015-信息打點(diǎn)-主機(jī)架構(gòu)&蜜罐識(shí)別&WAF識(shí)別&端口掃描&協(xié)議識(shí)別&服務(wù)安全

#知識(shí)點(diǎn)：

1、端口掃描-應(yīng)用&協(xié)議
2、WAF識(shí)別-分類&識(shí)別
3、蜜罐識(shí)別-分類&識(shí)別
解決：
1、Web服務(wù)器&應(yīng)用服務(wù)器差異性
2、WAF防火墻&安全防護(hù)&識(shí)別技術(shù)
3、蜜罐平臺(tái)&安全防護(hù)&識(shí)別技術(shù)

#補(bǔ)充：

開發(fā)語(yǔ)言：PHP、JAVA、Ruby、Python、C#，JS等
Web服務(wù)器：Apache、Nginx、IIS、lighttpd等
應(yīng)用服務(wù)器：Tomcat、Jboss、Weblogic、Websphere等
數(shù)據(jù)庫(kù)類型：Mysql、SqlServer、Oracle、Redis、MongoDB等
操作系統(tǒng)信息：Linux、windows等
應(yīng)用服務(wù)信息：FTP、SSH、RDP、SMB、SMTP、LDAP、Rsync等
CDN信息：帝聯(lián)、Cloudflare、網(wǎng)宿、七牛云、阿里云等
WAF信息：創(chuàng)宇盾、寶塔、ModSecurity、玄武盾、OpenRASP等。
蜜罐信息：HFish、TeaPot、T-Pot、Glastopf等
其他組件信息：fastjson、shiro、log4j、OA辦公等

演示案例：

?識(shí)別-Web服務(wù)器-請(qǐng)求返回包
?識(shí)別-應(yīng)用服務(wù)器-端口掃描技術(shù)
?識(shí)別-其他服務(wù)協(xié)議-端口掃描技術(shù)
?識(shí)別-WAF防火墻-看圖&項(xiàng)目&指紋
?識(shí)別-蜜罐平臺(tái)-人工&網(wǎng)絡(luò)空間&項(xiàng)目

#識(shí)別-Web服務(wù)器-請(qǐng)求返回包

#識(shí)別-應(yīng)用服務(wù)器-端口掃描技術(shù)

#識(shí)別-其他服務(wù)協(xié)議-端口掃描技術(shù)

-Web中間件探針
-應(yīng)用中間件探針
-數(shù)據(jù)庫(kù)類型探針
-其他服務(wù)協(xié)議探針

• 首先選擇要掃描的網(wǎng)址或域名：小迪滲透吧-提供最專業(yè)的滲透測(cè)試培訓(xùn),web安全培訓(xùn),網(wǎng)絡(luò)安全培訓(xùn),代碼審計(jì)培訓(xùn),安全服務(wù)培訓(xùn),CTF比賽培訓(xùn),SRC平臺(tái)挖掘培訓(xùn),紅藍(lán)對(duì)抗培訓(xùn)！_小迪安全,小迪滲透,小迪培訓(xùn) (xiaodi8.com)

• 利用瀏覽器自帶的檢查抓包，查看表頭可以獲取一定的中間件服務(wù)信息但不全面

• 采用端口掃描：

  • Nmap：配置中：Quick scan plus是快速掃描，intense scan all TCP ports 是全部端口掃描

  

  • Masscan：在目錄下直接輸入cmd，進(jìn)行調(diào)用 語(yǔ)法：測(cè)試一個(gè)至多個(gè)端口是否開通masscan.exe -p 3307 47.75.212.155 測(cè)試多個(gè)端口：masscan.exe -p 1-65535 1.15.51.4

  

  

  • 網(wǎng)絡(luò)空間：直接查詢即可

  

  

端口掃描：Nmap、Masscan、網(wǎng)絡(luò)空間
開放狀態(tài)：Close Open Filtered
https://nmap.org/download.htmlhttps://github.com/robertdavidgraham/masscan
使用參考：
https://blog.csdn.net/qq_53079406/article/details/125266331https://blog.csdn.net/qq_53079406/article/details/125263917
編譯masscan：https://www.cnblogs.com/lzy575566/p/15513726.html

遇到的問(wèn)題：Zenmap掃描時(shí)報(bào)錯(cuò):’utf8’?codec can’t decode byte 0xc1 in position 0:invalid start byte。

原因是：環(huán)境變量有中文，無(wú)法解析

解決方式：使用虛擬機(jī)，英文用戶安裝即可

端口掃出的作用：可以直接選用帶有http的端口粘貼在域名后進(jìn)行訪問(wèn)

考慮：1、防火墻 2、內(nèi)網(wǎng)環(huán)境
內(nèi)網(wǎng)環(huán)境可能出現(xiàn)情況：明明數(shù)據(jù)庫(kù)端口開的，網(wǎng)站也能正常打開，但是你對(duì)目標(biāo)進(jìn)行端口掃描，發(fā)現(xiàn)數(shù)據(jù)庫(kù)端口沒有開放（排除防火墻問(wèn)題）

#識(shí)別-WAF防火墻-看圖&項(xiàng)目&指紋

1、WAF解釋：

Web應(yīng)用防護(hù)系統(tǒng)（也稱為：網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)。英文：Web Application Firewall，簡(jiǎn)稱：WAF）。利用國(guó)際上公認(rèn)的一種說(shuō)法：Web應(yīng)用防火墻是通過(guò)執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來(lái)專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。

