攻击者可能会在社交媒体上搜索有关受害者的信息,以便在锁定目标时使用。社交媒体网站可能包含有关受害者组织的各种信息,如业务公告以及有关工作人员的角色、地点和兴趣的信息。
攻击者可能会根据他们想要收集的信息,在不同的社交媒体网站上进行搜索。威胁者可能会被动地从这些网站上收集数据,以及利用收集到的信息创建虚假的个人资料/群组,以诱使受害者透露特定的信息(即鱼叉式钓鱼服务)。来自这些来源的信息可能为其他形式的侦察(例如:信息钓鱼或搜索开放式技术数据库)、建立运营资源(例如:建立账户或破坏账户)或初始访问(例如:通过服务鱼叉式钓鱼)提供机会。
- 案例 -
攻击者可以通过收集某企业员工信息,比如前期添加好友,观察其社交媒体上的动态,翻看历史动态信息,收集其工作沟通工具、上下班时间等。如对方通过邮箱沟通交流业务,可以进行钓鱼邮件投递进行渗透,获取权限。
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
二、搜索开放的域/网站-搜索引擎
攻击者可能会在社交媒体上搜索有关受害者的信息,以便在锁定目标时使用。社交媒体网站可能包含有关受害者组织的各种信息,如业务公告以及有关工作人员的角色、地点和兴趣的信息。
攻击者可能会根据他们想要收集的信息,在不同的社交媒体网站上进行搜索。威胁者可能会被动地从这些网站上收集数据,以及利用收集到的信息创建虚假的个人资料/群组,以诱使受害者透露特定的信息(即鱼叉式钓鱼服务)。来自这些来源的信息可能为其他形式的侦察(例如:信息钓鱼或搜索开放式技术数据库)、建立运营资源(例如:建立账户或破坏账户)或初始访问(例如:通过服务鱼叉式钓鱼)提供机会。
- 案例 -
google hacking
基础篇:
* intitle:搜索网页标题中包含有特定字符的网页。例如intitle: 后台,这样网页标题中带有‘后台’的网页都会被搜索出来。
* inurl:搜索包含有特定字符的URL。例如inurl:admin,可以用来查找网站后台。
* intext: 搜索网页正文内容中的指定字符,例如intext:操作系统。可以搜索含有‘操作系统’的页面
* Filetype: 搜索指定类型的文件。例如操作系统 filetype:pdf,就可以找到关于操作系统的pdf文档。
* Site:找到与指定网站有联系的URL。例如Site:baidu.com。所有和这个网站有联系的URL都会被显示。
* movie: 当我们用movie提交查询的时候,Google会返回跟查询关键词相关的电影信息。(当前只支持英文Google)
* info: 查询网站的一些信息。例如info:bbs.byr.cn,它只会返回一个结果,是一个选择列表,列表的选项是这个网站的某一方面的信息。info=cache+related+link+site+intext+intitle。
* 双引号: 代表完全匹配,使关键词不分开,顺序都不能变。
* 减号: 减号与前一个关键词之间一定要有一个空格,与后一个关键词之间一定不能有空格。搜索结果为,匹配前一个关键词但不匹配后一个关键词的结果。例如seo -搜索引擎。
* AND: 逻辑与,这个命令我们其实一直都在用,只是没有意识到。一般用空格代替,还可以用“+”代替。例如霹雳布袋+败亡之剑,返回的结果同时包含两者。
* weather: 查询某一地区或城市的天气。不过我们这一地区或城市必须是Google能识别的,例weather:beijing,Google将会给我们返回北京的天气。
* 星号(*): 通配符,可以匹配任意字符串。例如搜索*擎,则返回的结果中不仅有“搜索引擎”,还有“搜索巨擎”之类的。
* allinurl: 结果的url中包含多个关键词。例如allinurl:byr jobs,等于inurl:byr inurl:jobs。allinurl也是排他性指令
* define: 查询关键词的词义,起的是字典的作用。Google会返回包含查询关键词定义的网页,例define:computer,支持汉字哦!
