2、渗透测试:情报收集(Pentest-Standard)

admin 2023年1月30日19:02:36评论16 views字数 13307阅读44分21秒阅读模式

关注公众号,回复“河南等保1101” 获取“Metasploit渗透测试指南:修订版”PDF版 



渗透测试:情报收集

常规

本节定义渗透测试的情报收集活动。本文档的目的是提供专门为渗透测试人员对目标(通常是公司、军事或相关目标)执行侦察而设计的标准。该文档详细介绍了渗透测试侦察的思维过程和目标,如果使用得当,可以帮助读者制定攻击目标的高度战略计划。

背景概念

级别是本文档和整个PTES的重要概念。这是一种用于渗透测试的成熟度模型。定义级别使我们能够在某些现实世界的限制(例如时间、精力、信息访问等)内澄清预期的产出和活动。

情报收集级别目前分为三类,每类都给出了一个典型的例子。这些应该指导在下面的文档中添加技术。例如,创建Facebook个人资料和分析目标社交网络等密集活动适用于更高级的情况,并且应标有适当的级别。有关示例,请参阅下面的思维导图。

1级信息收集

(思考:合规性驱动)主要是点击按钮信息收集过程。这种水平的信息几乎完全可以通过自动化工具获得。至少可以说你为 PT 做了 IG。

Acme Corporation 必須符合 PCI / FISMA / HIPAA。1 级信息收集工作应适合于满足合规性要求。

2级信息收集

(思考:最佳实践)可以使用级别 1 中的自动化工具和一些手动分析来创建此级别。对业务有很好的了解,包括物理位置、业务关系、组织结构图等信息。

Widgets Inc被要求遵守PCI,但对其长期安全战略感兴趣,并正在收购几家较小的小部件制造商。第2级信息收集工作应适合于满足他们的需要。

3级信息收集

(认为:国家赞助)更高级的渗透测试,红队,全范围。来自1级和2级的所有信息以及大量的手动分析。想想在SocNet上培养关系,重分析,深刻理解业务关系,很可能需要大量的时间来完成收集和关联。

陆军红队的任务是分析和攻击陆军在外国网络的一部分,以找到可能被外国人利用的弱点。在这种情况下,第3级信息收集工作是适当的。

情报收集

它是什么

情报收集是对目标执行侦察,以收集尽可能多的信息,以便在漏洞评估和利用阶段渗透目标时使用。在此阶段收集的信息越多,将来可以使用的攻击媒介就越多。

开源情报 (OSINT) 是一种情报收集管理形式,涉及从公开来源查找、选择和获取信息并对其进行分析以生成可操作的情报。

为什么要这样做

我们执行开源情报收集,以确定进入组织的各个切入点。这些入口点可以是物理的、电子的和/或人类的。许多公司没有考虑到他们公开了哪些关于自己的信息,以及坚定的攻击者如何使用这些信息。最重要的是,许多员工没有考虑到他们在公共场合放置了哪些关于自己的信息,以及如何利用这些信息来攻击他们或他们的雇主。

它不是什么

OSINT 可能不准确或不及时。信息源可能被故意/意外地操纵以反映错误的数据,信息可能会随着时间的推移而过时,或者只是不完整。

它不包括垃圾箱潜水或从本地找到的物理项目中检索公司信息的任何方法。

目标选择

目标的识别和命名

在接触目标组织时,重要的是要了解公司可能拥有许多不同的顶级域 (TDL) 和辅助业务。虽然这些信息应该在范围界定阶段发现,但识别可能不属于参与前阶段讨论的初始范围的其他服务器域和公司并不罕见。例如,一家公司的 TDL 可能为 .com。但是,它们也可能具有 .net .co 和 .xxx。这些可能需要成为修订范围的一部分,或者它们可能是禁区。无论哪种方式,都需要在测试开始之前与客户进行清理。一家公司下面有许多子公司的情况也并不少见。例如,通用电气(General Electric)和宝洁(Proctor and Gamble)拥有大量小公司。

考虑任何参与规则限制

此时,最好查看交战规则。在测试过程中,这些被遗忘是很常见的。有时,作为测试人员,我们太沉迷于我们发现的内容和攻击的可能性,以至于忘记了我们可以攻击哪些 IP 地址、域和网络。始终参考参与的Rulles,以保持测试的专注。这不仅从腿部的角度来看很重要,而且从范围蠕变的角度来看也很重要。每次你偏离测试的核心目标时,都会花费你的时间。从长远来看,这可能会使您的公司付出代价。

