主机发现
NMAP
工作原理
TCP是因特网中的传输层协议,使用三次握手协议建立连接。当主动方发出SYN连接请求后,等待对方回答TCP的三次握手TCP的三次握手SYN+ACK[1] ,并最终对对方的 SYN 执行 ACK 确认。这种建立连接的方法可以防止产生错误的连接,TCP使用的流量控制协议是可变大小的滑动窗口协议。TCP三次握手的过程如下:
- 【1】客户端发送SYN(SEQ=x)报文给服务器端,进入SYN_SEND状态。
- 【2】服务器端收到SYN报文,回应一个SYN (SEQ=y)ACK(ACK=x+1)报文,进入SYN_RECV状态。
- 【3】客户端收到服务器端的SYN报文,回应一个ACK(ACK=y+1)报文,进入Established状态。
nmap参数比较多,详情可以查阅官方手册
扫描方式
nmap 支持 通配符,如 192.168.0.* 192.168.0.0/24
nmap 输出选项
Nmap的输出结果可以保存到外部文件中,保存的格式可以是:
交互式输出:这是默认输出,是标准输出,一般是输出到控制台
正常输出(-oN filename):与交互式输出类似,但是不包括运行信息和警告信息
XML输出(-oX filename):改格式可以转化成html、能够被nmap用户图形接口解析并支持导入数据库,推荐使用改格式。
Grep输出(-oG filename):该方式已经过时
由于html文件的可读性比xml更好,所以我们将xml格式转换成html格式。程序xsltproc可以完成这一转换。
nmap高级扫描
nmap脚本扫描 脚本路径在nmap路径下的 scripts 下 linux在也在安装目录下 /usr/share/nmap/scripts/
常用脚本说明
负责处理鉴权证书(绕开鉴权)的脚本,也可以作为检测部分应用弱口令
nmap脚本爆破服务
ftp
mysql
snmp
绕IDS&IPS
nmap优缺点
- 优点: Nmap作为主动式端口扫描工具,只要在对方没有把通信 阻断的情况下,可以在较短的时间内获得结果。
- 缺点: (1)现在带有阻断功能的防火墙越来越多,有些防火墙当检测到端口扫描时,会将端口关闭一定的时间,还有的机器使用了很多filter功能,只对特定的IP地址提供服务,这种情况下,主动式的正确性大打折扣。 (2)主动式只是在一瞬间对端口进行扫描,只有当服务器那个时候使用的服务才有可能被侦测到。 (3)端口扫描是一种广义上的攻击行为,对于末经许可的机器,一般不能施行。
masscan
该工具兼容nmap参数,扫描速度相对nmap稍快一点
nbtscan
nbtscan 多用于扫描内网的windows主机,通过netbios可得出主机名
hping3
hping3 主要用于测试防火墙与网络设备
hping3 的速度非常快
使用hping3进行flood DoS攻击,阻塞网络。
fscan
一键自动化、全方位漏洞扫描的开源工具
1.信息搜集:存活探测(icmp)端口扫描 2.爆破功能:各类服务爆破(ssh、smb等)数据库密码爆破(mysql、mssql、redis、psql等) 3.系统信息、漏洞扫描:获取目标网卡信息高危漏洞扫描(ms17010等) 4.Web探测功能:webtitle探测web指纹识别(常见cms、oa框架等)web漏洞扫描(weblogic、st2等,支持xray的poc)
关联信息收集
针对目标的特征,特性,爱好,各种信息进行分析,拆分,整合,为后面的字典,水抗,鱼叉做准备工作。
邮箱收集
通过说明文档以及网站页面收集,或者网站发表者以及留言板信息处收集账号
通过 teemo,metago,burpusit,awvs,netspker 或者 google 语法收集
搜索相关 QQ 群收集相关企业员工的社交账号
字典生成
常规字典
https://github.com/epony4c/Exploit-Dictionary
根据特征的字典生成
https://github.com/LandGrey/pydictor
比如我根据关联信息收集得到 一个公司的员工号前4位为 1903,这个公司工号共10位,我将使用工具生成一个10位均为1903开头的工号进行口令爆破。
输入你收集到的各种信息,通过微信,qq群,网站,等待手段尽可能多的收集
开源信息情报
Github Hacking
使用搜索页面检索仓库 
搜索仓库-文件
日期条件
主体搜索
文件名称
自动化
https://github.com/UnkL4b/GitMiner
Google hacking
https://ght.se7ensec.cn/#
Exploit-DB
搜索windows 提权漏洞 
搜索apache 漏洞
开源情报
在线
https://www.beenverified.com/ https://start.me/start/sg/sg https://phonebook.cz/ https://x.threatbook.cn/ https://www.venuseye.com.cn/ https://ti.sangfor.com.cn/analysis-platform https://ti.dbappsecurity.com.cn/ https://ti.360.cn/#/homepage https://ti.nsfocus.com/ https://redqueen.tj-un.com/IntelHome.html https://xz.aliyun.com/tab/18 https://www.threatminer.org/ https://nosec.org/home/index http://121.36.26.171:8080/
搜索引擎
FOFA、钟馗之眼、Shoda、Censys
https://fofa.so/ https://www.zoomeye.org/ https://www.diaosiso.com/
whois 与 备案信息
whois
https://who.is/ https://whois.cloud.tencent.com/ https://whois.aliyun.com/ https://myip.ms/info/whois/42.247.8.131
备案
