点击上方“安全攻防渗透”关注我~
在入侵受害者之前,攻击者可能会收集凭证信息,这些信息可以在目标定位期间使用。攻击者收集的帐户凭据可以是与目标受害者组织直接相关的凭据,也可以尝试利用用户倾向于在个人帐户和企业帐户中使用相同密码的趋势。
攻击者可以通过各种方式收集此信息,例如通过钓鱼。攻击者还可能入侵站点,然后植入旨在收集访问者网站认证cookie的恶意内容。凭证信息也可能通过在线或其他可访问的数据集(例如:搜索引擎,泄露凭据转储,代码仓库等)暴露给攻击者。攻击者还可以从暗网或其他黑市购买凭证。收集这些信息可能为其他形式的侦察提供可能性(例如:搜索开放网站/域或钓鱼),建立运营资源(例如:入侵账号),或实现初始访问(例如:外部远程服务或有效账号)。
- 案例 -
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
在入侵受害者之前,攻击者可能会收集邮件地址信息,这些信息可以在目标定位期间使用。即使存在内部实例,组织也可能具有外部的电子邮件系统和员工邮箱。
攻击者可以轻松地收集邮件地址,因为它们很容易获得并且可以通过在线或其他可访问的数据集(例如:社交媒体或搜索受害者拥有的网站)暴露给攻击者。收集这些信息可能为如下活动提供可能性:其他形式的侦察活动(例如:搜索开放网站/域或钓鱼),建立运营资源(例如:邮件账号),或实现初始访问(例如:钓鱼攻击)。
- 案例 -
收集邮箱信息主要有两个作用:
-
通过发现目标系统账号的命名规律,可以用来后期登入其他子系统。
-
爆破登入邮箱用。
通常邮箱的账号有如下几种生成规律:比如某公司有员工名叫做“张小三”,它的邮箱可能如下:
[email protected]
[email protected]
[email protected]
当我们收集几个邮箱之后,便会大致猜出对方邮箱的命名规律。
除了员工的邮箱之外,有一些共有的邮箱,比如人力的邮箱、客服的邮箱,[email protected]、[email protected],这种邮箱有时会存在弱口令,在渗透时可额外留意一下。我们可以通过手工或者工具的方式来确定搜集邮箱。
手工方式
Google Hacking
site:target.com intext:@target.com
site:target.com 邮件
site:target.com email
github等第三方托管平台
在github中搜索邮箱后缀
社工库的方式
Online Search Email
通过全球最大的几个数据泄露站点在线查询邮箱信息泄露情况
https://monitor.firefox.com/
https://haveibeenpwned.com/
https://ghostproject.fr/
https://hunter.io/
工具类
The Harvester
The Harvester可用于搜索Google、Bing和PGP服务器的电子邮件、主机以及子域名,因此需要翻墙运行该工具。
Infoga
Infoga可从不同的公共源网络(搜索引擎,pgp密钥服务器和shodan)收集电子邮件帐户信息(ip,主机名,国家/地区)。是一个用法非常简单的工具,但是,对于渗透测试的早期阶段,或者只是为了了解自己公司在互联网上的可见性是非常有效的。
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
在入侵受害者之前,攻击者可能会收集员工姓名,这些信息可以在目标定位期间使用。员工姓名用于导出电子邮件地址,以及帮助指导其他侦察工作或制作更可信的诱饵。
攻击者可以轻松地收集员工姓名,因为它们很容易获得并且可以通过在线或其他可访问的数据集(例如:社交媒体或搜索受害者拥有的网站)暴露给攻击者。收集这些信息可能为如下活动提供可能性:其他形式的侦察活动(例如:搜索开放网站/域或钓鱼),建立运营资源(例如:入侵账号),或实现初始访问(例如:钓鱼攻击或有效账号)。
- 案例 -
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
在入侵受害者之前,攻击者可能会收集受害者网络域的信息。有关域及其属性的信息可能包括各种详细信息,包括受害者拥有的域以及管理数据(例如:姓名,注册商等)以及更直接可操作的信息。例如联系人(电子邮件地址和电话),公司地址和名称服务器。
攻击者可以通过不同的方式收集这些信息,例如直接通过主动扫描(例如监听端口,服务器banner,用户代理字符串),钓鱼进行收集。也可能是通过在线或其他可访问的数据集(例如:WHOIS)暴露给攻击者。收集这些信息可能为如下活动提供可能性:其他形式的侦察活动(例如:搜索公开技术数据库,搜索开放网站/域或钓鱼),建立运营资源(例如:获取基础设施或入侵基础设施),或实现初始访问(例如:钓鱼攻击)。
- 案例 -
Whois 简单来说,就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商、域名注册日期和过期日期、DNS等)。通过域名Whois服务器查询,可以查询域名归属者联系方式,以及注册和到期时间。
-
Kali下whois查询
-
域名Whois查询 - 站长之家
-
Whois 爱站
-
ip138
-
Whois Lookup
-
ICANN Lookup
-
域名信息查询 - 腾讯云
-
nicolasbouliane
-
新网 whois信息查询
-
IP WHOIS查询 - 站长工具
-
微步在线
-
奇安信威胁情报平台
-
..