考虑测试时间长度

总测试的时间量将直接影响可以完成的情报收集量。有一些测试的总时间为两到三个月。在这些项目中,测试公司将花费大量时间研究公司的每个核心业务部门和个人。然而,对于较短的水晶盒式测试,目标可能更具战术性。例如,测试特定的 Web 应用程序可能不需要您研究公司 CEO 的财务记录。

考虑测试的最终目标

每个测试都有一个最终目标 - 组织认为至关重要的特定资产或流程。考虑到最终结果,情报收集阶段应确保包括围绕最终目标的所有二级和三级元素。无论是支持技术、第三方、相关人员等...确保将重点放在关键资产上,确保不太相关的情报元素被取消优先级并归类为这样,以便不干预分析过程。

OSINT

开源情报(OSINT)有三种形式;被动、半被动和主动。

被动信息收集:被动信息收集通常仅在目标永远不会检测到信息收集活动的情况下才有用。这种类型的分析在技术上很难执行,因为我们从不向目标组织发送任何流量,既不会从我们的主机之一,也不会通过 Internet 上的“匿名”主机或服务发送任何流量。这意味着我们只能使用和收集存档或存储的信息。因此,此信息可能已过时或不正确,因为我们仅限于从第三方收集的结果。


半被动信息收集:半被动信息收集的目标是使用看起来像正常 Internet 流量和行为的方法分析目标。我们只查询已发布的名称服务器以获取信息,我们不执行深入的反向查找或暴力 DNS 请求,我们不搜索“未发布”的服务器或目录。我们不运行网络级端口扫描或爬网程序,我们只查看已发布文档和文件中的元数据;不主动寻找隐藏内容。这里的关键是不要提请注意我们的活动。验尸后,目标可能能够返回并发现侦察活动,但他们不应该能够将活动归咎于任何人。


主动信息收集:主动信息采集应被目标检测,可疑或恶意行为。在此阶段,我们正在积极映射网络基础设施(想想完整端口扫描nmap –p 1-65535),积极枚举和/或漏洞扫描开放服务,我们正在积极搜索未发布的目录,文件和服务器。大多数此类活动都属于标准渗透测试的典型“侦察”或“扫描”活动。


2、渗透测试:情报收集(Pentest-Standard)

企业

物理的

地点 (L1)

每个位置的完整地址列表,所有权,相关记录(城市,税收,法律等),该位置的所有物理安全措施的完整列表(摄像机放置,传感器,围栏,岗哨,入口控制,大门,身份识别类型,供应商入口,基于IP块/地理位置服务的物理位置等... 对于主机/NOC:主机和网络的完整 CIDR 表示法、所有相关资产的完整 DNS 列表、AS 的完整映射、对等路径、CDN 配置、网块所有者(whois 数据)、电子邮件记录(MX + 邮件地址结构)

所有者 (L1/L2)

土地/税务记录(L1/L2)

共享/个人(L1/L2)

时区 (L1/L2)

主办方 / 国家奥委会

普遍性 (L1)

目标组织拥有多个单独的物理位置的情况并不少见。例如,银行将拥有中央办公室,但他们也将拥有许多远程分支机构。虽然中心位置的物理和技术安全性可能非常好,但远程位置的安全控制通常很差。

关系 (L1)

业务合作伙伴、海关、供应商、通过企业网页、租赁公司等公开分享的内容进行分析。此信息可用于更好地了解业务或组织项目。例如,哪些产品和服务对目标组织至关重要?

此外,此信息还可用于创建成功的社会工程方案。

关系 (L2/L3)

手动分析以审查级别 1 的信息,并深入挖掘可能的关系。

共用办公空间(L2/L3)

共享基础架构 (L2/L3)

租用/租赁设备(L2/L3)

逻辑

合作伙伴、客户和竞争对手的累积信息:对于每个合作伙伴,公司名称、公司地址、关系类型、基本财务信息、基本主机/网络信息的完整列表。

业务合作伙伴 (L1/L2/L3)

塔吉特宣传的业务合作伙伴。有时在主www上做广告。

商业客户 (L1/L2/L3)

塔吉特的广告商业客户。有时在主www上做广告。

竞争对手 (L1/L2/L3)

谁是目标的竞争对手。这可能很简单,福特与雪佛兰,或者可能需要更多分析。

触摸图 (L1)

