【漏洞浅谈】信息收集(下)

admin 2023年4月25日19:20:59评论26 views字数 4012阅读13分22秒阅读模式

👇

01

WAF识别


Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

(一)常见的waf分类

1、云waf

百度安全宝、阿里云盾、长亭雷池等

2 、硬件waf

绿盟的、深信服的

3、软件waf

安全狗、D盾、云锁等

4、代码级waf

自己写的waf规则,防止出现注入等,一般是在代码里面写死的(这里是一般情况)

(二)手工识别WAF:

  • HTTP 请求包分析响应数据:对网站进行正常访问,查看响应的头部信息,通过分析响应头的方式,Citrix Netscaler WAF 的特征是在 HTTP 返回头部 Cookie 的位置加入 “ns_af” 的值。除了上述两种方式外,还有一种方式就是根据返回的协议判断 WAF。

  • 通过访问不存在的页面来分析页面:访问不存在的页面,访问一个不存在的二级目录 “/newexxxxxxxx/” 显示 404 错误,根据页面左方的 LOGO 推断目标安装了什么样的 Waf。

  • 请求恶意字符分析响应或敏感页面:在一个正常的 URL 后面加入恶意的字符,比如 “and 1=1”,恶意字符可以随意输入,再如文件读取漏洞 “cat ../../../../passwd”,只要是常见的恶意字符即可,主要目的就是让 WAF 进行拦截,从其输出的内容进行判断,敏感页面的方式和插入恶意字符的原理相同,很多时候 WAF 设置会把 phpinfo 等一些较为敏感的页面设置阻断,如访问 “phpinfo.php” 页面。根据拦截页面识别。

常见的waf拦截页面(83个国内外WAF)

https://github.com/stamparm/identYwaf/tree/master/screenshots

【漏洞浅谈】信息收集(下)

(三)waf识别工具:wafw00f

下载链接地址:https://github.com/EnableSecurity/wafw00f

【漏洞浅谈】信息收集(下)

02

CDN的识别与绕过


CDN的全称是Content Delivery Network,即内容分发网络。CDN加速意思就是在用户和我们的服务器之间加一个缓存机制,通过这个缓存机制动态获取IP地址根据地理位置,让用户到最近的服务器访问。部分网站为了更好的提供服务,会使用CDN来加速访问的速度,不同地区的用户可以通过域名就近访问网站服务。因为CDN节点部署在多个地区,因此在不同地区访问服务也会得到不同的IP地址,得到的这些IP并不一定是真实的IP地址(真实的IP地址可能就藏在其中),是CDN缓存服务器的IP地址。

(一)判断CDN是否存在

1、超级ping网址:

http://ping.chinaz.com/https://ping.aizhan.com/

如果查询出的ip数量大于一个的话,则说明该ip地址不是真实的服务器地址。以我的经验来看,如果是2个或者3个,并且这几个地址是同一地区的不同运营商的话,则很有可能这几个地址是服务器的出口地址,该服务器在内网中,通过不同运营商NAT映射供互联网访问,同时采用几个不同的运营商可以负载均衡和热备份。如果是多个ip地址,并且这些ip地址分布在不同地区的话,则基本上可以断定就是采用了CDN了。

  • 无CDN情况:

  • 通过检测,发现返回的IP都一样,所以这是没有CDN

【漏洞浅谈】信息收集(下)

  • 有CDN情况

  • 通过检测,发现有多个IP返回,说明存在CDN

【漏洞浅谈】信息收集(下)

2、Windows命令查询:nslookup,若目标存在多个IP的话,就很有可能有CDN服务

【漏洞浅谈】信息收集(下)

(二)绕过CDN寻找真实IP

1、配置加速选项中只加速主域名,导致其他子域名未加速(解析IP可能同IP也可能C段)。

接口查询:https://get-site-ip.com/

接口查询:https://fofa.info/extensions/source

2、利用漏洞让对方真实服务器主动出网连接,判断来源IP即真实IP。漏洞如:SSRF、RCE等。

3、通过遗留文件例如:phpinfo类似功能。通过访问类似PHPINFO类似代码函数获取本地IP造成的地址泄漏。

4、利用邮件系统,判断条件:发信人是当前域名邮件用户名。通过获取验证码,订阅等让他主动发出。部署架设的邮件服务器如果向外部用户发送邮件的话,那么邮件头部的源码中会包含此邮件服务器的真实IP地址。

常见的邮件触发点:

  • RSS订阅

  • 邮箱注册、激活处

  • 邮箱找回密码处

  • 产品更新的邮件推送

  • 某业务执行后发送的邮件通知

  • 员工邮箱、邮件管理平台等入口处的忘记密码

你给未知邮箱发:(需要自己的邮件服务器不能第三方)

通过发送邮件给一个不存在的邮箱地址,因为该用户邮箱不存在,所以发送将失败,

并且还会收到一个包含发送该电子邮件给你的服务器的真实IP通知。

5、全网扫描

(1)判断加速厂商

(2)IP库筛选地址段

(3)配置扫描范围

先从IP段去扫描符合开放端口,再从IP去访问看看关键字,将符合结果进行保存!