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
在入侵受害者之前,攻击者可能会收集受害者DNS的信息。DNS信息可能包括各种详细信息,例如注册的名称服务器以及概述目标子域,邮件服务器和其他主机的地址的记录。
攻击者可以通过不同的方式收集这些信息,例如通过DNS/Passive DNS查询或以其他方式收集详细信息。凭证信息也可能通过在线或其他可访问的数据集(例如:搜索公开技术数据库)暴露给攻击者。收集这些信息可能为如下活动提供可能性:其他形式的侦察活动(例如:搜索公开技术数据库,搜索开放网站/域,或主动扫描),建立运营资源(例如:获取基础设施或入侵基础设施),或实现初始访问(例如:外部远程服务)。
- 案例 -
dnsdb: 全球DNS搜索引擎
viewdns.info: 令站长十分蛋疼的DNS历史记录网站,记录了几年内的更改记录。
securitytrails.com: 庞大的DNS历史数据库,我试了下可以查出几年内网站用过的IP、机房信息等,非常可怕。
在线网站查询
-
dnsdb
-
NETCRAFT
-
viewdns
-
threatbook
-
securitytrail
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
在入侵受害者之前,攻击者可能会收集受害者网络信任关系的信息。有关网络信任的信息可能包括各种详细信息,包括已连接(并可能提升了的)网络访问权限的第二或第三方组织/域(例如:托管服务提供商,承包商等)。
攻击者可以通过不同的方式收集这些信息,例如通过网络钓鱼诱骗收集。有关网络信任的信息也可以通过在线或其他可访问的数据集(例如:搜索公开技术数据库)暴露给攻击者。收集这些信息可能为如下活动提供可能性:其他形式的侦察活动(例如:主动扫描,或搜索开放网站/域),建立运营资源(例如:获取基础设施或入侵基础设施),或实现初始访问(例如:信任关系)。
- 案例 -
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
在入侵受害者之前,攻击者可能会收集受害者网络拓扑的信息。网络拓扑的信息可能包括各种细节,包括面向外部和内部网络环境的物理或逻辑布置。这些信息可能还包括有关网络设备(网关,路由器等)和其他基础结构的详细信息。
攻击者可以通过不同的方式收集这些信息,例如通过主动扫描或钓鱼。网络拓扑信息也可能通过在线或其他可访问的数据集(例如:搜索受害者拥有的网站)暴露给攻击者。信息可能为如下活动提供可能性:其他形式的侦察活动(例如:搜索公开技术数据库,搜索开放网站/域),建立运营资源(例如:获取基础设施或入侵基础设施),或实现初始访问(例如:外部远程服务)。
- 案例 -
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
攻击者可能会事先收集攻击目标的IP地址信息。公共IP地址可能是按块分配给企业的,也可能是一系列连续地址分配给企业的。已分配IP地址信息可能包括各种细节信息,比如当前使用的IP地址。收集已分配的IP地址信息,攻击者可以了解当前在用的IP地址,也可能推导出攻击目标的其他细节,比如组织规模、地理位置、Internet服务提供商以及面向公众基础设施的部署位置/方式。
IP地址信息可能是攻击者通过主动扫描或钓鱼等方式主动收集的,也可能是通过在线或其他可访问的数据集如搜索公开技术数据库暴露给攻击者的。收集这些信息可能会触发其他形式的侦察行动(例如:主动扫描或搜索开放网站/域),从而建立运营资源(例如:获取基础设施或入侵基础设施),或实现初始访问(例如:外部远程服务)。
- 案例 -
扫描工具:nmap、goby、masscan等
空间搜索引擎:fofa、zoomeye等
绕过CDN查找真实IP: https://blog.csdn.net/weixin_45677119/article/details/110870703
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
攻击者可能会事先收集攻击目标的网络安全设备信息。网络安全设备的信息可能包括各种详细信息,例如已部署的防火墙,内容筛选器和代理/堡垒主机的存在和详细信息。攻击者还可能针对地收集有关受害者的网络入侵检测系统(NIDS)或其他与防御性网络安全操作有关的设备的信息。
攻击者可以通过不同的方式收集这些信息,例如通过主动扫描或钓鱼。网络安全设备信息也可能通过在线或其他可访问的数据集(例如:搜索受害者拥有的网站)暴露给攻击者。这些信息可能为如下活动提供可能性:其他形式的侦察活动(例如:搜索公开技术数据库,搜索开放网站/域),建立运营资源(例如:开发能力, 获取能力),或实现初始访问(例如:外部远程服务)。
- 案例 -
红队必备:WEB蜜罐识别阻断插件
https://www.freebuf.com/articles/web/246938.html
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
原文始发于微信公众号(安全攻防渗透):红队攻击:侦察(一)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论