触摸图(人与人之间社交联系的可视化表示)将有助于绘制出组织中人员之间可能的交互,以及如何从外部访问它们(当触摸图包括外部社区并且创建的深度级别高于 2 时)。

基本接触图应反映从迄今为止收集的信息中得出的组织结构,并且图形的进一步扩展应基于它(因为它通常更好地代表对组织资产的关注,并使可能的方法向量清晰。

胡佛简介 (L1/L2)

什么:半开源情报资源(通常是付费订阅)。这些来源专门收集公司的业务相关信息,并提供业务的“规范化”视图。

原因:这些信息包括实际位置、竞争格局、关键人员、财务信息和其他业务相关数据(取决于来源)。这可用于创建更准确的目标配置文件,并确定可用于测试的其他人员和第三方。

如何:使用公司名称在网站上进行简单搜索,提供公司的整个个人资料及其上可用的所有信息。建议使用几个来源来交叉引用它们,并确保您获得最新信息。(付费服务)。

产品线 (L2/L3)

目标公司的产品可能需要额外的分析,如果目标公司也提供服务,这可能需要进一步分析。

垂直市场(L1)

目标所在的行业,即金融、国防、农业、政府等

市场营销帐户(L2/L3)

营销活动可以提供目标营销策略的丰富信息

评估目标社交角色的所有社交媒体网络

评估目标过去的*营销活动

会议(L2/L3)

会议纪要已发布?

会议向公众开放?

重要公司日期 (L1/L2/L3)

董事会会议

假期

纪念日

产品/服务发布

职位空缺 (L1/L2)

通过查看组织的职位空缺列表(通常位于其网站的“职业”部分),您可以确定组织内使用的技术类型。例如,如果一个组织有一个高级 Solaris 系统管理员的职位空缺,那么很明显该组织正在使用 Solaris 系统。其他职位可能不那么明显,但一个开放的初级网络管理员职位可能会说“CCNA 首选”或“JNCIA 首选”,告诉您他们正在使用思科或瞻博网络技术。

慈善隶属关系 (L1/L2/L3)

目标组织的执行成员与慈善组织有联系是很常见的。此信息可用于为针对高管开发可靠的社会工程方案。

RFP、RFQ 和其他公开招标信息 (L1/L2)

RFP 和 RFQ 通常会揭示有关公司使用的系统类型的大量信息,甚至可能揭示其基础设施的差距或问题。

找出当前的中标者可能会揭示正在使用的系统类型或公司资源可能托管在异地的位置。

法庭记录(L2/L3)

法庭记录通常免费提供,有时收费提供。

诉讼内容可以揭示有关过去投诉人的信息,包括但不限于前雇员诉讼

现任和前任员工的犯罪记录可能会为社会工程工作提供目标列表

政治捐款(L2/L3)

绘制政治捐款或其他经济利益图很重要,以便确定可能不处于明显权力地位但具有既得利益(或其中有既得利益)的关键人物。

根据信息自由,各国之间的政治捐款地图将发生变化,但通常情况下,来自其他国家的捐款可以使用那里可用的数据进行追溯。

专业许可证或注册处(L2/L3)

收集您的目标专业执照和注册处列表不仅可以深入了解公司的运营方式,还可以深入了解他们为维护这些许可证而遵循的准则和法规。一个典型的例子是公司ISO标准认证可以表明公司遵循设定的指导方针和流程。对于测试人员来说,了解这些过程以及它们如何影响在组织上执行的测试非常重要。

公司通常会在其网站上列出这些详细信息作为荣誉徽章。在其他情况下,可能需要在登记册中搜索给定的垂直领域,以查看组织是否是成员。可用的信息非常依赖于垂直市场以及公司的地理位置。还应该注意的是,国际公司的许可方式可能不同,并且需要向依赖于国家/地区的不同标准或法律机构注册。

组织结构图 (L1)

位置识别

o组织中的重要人员

o具体针对的个人

交易

o组织内部变化映射(晋升、横向调动)

子公司

o映射与业务相关的附属组织


电子的

文档元数据 (L1/L2)

这是什么?元数据或元内容提供有关范围内数据/文档的信息。它可以包含诸如作者/创建者姓名,时间和日期,使用/引用的标准,计算机网络中的位置(打印机/文件夹/目录路径/等信息),地理标签等信息。对于图像,其元数据可以包含颜色,深度,分辨率,相机品牌/类型,甚至坐标和位置信息。