进阶篇:
* 查找后台地址:site:域名
inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms
* 查找文本内容:site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username
* 查找可注入点:site:域名 inurl:aspx|jsp|php|asp
* 查找上传漏洞:site:域名 inurl:file|load|editor|Files
* 查看脚本类型:site:域名 filetype:asp/aspx/php/jsp
* 迂回策略:inurl:cms/data/templates/images/index/
* 网络设备关键词:intext:WEB Management Interface for H3C SecPath Series
* 存在的数据库:site:域名 filetype:mdb|asp|#
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
攻击者可能会搜索受害者拥有的网站,以获取可在目标攻击中使用的信息。受害者拥有的网站可能包含各种细节,包括部门/分部的名称、物理位置和关键员工的数据,如姓名、角色和联系信息(例如:电子邮件地址)。这些网站还可能有突出商业运作和关系的细节。
攻击者可能会搜索受害者拥有的网站,以收集可操作的信息。来自这些来源的信息可能会提供其他形式的侦察机会(例如:钓鱼信息或搜索开放式技术数据库),建立业务资源(例如:建立账户或破坏账户)或初始访问(例如:信任关系或钓鱼)。
- 案例 -
收集网站上公布的人事信息(政府网站居多)、管理员邮箱信息等。
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
攻击者可能会在实施攻击前扫描IP地址块,收集可在确定攻击目标期间使用的信息。公有IP地址可以按块或是按一系列顺序地址分配给组织。
攻击者可能会扫描IP地址块,以便收集受害者网络信息,例如哪些IP地址分配给了哪些主机使用以及这些主机的详细信息。扫描范围可以从简单的ping(ICMP请求和响应)到更细致的扫描(通过服务器banner或其他网络artifacts显示主机软件/版本)。扫描所获取的信息可能会触发其他形式的侦察行动(例如:搜索开放网站/域或搜索公开技术数据库),从而建立运营资源(例如:开发能力或获取能力),或实现初始访问(例如:外部远程服务)。
- 案例 -
常见扫描器。
- 检测日志 -
nmap扫描网段内的所有IP地址
sudo nmap -sP -PI -PT 192.168.1.0/24
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
监控可能存在扫描的可疑网络流量,例如来自单个源的大量流量(尤其是如果已知该源与攻击者或僵尸网络相关联)。分析Web访问数据也可能会发现潜在恶意活动的特征,例如referer值或HTTP/S中的user-agent字段里字符串。
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
攻击者可能会在实施攻击前扫描漏洞来确定攻击目标。漏洞扫描通常会检查目标主机/应用程序(例如:软件和版本)的配置是否有攻击者试图利用的漏洞。
这些扫描还可能包括收集受害者主机信息等其它尝试,从而识别更常见的可利用漏洞。漏洞扫描通常是通过服务器banner、监听端口或其他网络工件来获取运行软件和版本号。扫描所获取的信息可能会触发其他形式的侦察行动(例如:搜索开放网站/域或搜索公开技术数据库),从而建立运营资源(例如:开发能力或获取能力),或实现初始访问(例如:面向公众应用的漏洞利用)。
- 案例 -
常见扫描器。
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
常见扫描器特征
Awvs(Acunetix Web Vulnerability Scanner )版本10.5和11
Awvs在请求的Url,Headers, Body三项里随机包含了能代表自己的特征信息
<1> Url:
acunetix-wvs-test-for-some-inexistent-file
by_wvs
acunetix_wvs_security_test
acunetix
acunetix_wvs
acunetix_test
<2> Headers:
Acunetix-Aspect-Password:
Cookie: acunetixCookie
Location: acunetix_wvs_security_test
X-Forwarded-Host: acunetix_wvs_security_test
X-Forwarded-For: acunetix_wvs_security_test
Host: acunetix_wvs_security_test
Cookie: acunetix_wvs_security_test
Cookie: acunetix
Accept: acunetix/wvs
Origin: acunetix_wvs_security_test
Referer: acunetix_wvs_security_test
