网络安全-信息收集

网络安全-信息收集

红队思路：

外网信息收集——————>打点——————>权限维持————>提权—————>内网信息收集————>横向移动——————>痕迹清理

打点的关键：

1.找出网站真实IP，挖掘相邻网段，绕过安全设备

2.判断目标是否为蜜罐

3.定位内网IP和系统

4.定位关键的应用系统

5.定位关键企业信息

外网信息收集

对于外网信息收集主要有几点：

IP、域名、企业等资产信息以及相应的端口/服务、指纹、敏感信息、社工碰撞等易受攻击面信息。

tips：

挂代理池，走负载均衡，防止IP被锁

确定目标后，分析好突破口及利用点

打点时的隐匿：

攻击前：虚拟机做全局代理、浏览器隐私模式或Tor，脚本、账号非本人

攻击后：RootKit

域名收集

1.首先去官网查看该企业信息，找到官网的域名
搜索引擎：搜狐，谷歌

2.查看备案号，公司名称，股权穿透图
天眼查
站长工具

3.得到的IP是否是真实的，判断目标是否存在CDN服务
http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.360.cn/

如果ping的结果只有一个那么就没有CDN、要是不止一个则可以判断为有CDN
没有使用CDN

 

 

使用了CDN的如图

 

 

 CDN对测试的影响

cdn会隐藏服务器真实的ip地址，无法对目标网站的操作系统进行渗透，但cdn站点又可以理解为是目标站点的镜像站点（大多数都是静态cdn加速），拥有相同的网站架构，且cdn服务器可与站点服务器进行交互，因此sql注入，xss等漏洞的挖掘并不受太大影响。

目前常见的CDN绕过技术有哪些

子域名查询

因为有些主站是做了CDN服务而子站是没有做CDN服务

工具：Layer子域名挖掘机

原理是利用字典去FUZZ爆破子域名，找一些高质量的字典配合更佳

https://github.com/euphrat1ca/LayerDomainFinder

在线自域名查询工具：

https://phpinfo.me/domain/

邮件服务查询

因为邮箱大部分都是内部人在访问、而且访问的量也不是很大，一般是没有做CDN。
国外地址请求
因为很多的企业没有在国外部署CDN，要是用国外的地址请求、就容易找到他的真实地址。
遗留文件、扫描全网
如PHPinfo信息当中会遗留出ip地址
黑暗引擎搜索
fofa、shodan、谛听、zoomeye、censys

fofa：fofa.info
shodan：https://www.shodan.io/
zoomeye:https://www.zoomeye.org/

特定文件dns历史记录，以量打量

#CDN真实IP地址获取后绑定指向地址
更改本地HOSTS解析指向文件

奇淫技巧

fackcdn w8fuckcdn zmap

CDN网站

https://tools.ipip.net/cdn.php

在线检测域名或者ip的端口是否开放

http://coolaf.com/tool/port

根据TTL值简单判断系统

不同的操作系统的默认TTL值是不同的， 所以我们可以通过TTL值来判断主机的操作系统，但是当用户修改了TTL值的时候，就会误导我们的判断，所以这种判断方式也不一定准确。下面是默认操作系统的TTL：

1、WINDOWS NT/2000   TTL：128
2、WINDOWS 95/98     TTL：32
3、UNIX              TTL：255
4、LINUX             TTL：64
5、WIN7              TTL：64