https://ipwhois.cnnic.net.cn/ https://www.creditchina.gov.cn/ http://www.beian.gov.cn/portal/registerSystemInfo https://beian.miit.gov.cn/#/Integrated/index http://www.gsxt.gov.cn/index.html https://www.tianyancha.com/
真实IP识别 与 指纹识别
判断 CDN 方法
- 多地ping
- 通过其它信息判断
判读是否使用了CDN,最简单的方法就是多地ping,可在下面的网站中进行多地ping
http://ping.chinaz.com/ https://ping.aizhan.com/ https://www.ipip.net/ https://www.17ce.com/ https://ipinfo.io/
通过 DNS解析记录判断 CDN
寻找DNS历史记录,找到后修改host文件
https://site.ip138.com/ https://viewdns.info/propagation/?domain= https://www.netcraft.com/apps/ https://www.cdnplanet.com/ https://dnsdb.io/zh-cn/
如果有注册等方法可以发邮件的,通过邮箱的原始信息
SSL 证书查询 与 敏感目录
使用搜索引擎来收集计算机的CT日志
https://crt.sh/ https://transparencyreport.google.com/https/certificateshttps://developers.facebook.com/tools/ct/
敏感目录
子域名爆破
OneForAll
https://github.com/shmilylty/OneForAll
hash碰撞
https://github.com/fofapro/Hosts_scan
二级域名字典生成
Favicon Hash 碰撞查找二级域名
找 favicon
生成hash
https://github.com/Viralmaniar/MurMurHash
ZoomEye
fofa
icon_hash="-1588080585"
DNS域传送
DNS协议支持使用axfr类型的记录进行区域传送,用来解决主从同步的问题。如果管理员在配置DNS服务器的时候没有限制允许获取记录的来源,将会导致DNS域传送漏洞。
测试方法
在线网站 搜索引擎 与 IP 反查
在线
http://tools.bugscaner.com/subdomain/ https://searchdns.netcraft.com/ https://crt.sh/?q=xazlsec.com https://cloud.tencent.com/product/tools?from=10680 https://phpinfo.me/domain http://scan.javasec.cn/
google语法
IP反查
在排除 CDN 的情况可以进行 ip反查域名
Web指纹
Web指纹信息包括,数据库,中间件,CMS等信息
https://www.yunsee.cn/ https://sitereport.netcraft.com/? http://whatweb.bugscaner.com/look/
WAF探测
WAFW00F,Nmap,手工
工具
手工
手工提交恶意数据 返回图片对比
https://mp.weixin.qq.com/s/8F060FU9g_78z57UKS-JsQ
内网信息搜集
Windows(工作组)
当前shell权限
系统信息
包括补丁,网卡,等信息
网络信息
主机名 与 操作系统
当执行不了systeminfo时,可以使用wmic获取操作系统版本
获取杀软
当前软件程序
账户
进程
当前登录域
远程桌面记录
Windows(域)
账户
域
Linux
基础信息
WMIC命令
wmic和cmd在windows中都存在
wmic 基础命令
获取系统信息相关
进程相关
计算机相关
wmi 相关大全
杀软相关
查询windows机器版本和服务位数和.net版本
查询本机所有盘符
卸载和重新安装程序
查看某个进程的详细信息 (路径,命令⾏参数等)
更改PATH环境变量值,新增c:whoami
查看某个进程的详细信息-PID
终⽌⼀个进程
安装软件
使用Powershell操作wmi
横向
指定ip执行cmd命令
需要管理员权限
上cs
注意:请注意powershell对于特殊字符的转义,例如“,@,#,$等等。
Get-wmi对象
powershell的get-wmi对象,是获取 windows management instrumentation(WMI)类的实例或有关可用信息。
https://docs.microsoft.com/zh-cn/powershell/module/Microsoft.PowerShell.Management/Get-WmiObject?view=powershell-5.1
内网横向常见见端口
Port:445
smb(server message block)windows协议族,主要功能:文件打印共享服务
空会话
远程本地会话
a为工作组名
域远程认证 wpsec.com 为根域
Port:137、138、139
NetBios端口,137,138为UDP端口,用于内网传输文件,NetBios/SMB服务的获取主要通过139端口
Port:135
DCOM和RPC(Remote Procedure Call)服务,可以做WMI管理工具远程操作
Port:53
DNS服务端口,可做隧道穿透,隐蔽性更好
- dns2tcp
- dnscat2
Port:389
LADP(轻量级目录访问协议),属于TCP/IP协议族,一般在域控上出现该端口,尝试使用爆破该端口进行权限认证
Port:88
Kerberos服务端口,属于TCP/IP协议族,监听KDC请求,利用该协议制作白银/黄金票据
Port:5985
WinRM服务,WinRM允许远程用户使用工具和脚本对windows服务器进行管理
条件: 在 windows vista 上未自启,在2008上自启动 需要开启端口,需要开启防火墙