Via: acunetix_wvs_security_test
Accept-Language: acunetix_wvs_security_test
Client-IP: acunetix_wvs_security_test
HTTP_AUTH_PASSWD: acunetix
User-Agent: acunetix_wvs_security_test
Acunetix-Aspect-Queries:任意值
Acunetix-Aspect:任意值
<3> Body (请求的post信息)
acunetix_wvs_security_test
acunetix
Netsparker
Netsparker依然在请求的Url,Headers, Body三项里随机包含了能代表自己的特征信息
<1> Url
netsparker
Netsparker
ns: netsparker
<2> Headers
X-Scanner: Netsparker
Location: Netsparker
Accept: netsparker/check
Cookie: netsparker
Cookie: NETSPARKER
<3> Body
netsparker
Appscan
Appscan依然在请求的Url,Headers, Body三项里随机包含了能代表自己的特征信息
<1>Url
Appscan
<2> Headers
Content-Type: Appscan
Content-Type: AppScanHeader
Accept: Appscan
User-Agent:Appscan
<3> Body
Appscan
Webinspect
Webinspect依然在请求的Url,Headers, Body三项里随机包含了能代表自己的特征信息
<1> Url
HP404
<2> Headers
User-Agent: HP ASC
Cookie: webinspect
X-WIPP: 任意值
X-Request-Memo: 任意值
X-Scan-Memo: 任意值
Cookie: CustomCookie
X-RequestManager-Memo: 任意值
<3> Body
Webinspect
Rsas (绿盟极光)
Rsas 的主要的特征在Url和Headers中
<1> Url
nsfocus
<2> Headers
User-Agent: Rsas
Nessus
Nessus的特征主要在Url,Headers,Body中
<1> Url
nessus
Nessus
<2> Headers
x_forwarded_for: nessus
referer: nessus
host: nessus
<3> Body
nessus
Nessus
WebReaver
WebReaver的特征只在Headers中的UA中
<1> Headers
User-Agent: WebReaver
Sqlmap
Sqlmap在Url,Headers,Body中都含有特征值
<1> Url
sqlmap
<2> Headers
User-Agent: sqlmap(后接版本号,跟当前版本有关系)
<3> Body
sqlmap
NMAP
最近做分析监测到的特征
user-agent:Nmap Scripting Engine; https://nmap.org/book/nse.html
- 建议 -
监控可能存在扫描的可疑网络流量,例如来自单个源的大量流量(尤其是如果已知该源与攻击者或僵尸网络相关联)。分析Web访问数据也可能会发现潜在恶意活动的特征,例如referer值或HTTP/S中的user-agent字段里字符串。
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
攻击者可以在DNS数据中搜索可在有关受害者的使用信息。DNS信息可能包括各种详细信息,包括注册的名称服务器以及概述目标子域,邮件服务器和其他主机的地址的记录。
攻击者可以搜索DNS数据用以收集可操作的信息。威胁参与者可以直接查询目标组织的名称服务器,也可以搜索记录的DNS查询响应的集中存储库(称为被动DNS)。攻击者还可能寻求并针对内部网络信息的DNS错误配置或泄漏。这些来源的信息可能会提供其他形式的侦察机会(例如:搜索受害人拥有的网站或搜索开放的网站/域),建立运营资源(例如:获取基础设施或妥协基础设施)或初步访问(例如:外部)远程服务或信任关系。
- 案例 -
信息收集--DNS信息收集。
NSLOOKUP
解析A记录、MX记录、NS记录
终端中输入 :nslookup
在显示的页面中输入域名,会解析出最终的A记录和IP地址
>set type=a # 指定查询类型为A记录(主机记录)
>set type=mx # 指定查询类型为MX记录(邮件交换记录·)
>set type=ns # 指定查询类型为NS记录(域名服务器记录)
>sina.com # 查询 sina.com 这个域名
反向域名解析
使用IP反向解析出域名(ptr)
>set type=ptr
> 66.102.251.24
指定server IP
>server 8.8.8.8 # 指定我们想要指定的DNS服务器的IP,使用该服务器来进行查询
>www.sina.com
指定所有类型
>set type=any # 指定查询所有类型的记录
>www.sina.com