你为什么要这样做?元数据很重要,因为它包含有关内部网络、用户名、电子邮件地址、打印机位置等的信息,并有助于创建位置的蓝图。它还包含有关用于创建相应文档的软件的信息。这使攻击者能够利用网络和用户的内部知识创建配置文件和/或执行有针对性的攻击。

你会怎么做?有一些工具可用于从文件(pdf / word/image)中提取元数据,例如FOCA(基于GUI),metagoofil(基于python),meta-extractor,exiftool(基于perl)。这些工具能够以不同的格式提取和显示结果,如HTML,XML,GUI,JSON等。这些工具的输入主要是从“客户”的公开存在中下载的文档,然后进行分析以了解更多信息。而FOCA则通过其GUI界面帮助您搜索文档,下载和分析所有内容。

营销传播(L1/L2)

过去的营销活动为可能已停用但可能仍可访问的项目提供信息。

当前的营销传播包含设计组件(颜色,字体,图形等),这些组件大部分也在内部使用。

其他联系信息,包括外部营销组织。

基础设施资产

拥有的网络块 (L1)

组织拥有的网络块可以通过执行whois搜索被动获得。DNSStuff.com 是获取此类信息的一站式商店。

对 IP 地址的开源搜索可以生成有关目标基础设施类型的信息。管理员经常在各种支持站点上的帮助请求上下文中发布 IP 地址信息。

电子邮件地址(L1)

电子邮件地址提供有效用户名和域结构的潜在列表

可以从多个来源(包括组织网站)收集电子邮件地址。

外部基础结构配置文件 (L1)

目标的外部基础设施概况可以提供有关内部使用技术的大量信息。

这些信息可以从多个来源被动和主动收集。

应使用该配置文件来组装针对外部基础结构的攻击场景。

使用的技术(L1/L2)

通过支持论坛、邮件列表和其他资源进行 OSINT 搜索可以收集目标所用技术的信息

对已识别的信息技术组织使用社会工程

对产品供应商使用社会工程

采购协议 (L1/L2/L3)

采购协议包含有关目标公司现有的硬件、软件、许可证和其他有形资产的信息。

远程访问 (L1/L2)

获取有关员工和/或客户端如何连接到目标以进行远程访问的信息提供了潜在的入口点。

通常,指向远程访问门户的链接可从目标的主页获得

“如何”文档揭示了远程用户连接的应用程序/过程

应用程序使用情况 (L1/L2)

收集目标组织使用的已知应用程序的列表。这通常可以通过从可公开访问的文件中提取元数据来实现(如前所述)

国防技术 (L1/L2/L3)

根据所使用的防御措施,可以通过多种方式实现使用中的指纹防御技术。

被动指纹识别

搜索论坛和可公开访问的信息,目标组织的技术人员可能正在讨论问题或寻求有关所用技术的帮助

搜索目标组织以及流行技术供应商的营销信息

使用Tin-eye(或其他图像匹配工具)搜索目标组织的徽标,以查看它是否列在供应商参考页面或营销材料上

主动指纹识别

将适当的探测数据包发送到面向公众的系统,以测试阻塞模式。存在多种用于特定 WAF 类型指纹识别的工具。

目标网站和电子邮件中的响应中的标头信息通常不仅显示正在使用的系统的信息,还显示启用的特定保护机制(例如邮件网关防病毒扫描程序)

人类能力(L1/L2/L3)

发现目标组织的防御性人类能力可能很困难。有几个关键信息可以帮助判断目标组织的安全性。

检查是否存在公司范围的 CERT/CSIRT/PSRT 团队

检查播发的职位,了解列出安全职位的频率

检查播发的作业,以查看安全性是否列为非安全工作(例如开发人员)的要求

检查外包协议,以查看目标的安全性是部分外包还是全部外包

检查可能活跃在安全社区中的公司特定人员

财力

报告 (L1/L2)

目标财务报告将在很大程度上取决于组织的位置。也可以通过组织总部进行报告,而不是为每个分支机构进行报告。2008年,美国证券交易委员会发布了在美国采用国际财务报告准则(IFRS)的拟议路线图。

各国采用国际财务报告准则 -->http://www.iasplus.com/en/resources/use-of-ifrs

市场分析 (L1/L2/L3)

从分析机构(如Gartner,IDC,Forrester,541等)获取市场分析报告。这应该包括市场定义是什么、市值、竞争对手以及估值、产品或公司的任何重大变化。

