hvv蓝队经验收集_awvs的dnslog

三步走：

“事前排查”主要是针对组织资产信息进行深度了解，掌握隐形资产，发现明显风险点并修复；

“事中监控”也就是监控安全设备的告警，从海量日志中筛选出漏报、误报以及发现真实的攻击者；

“事后溯源”是基于“事中监控”的更进一步，只有从安全设备上发现更多的真实攻击者，才能提升溯源的成功率

扫描器：

安全最薄弱环节也是决定企业安全好坏的关键

1--Crawlergo

2--AWVS

DnsLog：

DNSLog 是一种监控 DNS 解析记录和 HTTP 访问记录的工具，将 DNSLog 平台中的特有字段 payload 带入目标发起 DNS 请求，通过 DNS 解析将请求后的关键信息组合成新的三/四级域名带出，在 NS 服务器的 DNS 日志中显示出来。通常攻击者使用 DNSLog 测试诸如 sqli、rce、ssrf、rfi 等无回显的漏洞。下面列举下常见 DNSLog 平台，可以根据这些平台的指纹结合空间测绘发现更多的 DNSLog

Cland Beta

新漏洞：

网上查找0day or nday的情报

HTTP 返回包：

若存在存在以下特征说明已经漏洞利用成功：

(1) “Windows IP”

(2) “Microsoft Corporation”

(3) “drwxr--r--”/ “-rwxr-xr-x”

Referer 来源：

攻击方信息收集时在一些搜索引擎如fofa上直接跳转到目标站点，请求包referer字段会包含fofa.so

其他搜索引擎同理

补充:

1,htttp请求包X-forwarded-for头改为127.0.0.1会被识别为本地ip可以绕过一些ip过滤，需注意

2，多次用弱口令测试的ip，明显不用说

3，user-agent：e.g. awvs / burpsuite / w3af / nessus / openvas

4，对每种攻击进行关键字匹配，e.g. select/alert/eval

5,  异常请求，连续的404或者500

应急响应: 参考：8.14. 应急响应 — Web安全学习笔记 1.0 文档 (websec.readthedocs.io)

事件发生->事件确认(是否上报)->事件响应(联合解决)->事件关闭(分析报告..溯源)

蜜罐------参考hfish使用手册

溯源：
ip->域名

域名->whois

域名->备案、邮箱、注册人

邮箱，注册人->域名

码、QQ号码

支付宝溯源——转账——查找黑客信息

REG007网站：https://www.reg007.com/查询邮箱注册过的网站

微博找回密码链接：找回密码

网易找回密码链接：网易账号安全中心

淘宝找回密码链接：阿里巴巴集团 | 账号中心

邮箱反查域名：whois反查 - 笨米网 - Whois反查,邮箱反查域名,域名反查,Whois Reverse Lookup,Whois查询

社工机器人

社会工程学——聊天