DIG
查询所有记录
dig sina.com any @8.8.8.8
# 查询 sina.com 的所有类型的记录,并指定IP地址为 8.8.8.8
# 建议指定不同的域名服务器IP对同一个域名进行解析(比较结果,确定查询的准确性)
筛选输出结果
dig mail.163.com any
# 查询163的mail的记录
dig +noall mail.163.com any
# +noall筛选输出结果(即什么结果都不输出)
dig +noall +answer mail.183.com any
# 只显示我们最终想要的结果反向查询(ptr)
dig -x 66.102.251.24
# 反向查询该IP地址的ptr记录,得到其域名
查询DNS服务器的bind版本信息
# 在Linux和Unix服务器中提供的DNS服务的软件包一般都是bind
# 在获得bind信息后就可以查看它的bind有哪些漏洞,依据这些漏洞获得所有的DNS记录
dig +noall +answer txt chaos VERSION.BIND @mail.163.com
# 过滤筛选输出 文本 bind的class类型 域名
对DNS记录进行追踪(DNS追踪)
dig +trace www.sina.com
DNS区域传输
DNS区域传输是发生在DNS服务器之间信息同步的一个过程(区域传输机制,通常只发生在本域域名服务器之间),在渗透测试中被尝试用来获取所有的DNS记录信息
dig @ns1.sina.com sina.com axfr
# 先指定ns服务器 发起区域传输的指令
# DNS服务器的域名查询一般都是UDP的53端口,区域传输即域名服务器之间的同步数据使用TCP的53端口
host -T -l sina.com ns1.sina.com
# -T:显示时间 -l:进行AXFR的全区域传输
# 如果是查询 sina.com 的话,后面一定要跟一个 sina 的域名服务器的地址(查询什么跟什么)
DNS字典爆破
准备一个包含常见主机记录名称的字典,用字典向DNS服务器发起一个字典式的暴力破解。如果有这个记录,DNS服务器就会返回其对应的IP地址。如果没有就会返回一个错误的结果(尝试将目标服务器里面的所有的主机记录和子域的域名记录给爆破出来)
dnsenum
sudo apt install dnsenum # 安装dnsenum
dnsenum -f dns.txt -dnsserver 8.8.8.8 sina.com -o sina.xml
# -o:把爆破出来的内容保存成一个xml文件,-f:指定字典文件
dnsmap
sudo apt install dnsmap # 安装dnsmap
dnsmap sina.com -w dns.txt
# -w:用来指定字典文件
DNS注册信息(whois查询)
收集DNS的注册信息,比如注册新浪sina.com的信息。有的域名在注册时会留下注册人的姓名、电话、邮箱、公司地址等等信息(可以用来作为社会工程学或者物理攻击的手段)。
可以通过whois来查询这些信息。不同地区、区域有不同地区的whois信息,那个国家用那个NIC必须分配后才能使用,不能随便乱用,否者会造成互联网上的混乱,而且可能出现重复的IP地址。最早的IP分配就是由InterNic来完成的,后来不同地区成立了一些地区性质的NIC,亚太地区的NIC是由APNIC负责。
通过whois命令行工具来查询
sudo apt install whois # 安装whois工具
whois 8.8.8.8
whois sina.com
whois -h whois.apnic.net 66.102.251.24
在线whois网站查询
http://www.afrinic.net # AFRINIC
http://www.apnic.net # APNIC
http://ws.arin.net # ARIN
http://www.iana.com # IANA
http://www.icann.org # ICANN
http://www.lacnic.net # LACNIC
http://www.nro.net # NRO
http://www.ripe.net # RIPE
http://internic.net # InterNic
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
七、搜索开放的技术数据库-WHOIS
攻击者可以在WHOIS公开数据中搜索受害者使用的目标信息。WHOIS数据由负责分配和分配域名等Internet资源的区域Internet注册表(RIR)存储。任何人都可以查询WHOIS服务器以获取有关注册域的信息,例如分配的IP地址,联系信息和DNS名称服务器。
攻击者可以搜索WHOIS数据用以收集可行的信息。威胁行动者可以使用在线资源或命令行实用程序通过WHOIS数据进行掠夺,以获取有关潜在受害者的信息。这些来源提供的信息可能会提供其他形式的侦察机会(例如:主动扫描或网络钓鱼),建立运营资源(例如:获取基础设施或破坏基础设施)或初始访问(例如:外部远程服务或信任关系)。
- 案例 -
whois(读作“Who is”,非缩写)是用来查询域名的IP以及所有者等信息的传输协议。简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商)。通过whois来实现对域名信息的查询。