贸易资本

确定组织是否分配了任何贸易资本,以及它拥有的总体估值和自由资本的百分比。这将表明组织对市场波动的敏感程度,以及它是否依赖外部投资作为其估值和现金流的一部分。

价值历史

绘制组织随时间推移的估值图表,以建立外部和内部事件之间的相关性,以及它们对估值的影响。

埃德加(美国证券交易委员会)

它是什么:EDGAR(电子数据收集,分析和检索系统)是美国证券交易委员会(SEC)的数据库,其中包含法律要求提交的所有公司(外国和国内)的注册声明,定期报告和其他信息。

为什么这样做:EDGAR数据很重要,因为除了财务信息外,它还识别了公司内部的关键人员,这些人员在公司的网站或其他公众形象中可能不会引起注意。它还包括高管薪酬声明、主要普通股所有者的姓名和地址、针对公司的法律诉讼摘要、经济风险因素以及其他可能有趣的数据。

如何获得:该信息可在SEC的EDGAR网站(http://www.sec.gov/edgar.shtml)上找到。特别感兴趣的报告包括10-K(年度报告)和10-Q(季度报告)。

个人

员工

历史

法庭纪录 (L2/L3)

o它是什么:法庭记录是与刑事和/或民事投诉、诉讼或其他针对感兴趣的个人或组织的法律诉讼相关的所有公共记录。

o为什么这样做:法庭记录可能会泄露与个别员工或整个公司相关的敏感信息。此信息本身可能有用,也可能是获取其他信息的驱动因素。它也可以在渗透测试的后期用于社会工程或其他目的。

o您将如何做到这一点:大部分信息现在都可以通过公开的法院网站和记录数据库在互联网上获得。一些额外的信息可以通过LEXIS/NEXIS等付费服务获得。某些信息可以通过记录请求或亲自请求获得。

政治捐款(L2/L3)

o它是什么:政治捐款是个人的个人资金,用于特定的政治候选人,政党或特殊利益组织。

o为什么这样做:有关政治捐款的信息可能会泄露与个人相关的有用信息。这些信息可以用作社交网络分析的一部分,以帮助在个人和政治家、政治候选人或其他政治组织之间建立联系。它也可以在渗透测试的后期用于社会工程或其他目的。

o你会怎么做:这些信息中的大部分现在都可以通过公开的网站(即 http://www.opensecrets.org/)在互联网上获得,这些网站跟踪个人的政治捐款。根据特定州的法律,通常需要记录超过一定数量的捐赠。

专业许可证或注册处(L2/L3)

o它是什么:专业许可证或注册管理机构是信息库,其中包含已获得特定许可证或社区内某种特定隶属关系的个人的成员列表和其他相关信息。

o为什么要这样做:有关专业许可证的信息可能会泄露与个人相关的有用信息。这些信息可用于验证个人的可信度(他们是否真的像他们声称的那样拥有特定的认证)或作为社交网络分析的一部分,以帮助在个人和其他组织之间建立联系。它也可以在渗透测试的后期用于社会工程或其他目的。

o如何做到这一点:大部分信息现在都可以通过公开网站在互联网上获得。通常,每个组织都维护自己的信息注册表,这些信息可能在线提供,或者可能需要其他步骤才能收集。

社交网络 (SocNet) 简介

元数据泄漏 (L2/L3)

o通过照片元数据进行位置感知

音调 (L2/L3)

o预期可交付成果:对沟通中使用的语气的主观识别——侵略性、被动、吸引、销售、赞美、贬低、居高临下、傲慢、精英、失败者、领导者、追随者、模仿等......

频率 (L2/L3)

o预期可交付成果:确定发布频率(每小时/每天/每周一次等)。此外 - 一天/一周中容易发生通信的时间。

位置感知 (L2/L3)

从各种来源绘制人物的位置历史记录,无论是通过与应用程序和社交网络的直接交互,还是通过照片元数据的被动参与。

o必应地图应用

o直爽

o谷歌纬度

o戈瓦拉

社交媒体存在(L1/L2/L3)

验证目标的社交媒体帐户/状态 (L1)。并提供详细分析 (L2/L3)

