.人工
  1. 端口多而有规律性
  2. Web访问协议就下载
  3. 设备指纹分析(见上图)

5.蜜罐问题

  1. 设计ssh mysql应用蜜罐——>搞一个可以尝试爆破的地方

  2. 爆破——>蜜罐会记录攻击者的账号密码

  3. 账号密码会采用web jsonp去传输(还是使用web功能来实现的蜜罐)

  4. 转发 跳转 jsonp,对数据做了一个中转 ,在设计中,会对输入的账号密码使用了jsonp技术进行实现,所以导致了网页的下载

  5. 当你去web http去访问这个端口——>采用协议去下载文件,正常情况是不会被解析的,因为采用了Web协议所以导致网页被下载了


四、环境复现

1.识别-Web服务器-请求返回包

1.使用F12对网页上的数据包进行查看

image-20240323213232892

image-20240323213246614

image-20240323213312213


2.识别-应用服务器-端口扫描技术

1.使用nmap对网站进行端口扫描

image-20240324003044019

2.使用massan对网站进行端口扫描

image-20240324012613240

3.使用FOFA对网站进行端口扫描

image-20240324012904919


3.识别-其他服务协议-端口扫描技术

1.对扫描出来的端口进行查看,分辨不同的端口所开放的不同的服务和协议

image-20240324012947157

4.识别-WAF防火墙-看图&项目&指纹

1.使用鹰图对WAF进行识别

image-20240324013254843

2.查看各种有WAF防护的网站所展示的图片

image-20240324013317436


5.识别-蜜罐平台-人工&网络空间&项目

1.部署蜜罐产品

image-20240324013407568

image-20240324013450665

2.根据蜜罐产品对相应端口部署的蜜罐逐一进行测试查看蜜罐效果

image-20240324013641922

image-20240324013703003

3.安装浏览器插件Heimdallr对网站是否部署蜜罐进行识别

image-20240324014517963

4.去鹰图平台搜索部署了蜜罐的网站

image-20240324015048753


声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/我家小花儿/article/detail/644199
推荐阅读
相关标签
  

闽ICP备14008679号