网站查询
-
域名Whois查询 - 站长之家
-
Whois 爱站
-
ip138
-
域名信息查询 - 腾讯云
-
nicolasbouliane
-
新网 whois信息查询
-
IP WHOIS查询 - 站长工具
-
微步在线
-
Bugscaner
工具查询
在命令行输入whosi+域名
使用Nmap查询,使用这个方法还可以爆出目标的端口号开启与否:nmap --script=whois-domain +域名
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
攻击者可以在公共数字证书数据中搜索有关受害者使用的目标的信息。数字证书由证书颁发机构(CA)颁发,以加密方式验证签名内容的来源。这些证书(例如用于加密Web流量HTTPS SSL/TLS通信的证书)包含有关注册组织的信息,例如名称和位置。
攻击者可以搜索数字证书数据用于收集可操作的信息。威胁参与者可以使用在线资源和查找工具来收集有关证书的信息。数字证书数据也可以从组织签名的组件中获得(例如:加密的网络流量中使用的证书随内容一起提供)。来自这些来源的信息可能会提供其他形式的侦察机会(例如:主动扫描或网络钓鱼),建立运营资源(例如:开发能力或获得能力)或初始访问(例如:外部远程服务或者信任关系)。
- 案例 -
证书透明度(Certificate Transparency,CT)是证书授权机构(CA)的一个项目,证书授权机构会为每一个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮箱地址,这些也经常成为攻击者非常希望获得的有用信息。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。
-
https://crt.sh/
-
https://censys.io/
-
https://developers.facebook.com/tools/ct/
-
https://google.com/transparencyreport/https/ct/
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
攻击者可以搜索有关目标受害者的内容传递网络(CDN)数据。CDN允许组织托管来自分布式,负载均衡的服务器阵列的内容。CDN还可以允许组织根据请求者的地理区域自定义内容传递。
攻击者可以搜索CDN数据用以收集可操作的信息。威胁参与者可以使用在线资源和查找工具来收集有关CDN中内容服务器的信息。攻击者还可能寻求和针对CDN错误配置,这些配置可能泄漏不希望托管的敏感信息或不具有与组织网站上托管的内容相同的保护机制(例如登录门户)。来自这些来源的信息可能会提供其他形式的侦察机会(例如:主动扫描或搜索开放的网站/域),建立运营资源(例如:获取基础设施或损害基础设施)或初始访问(例如:妥协)。
- 案例 -
证书透明度(Certificate Transparency,CT)是证书授权机构(CA)的一个项目,证书授权机构会为每一个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮箱地址,这些也经常成为攻击者非常希望获得的有用信息。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。
-
https://crt.sh/
-
https://censys.io/
-
https://developers.facebook.com/tools/ct/
-
https://google.com/transparencyreport/https/ct/
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
攻击者可能会在公共扫描数据库中搜索有关受害者的信息,以便在定位时使用。各种在线服务不断公布互联网扫描/调查的结果,通常会收集诸如活跃的IP地址、主机名、开放的端口、证书,甚至是服务器的标语等信息。
攻击者可以搜索扫描数据库,以收集可操作的信息。威胁者可以利用在线资源和查询工具,从这些服务中获取信息。威胁者可能会寻求有关他们已经确定的目标的信息,或者使用这些数据集来发现成功入侵的机会。来自这些资源的信息可能揭示了其他形式的侦察(例如:主动扫描或搜索开放网站/域)、建立行动资源(例如:开发能力或获得能力)和/或初始访问(例如:外部远程服务或利用面向公众的应用程序)的机会。
- 案例 -
例如利用fofa、zoomeye、quake、shodan等空间测绘系统,收集相关用户信息。
FOFA: <https://fofa.so/>
zoomeye: <https://www.zoomeye.org/>
quake: <https://quake.360.cn/quake/#/index>
shodan: <https://www.shodan.io/>
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
原文始发于微信公众号(安全攻防渗透):红队攻击:侦察(三)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论