互联网存在

电子邮件地址(L1)

o这是什么?电子邮件地址是用户的公共邮箱 ID。

o你为什么要这样做?电子邮件地址收集或搜索很重要,因为它有多种用途 - 提供一种可能的用户 ID 格式,以后可以暴力破解访问,但更重要的是,它有助于发送有针对性的垃圾邮件,甚至发送给自动机器人。这些垃圾邮件可能包含漏洞利用、恶意软件等,并且可以通过特定内容(尤其是针对用户)进行寻址。

o你会怎么做?可以从各种网站,组,博客,论坛,社交网络门户等搜索和提取电子邮件地址。这些电子邮件地址也可从各种技术支持网站获得。有收获和蜘蛛工具来搜索映射到某个域的电子邮件地址(如果需要)。

个人句柄/昵称 (L1)

个人域名注册 (L1/L2)

分配的静态 IP/网块 (L1/L2)

物理位置

物理位置

o你能得出目标的物理位置吗

移动足迹

电话号码 (L1/L2/L3)

设备类型 (L1/L2/L3)

用途 (L1/L2/L3)

已安装的应用程序 (L1/L2/L3)

所有者/管理员 (L1/L2/L3)


“付费”信息

背景调查

对于付费链接

律商联讯/联名词典

秘密聚会

企业

现场聚会

选择现场收集的特定地点,然后随着时间的推移进行侦察(通常至少2-3天以确保模式)。在进行现场情报收集时,需要注意以下要素:

实物安全检查

无线扫描/射频频率扫描

员工行为培训检查

无障碍/相邻设施(共享空间)

垃圾箱潜水

使用中的设备类型

场外聚会

确定异地位置及其与组织的重要性/关系。这些既是逻辑位置,也是物理位置,如下所示:

数据中心位置

网络配置/提供商

人工情报

人类智能补充了对资产的更被动的收集,因为它提供了否则无法获得的信息,并为情报图片增加了更多的“个人”视角(感觉、历史、关键人物之间的关系、“氛围”等......

获取人类智能的方法总是涉及直接互动——无论是身体上的还是口头上的。收集应以假定的身份进行,该身份将专门用于实现有关资产的最佳信息暴露和合作。

此外,对更敏感目标的情报收集可以仅通过观察来执行 - 同样,无论是在现场,还是通过电子/远程手段(闭路电视,网络摄像头等)。这样做通常是为了建立行为模式(例如访问频率、着装要求、访问路径、可能提供额外访问的关键位置,例如咖啡店)。

结果

关键员工

合作伙伴/供应商

社会工程学

足迹

它是什么:外部信息收集,也称为足迹,是信息收集的一个阶段,包括与目标的互动,以便从组织外部的角度获取信息。

原因:通过与目标的互动可以收集很多信息。通过探测服务或设备,您通常可以创建可以对其进行指纹识别的方案,或者更简单地说,可以购买将标识设备的横幅。此步骤对于收集有关目标的更多信息是必需的。在本节之后,您的目标是一个按优先级排列的目标列表。

外部封装

确定客户外部范围

渗透测试期间情报收集的主要目标之一是确定范围内的主机。有许多技术可用于识别系统,包括使用反向DNS查找,DNS攻击,WHOIS搜索域和范围。下面记录了这些技术和其他技术。

被动侦察

WHOIS 查询

对于外部足迹,我们首先需要确定哪个WHOIS服务器包含我们所追求的信息。鉴于我们应该知道目标域的 TLD,我们只需要找到目标域注册的注册商即可。

WHOIS信息基于树状层次结构。ICANN (IANA) 是所有 TLD 的权威注册管理机构,也是所有手动 WHOIS 查询的绝佳起点。

ICANN - http://www.icann.org

IANA - http://www.iana.com

NRO - http://www.nro.net

afrinic-http://www.afrinic.net

APNIC - http://www.apnic.net

arin -http://ws.arin.net

lacnic -http://www.lacnic.net

ripe -http://www.ripe.net

一旦查询了相应的注册商,我们就可以获得注册人信息。有许多网站提供WHOIS信息;但是,为了文档的准确性,您只需要使用适当的注册商。

国际网卡 -http://www.internic.net/ http://www.internic.net]

通常,针对ARIN的简单whois会将您转介给正确的注册商。

BGP 

可以识别参与边界网关协议 (BGP) 的网络的自治系统编号 (ASN)。由于 BGP 路由路径已在全球范围内公布,因此我们可以通过使用 BGP4 和 BGP6 镜子找到这些路径。