學(xué)會(huì)認(rèn)清現(xiàn)實(shí)，繞不過(guò)不要鉆牛角尖

2、WAF分類：

云WAF：百度安全寶、阿里云盾、長(zhǎng)亭雷池，華為云，亞馬遜云等（中大型企業(yè)）
硬件WAF：綠盟、安恒、深信服、知道創(chuàng)宇等公司商業(yè)產(chǎn)品（政府，學(xué)習(xí)，軍工）
軟件WAF：寶塔，安全狗、D盾等（個(gè)人）
代碼級(jí)WAF：自己寫的waf規(guī)則，防止出現(xiàn)注入等，一般是在代碼里面寫死的

3、識(shí)別看圖：攔截頁(yè)面，identywaf項(xiàng)目?jī)?nèi)置

4、識(shí)別項(xiàng)目：

wafw00f

https://github.com/EnableSecurity/wafw00f

• **安裝：目錄下打開cmd輸入：python setup.py install
• **使用：安裝后打開wafwoof目錄下cmd輸入：python main.py https://jmhewang.com/
• 注意：查詢時(shí)候關(guān)閉代理，不然無(wú)法連接

identywaf

https://github.com/stamparm/identYwaf

• 使用語(yǔ)法：python identYwaf.py https://jmhewang.com/

#識(shí)別-蜜罐平臺(tái)-人工&網(wǎng)絡(luò)空間&項(xiàng)目

蜜罐解釋：

蜜罐是一種安全威脅的檢測(cè)技術(shù)，其本質(zhì)在于引誘和欺騙攻擊者，并且通過(guò)記錄攻擊者的攻擊日志來(lái)產(chǎn)生價(jià)值。安全研究人員可以通過(guò)分析蜜罐的被攻擊記錄推測(cè)攻擊者的意圖和手段等信息。攻擊方可以通過(guò)蜜罐識(shí)別技術(shù)來(lái)發(fā)現(xiàn)和規(guī)避蜜罐。因此，我們有必要站在紅隊(duì)攻擊者的角度鉆研蜜罐識(shí)別的方式方法。

蜜罐分類：

根據(jù)蜜罐與攻擊者之間進(jìn)行的交互的程度可以將蜜罐分為三類:低交互蜜罐、中交互蜜罐、高交互蜜罐。當(dāng)然還可以根據(jù)蜜罐模擬的目標(biāo)進(jìn)行分類，比如：數(shù)據(jù)庫(kù)蜜罐、工控蜜罐、物聯(lián)網(wǎng)蜜罐、Web蜜罐等等。

蜜罐產(chǎn)品：見下圖

• 識(shí)別原理：
  https://mp.weixin.qq.com/s/jPz9hBmUypFyQlU27vglUg

  蜜罐（Honeypot）是一種安全機(jī)制，其原理和特點(diǎn)為：

  1. 引誘攻擊： 蜜罐的主要原理是通過(guò)模擬目標(biāo)系統(tǒng)的弱點(diǎn)或敏感區(qū)域，吸引和引誘攻擊者。蜜罐可以模擬各種服務(wù)和應(yīng)用，如Web服務(wù)器、數(shù)據(jù)庫(kù)、郵件服務(wù)器等，使其看起來(lái)像是真實(shí)系統(tǒng)。
  2. 數(shù)據(jù)捕獲： 一旦攻擊者對(duì)蜜罐進(jìn)行攻擊，蜜罐會(huì)記錄和捕獲攻擊行為的詳細(xì)信息，包括攻擊者的IP地址、攻擊手段、使用的工具等。這些信息對(duì)于分析攻擊者的行為和提高網(wǎng)絡(luò)防御水平非常有價(jià)值。
  3. 學(xué)習(xí)和改進(jìn)： 蜜罐可以用于學(xué)習(xí)攻擊者的新技術(shù)和手段。通過(guò)分析蜜罐收集到的數(shù)據(jù)，安全團(tuán)隊(duì)可以了解到新型威脅的特點(diǎn)，并相應(yīng)地改進(jìn)網(wǎng)絡(luò)防御策略。
  4. 欺騙和誤導(dǎo)： 蜜罐可以欺騙攻擊者，使其浪費(fèi)時(shí)間和資源在虛假系統(tǒng)上。這有助于減緩攻擊速度、提高檢測(cè)準(zhǔn)確性，并增加攻擊者被發(fā)現(xiàn)的可能性。
  5. 實(shí)時(shí)監(jiān)控： 蜜罐可以用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上的攻擊活動(dòng)。通過(guò)在網(wǎng)絡(luò)中分布蜜罐，可以提前探測(cè)到潛在的威脅，從而更及時(shí)地采取防御措施。
  6. 早期警告： 蜜罐可以在攻擊者尚未對(duì)真實(shí)系統(tǒng)造成實(shí)質(zhì)性危害之前提供早期警告。這有助于組織及時(shí)采取行動(dòng)，防止?jié)撛诘娘L(fēng)險(xiǎn)。

識(shí)別技術(shù)：

大概了解組成功能等
https://hfish.net/#/

項(xiàng)目識(shí)別

• https://github.com/graynjo/Heimdallr

  • 安裝：打開瀏覽器開發(fā)者模式解壓文件拖入即可

  

  

• https://github.com/360quake/quake_rs

  • 安裝：解壓后在目錄下cmd啟用quake.exe
  • quake.exe init apikey值（api值需要注冊(cè)360網(wǎng)絡(luò)空間獲取360網(wǎng)絡(luò)空間測(cè)繪 — 因?yàn)榭匆?，所以安?/strong>
  • 使用語(yǔ)法：quake.exe honeypot 目標(biāo)

  

firewall-cmd --add-port=4433/tcp --permanent   #（用于web界面啟動(dòng)）
firewall-cmd --add-port=4434/tcp --permanent   #（用于節(jié)點(diǎn)與管理端通信）
firewall-cmd --reload

bash <(curl -sS -L https://hfish.net/webinstall.sh)

登陸鏈接：https://192.168.200.130:4433/web/
賬號(hào)：admin
密碼：HFish2021