厂商查询:

https://tools.ipip.net/cdn.php

工具项目:

https://www.cz88.net/geo-public

https://github.com/Tai7sy/fuckcdn

03

社会工程学


社会工程学(Social Engineering) 是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是,这种手段非常有效,而且应用效率极高。事实上,社会工程学已是企业安全最大的威胁之一。狭义与广义社会工程学最明显的区别就是是否会与受害者产生交互行为。广义是有针对性的去对某一单一或多一目标进行攻击的行为。

1、常见社工

社工三大法宝:网络钓鱼、电话钓鱼、伪装模拟

狭义三大法宝:谷歌、社工库、QQ

社工师的分类:黑客、渗透测试、JD、GOV、公司内部员工、欺骗人员、猎头、销售人员、普通人。

2、信息泄露方式

在网上注册时,垃圾网站被黑客攻入(服务器或者数据库被攻击),黑客获取信息

网站内部人员将信息贩卖,然后获取信息

通讯被窃听,http协议用post或者get提交时,使用火狐进行拦截

撞库,比如你在这个A网站注册时,使用了一个密码,在B网站也使用这个密码,知道A网站的密码,自己也可以用这个密码登录B网站,这就是撞库

3、社会工程学攻击四个阶段

研究:信息收集(WEB、媒体、垃圾桶、物理),确定并研究目标

钩子:与目标建立第一次交谈(HOOK、下套)

下手:与目标建立信任并获取信息

退场:不引起目标怀疑的离开攻击现场

4、常见信息

真实姓名、性别、出生日期、身份证号、身份证家庭住址、身份证所在公安局、快递收货地址、大致活动范围、QQ号、手机号、邮箱、银行卡号(银行开户行)、共同朋友的资料、支付宝、贴吧、百度、微博、猎聘、58、同城、网盘、微信、常用ID、学历(小/初/高/大学/履历)、目标性格详细分析、常用密码、照片EXIF信息。

5、常见可获取信息系统

中航信系统、春秋航空系统、12306系统、三大运营商网站、全国人口基本信息资源库、全国机动车/驾驶人信息资源库、各大快递系统(越权)、全国出入境人员资源库、企业相关系统、信息资源库等。

04

子域名收集


在安全测试或渗透测试过程中,收集的资产越多越容易找到入口点,同时一般主域的防护性比较高,子站或不常用的站点防护性偏弱或没有防护。
子域名收集大多分为两种方式,被动收集和主动收集。

被动收集:指在不与目标站点进行交互的情况下,通过第三方进行收集。这种方式有着明显的优势,因为不需要和目标系统进行交互,所以不会对目标系统造成任何影响,更不会触发任何安全产品的告警。

主动收集:指通过与目标系统进行交互,对子域名进行收集。因为需要和目标站点进行交互,有触犯安全产品告警的风险。

一、被动子域名收集

(一)信息泄露

1.Github 、Gitee等代码仓库中,可能有相关子域名的信息

2.抓包分析获取,如一些静态资源的请求、一些APP或者小程序接口、邮件服务器等等

3.很多网站有跨域策略文件crossdomain.xml、站点地图sitemap.xml和robots.txt等,其中也可能存在子域名的信息。

(二)使用百度、谷歌等搜索引擎&网络资产搜索引擎

如下使用Google Hacker语法:

site:*.baidu.com

【漏洞浅谈】信息收集(下)

直接使用搜索语法进行查询,以fofa为例

domain="baidu.com"

【漏洞浅谈】信息收集(下)

(三)第三方DNS服务

1、virustotal

https://www.virustotal.com/gui/home/url

直接选择search 然后输入要搜索的域名

【漏洞浅谈】信息收集(下)

2、微步

在首页中输入要查询的域名

https://x.threatbook.com/

【漏洞浅谈】信息收集(下)

3、rapiddns

https://rapiddns.io/subdomain

首页输入域名点击搜索
【漏洞浅谈】信息收集(下)

4、在线子域名查询

站长之家在线子域名查询

https://tool.chinaz.com/subdomain/

【漏洞浅谈】信息收集(下)

主动子域名收集

1、字典枚举

字典枚举即利用常见的子域名字典,进行暴力破击,最终获得有效的子域名。这种方法有比较大的局限,能收集到多少子域,取决于字典的覆盖程度,同时还有比较致命的缺点,即会造成较大的流量,可能会让目标系统的安全产品造成告警。

例如使用Layer子域名挖掘机等:

【漏洞浅谈】信息收集(下)

自动化工具:

自动化信息收集工具非常多如OneForAll一款综合的子域名收集工具。

05

小结


信息收集是信息得以利用的第一步,也是关键的一步。信息收集工作的好坏,会影响整个渗透测试流程的进行。收集的信息越多后期可进行测试的目标就越多。信息收集包含资产收集但不限于资产收集。

【漏洞浅谈】信息收集(下)

END


往期推荐

【漏洞浅谈】信息收集(下)
【渗透测试入门系列】信息收集(上)
【漏洞浅谈】信息收集(中)
觉得内容不错,就点下在看
如果不想错过新的内容推送,可以设为星标【漏洞浅谈】信息收集(下)

原文始发于微信公众号(希石安全团队):【漏洞浅谈】信息收集(下)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月25日19:20:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞浅谈】信息收集(下)http://cn-sec.com/archives/1691635.html

发表评论

匿名网友 填写信息