BGP4 - http://www.bgp4.as/looking-glasses

BPG6 - http://lg.he.net/

主动足迹

端口扫描

端口扫描技术将根据测试的可用时间量以及隐身需求而有所不同。如果对系统的知识为零,则可以使用快速ping扫描来识别系统。此外,应运行不带 ping 验证的快速扫描(nmap 中的 -PN)以检测可用的最常见端口。完成此操作后,可以运行更全面的扫描。一些测试人员只检查打开的TCP端口,确保也检查UDP。http://nmap.org/nmap_doc.html文档详细介绍了端口扫描类型。Nmap(“网络映射器”)是网络审计/扫描的事实标准。Nmap在Linux和Windows上运行。

PTES技术指南中有关为此目的使用Nmap的更多信息

Nmap有几十种可用的选项。由于本节涉及端口扫描,因此我们将重点介绍执行此任务所需的命令。请务必注意,使用的命令主要取决于扫描主机的时间和数量。您执行此任务的主机越多或时间越短,我们询问主机的时间就越少。随着我们继续讨论各种选择,这一点将变得显而易见。

IPv6也应该进行测试。

Banner抓取

横幅抓取是一种枚举技术,用于收集有关网络上的计算机系统和运行其开放端口的服务的信息。横幅抓取用于识别网络、目标主机正在运行的应用程序和操作系统的版本。

横幅抓取通常在超文本传输协议 (HTTP)、文件传输协议 (FTP) 和简单邮件传输协议 (SMTP) 上执行;端口分别为 80、21 和 25。通常用于执行横幅抓取的工具是Telnet,nmap和Netcat。

SNMP 扫描

SNMP扫描也被执行,因为它们提供了有关特定系统的大量信息。SNMP 协议是一种无状态、面向数据报的协议。遗憾的是,SNMP 服务器不会响应具有无效社区字符串的请求,并且底层 UDP 协议不会可靠地报告关闭的 UDP 端口。这意味着来自探测 IP 地址的“无响应”可能意味着以下任一情况:

机器无法访问

SNMP 服务器未运行

无效的社区字符串

响应数据报尚未到达

区域转移

DNS 区域传输(也称为 AXFR)是一种 DNS 事务。它是一种机制,旨在跨一组 DNS 服务器复制包含 DNS 数据的数据库。区域传输有两种类型:完全 (AXFR) 和增量 (IXFR)。有许多工具可用于测试执行 DNS 区域传输的能力。通常用于执行区域传输的工具包括主机、挖掘和 nmap。

SMTP 反弹

SMTP 退回,也称为未送达报告/回执 (NDR)、(失败的)传递状态通知 (DSN) 邮件、未送达通知 (NDN) 或简称退回邮件,是来自邮件系统的自动电子邮件,通知发件人另一封邮件有关传递问题。这可用于帮助攻击者对 SMTP 服务器进行指纹识别,因为 SMTP 服务器信息(包括软件和版本)可能包含在退回邮件中。

这可以通过简单地在目标域中创建虚假地址来完成。例如,[email protected] 可用于测试 target.com。Gmail 提供对标头的完全访问权限,使其成为测试人员的轻松选择。

域名系统发现

可以通过查看域的权威名称服务器的 WHOIS 记录来执行 DNS 发现。此外,应检查主域名的变体,并检查网站是否引用可能受目标控制的其他域。

正向/反向域名解析

反向 DNS 可用于获取组织内使用的有效服务器名称。需要注意的是,它必须具有 PTR(反向)DNS 记录才能从提供的 IP 地址解析名称。如果确实解决了,则返回结果。这通常是通过使用各种 IP 地址测试服务器以查看它是否返回任何结果来执行的。

DNS 暴力破解

确定与客户端域关联的所有信息后,现在可以开始查询 DNS。由于DNS用于将IP地址映射到主机名,反之亦然,因此我们希望查看它是否配置不安全。我们将寻求使用 DNS 来揭示有关客户端的其他信息。涉及 DNS 的最严重的错误配置之一是允许互联网用户执行 DNS 区域传输。我们可以使用几种工具来枚举 DNS,不仅可以检查执行区域传输的能力,还可以潜在地发现不常见的其他主机名。

网络应用程序发现

在渗透测试期间,识别薄弱的 Web 应用程序可能是一项特别富有成效的活动。要查找的内容包括配置错误的 OTS 应用程序、具有插件功能的 OTS 应用程序(插件通常包含比基本应用程序更易受攻击的代码)和自定义应用程序。Web应用程序指纹器(如WAFP)可以在这里使用,效果很好。

虚拟主机检测和枚举

Web 服务器通常承载多个“虚拟”主机,以在单个服务器上整合功能。如果多个服务器指向同一 DNS 地址,则它们可能托管在同一台服务器上。MSN 搜索等工具可用于将 IP 地址映射到一组虚拟主机。

建立外部目标列表

完成上述活动后,应编制用户,电子邮件,域,应用程序,主机和服务的列表。

映射版本

版本检查是识别应用程序信息的一种快速方法。在某种程度上,可以使用nmap对服务版本进行指纹识别,并且通常可以通过查看任意页面的源代码来收集Web应用程序的版本。

识别修补程序级别

要确定内部服务的补丁级别,请考虑使用软件来询问系统版本之间的差异。凭据可用于渗透测试的此阶段,前提是客户端已默认。漏洞扫描程序在远程识别补丁级别(无需凭据)方面特别有效。

寻找薄弱的 Web 应用程序

在渗透测试期间,识别弱Web应用程序可能是一项特别富有成效的活动。要查找的内容包括配置错误的OTS应用程序,具有插件功能的OTS应用程序(插件通常包含比基本应用程序更易受攻击的代码)和自定义应用程序。Web应用程序指纹识别器(如WAFP)可以在这里使用,效果很好。

确定锁定阈值

通过确定身份验证服务的锁定阈值,您可以确保暴力攻击在测试期间不会故意锁定有效用户。识别环境中所有不同的身份验证服务,并测试单个无害帐户的锁定。通常,5 - 10 次有效帐户的尝试足以确定服务是否会锁定用户。

内部封装

被动侦察

如果测试人员可以访问内部网络,则数据包嗅探可以提供大量信息。使用类似在 p0f 中实现的技术来识别系统。

确定客户内部范围

执行内部测试时,首先枚举本地子网,通常可以通过稍微修改地址从本地子网推断到其他子网。此外,查看内部主机的路由表可能特别有说服力。以下是一些可以使用的技术。

DHCP 服务器不仅是本地信息的潜在来源,也是远程 IP 范围和重要主机详细信息的潜在来源。大多数 DHCP 服务器将提供本地 IP 网关地址以及 DNS 和 WINS 服务器的地址。在基于 Windows 的网络中,DNS 服务器往往是 活动目录(AD) 域控制器,因此是感兴趣的目标。

主动侦察

内部主动侦察应包含外部侦测的所有元素,此外还应侧重于 Intranet 功能,例如:

目录服务(活动目录、小说、太阳等)

提供业务功能的内联网网站

企业应用程序(企业资源规划、客户关系管理、会计等)

识别敏感网段(会计、研发、营销等)

到生产网络(数据中心)的访问映射

网络语音基础设施

身份验证配置(通道、Cookie 令牌等)

代理和互联网访问管理

确定保护机制

应根据范围内的相关位置/群体/人员来识别和映射以下元素。这将使漏洞研究和利用的正确应用能够在执行实际攻击时使用 - 从而最大限度地提高攻击效率,并最小化检测率。

基于网络的防护

“简单”数据包过滤器

流量整形设备

断续器系统

加密/隧道

基于主机的保护

堆栈/堆保护

应用程序白名单

视音频/过滤/行为分析

断续器系统

应用程序级保护

确定应用程序保护

编码选项

潜在的旁路途径

列入白名单的页面

存储保护

主机级别

伦氏屏蔽

存储控制器

iSCSI 查普秘密

用户保护

AV/垃圾邮件过滤软件

限制可利用性的软件配置可被视为反垃圾邮件/反AV

人为因素越来越多,黑客渗透测试驱动的安全发展
专业人士使用的 11 种渗透测试工具
渗透测试过程中所需工具
什么是渗透测试?
渗透测试:信息安全测试和评估技术指南NIST SP 800-115
Offensive Security渗透测试报告模板
渗透测试过程中所需工具
影响渗透测试成本的7大因素
渗透测试过程中的情报收集
渗透测试是检查安全操作的引擎灯
应用程序安全渗透测试指南

1、渗透测试:前期交互阶段(Pentest-standard)

什么是渗透测试?

原文始发于微信公众号(河南等级保护测评):2、渗透测试:情报收集(Pentest-Standard)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月30日19:02:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  2、渗透测试:情报收集(Pentest-Standard) https://cn-sec.com/archives/1385600.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: