红队笔记-1(主机发现,情报收集,内网信息收集)

   日期:2024-11-07     作者:caijiyuan       评论:0    移动:http://qyn41e.riyuangf.com/mobile/news/3268.html
核心提示:主机发现 NMAP 工作原理 TCP是因特网中的传输层协议,使用三次握手协议建立连接。当主动方发出SYN连接请求后,等待

红队笔记-1(主机发现,情报收集,内网信息收集)

主机发现

NMAP
工作原理

TCP是因特网中的传输层协议,使用三次握手协议建立连接。当主动方发出SYN连接请求后,等待对方回答TCP的三次握手TCP的三次握手SYN+ACK[1] ,并最终对对方的 SYN 执行 ACK 确认。这种建立连接的方法可以防止产生错误的连接,TCP使用的流量控制协议是可变大小的滑动窗口协议。TCP三次握手的过程如下

  • 【1】客户端发送SYN(SEQ=x)报文给服务器端,进入SYN_SEND状态。
  • 【2】服务器端收到SYN报文,回应一个SYN (SEQ=y)ACK(ACK=x+1)报文,进入SYN_RECV状态。
  • 【3】客户端收到服务器端的SYN报文,回应一个ACK(ACK=y+1)报文,进入Established状态。

nmap参数比较多,详情可以查阅官方手册

扫描方式

nmap 支持 通配符,如 192.168.0.* 192.168.0.0/24

 

请添加图片描述

nmap 输出选项

Nmap的输出结果可以保存到外部文件中,保存的格式可以是

交互式输出:这是默认输出,是标准输出,一般是输出到控制台

正常输出(-oN filename:与交互式输出类似,但是不包括运行信息和警告信息

XML输出(-oX filename:改格式可以转化成html、能够被nmap用户图形接口解析并支持导入数据库,推荐使用改格式。

Grep输出(-oG filename:该方式已经过时

由于html文件的可读性比xml更好,所以我们将xml格式转换成html格式。程序xsltproc可以完成这一转换。

 

请添加图片描述

nmap高级扫描

nmap脚本扫描 脚本路径在nmap路径下的 scripts 下 linux在也在安装目录下 /usr/share/nmap/scripts/

请添加图片描述 请添加图片描述

常用脚本说明

命令作用auth负责处理鉴权证书(绕开鉴权)的脚本broadcast在局域网内探查更多服务开启状况,如dhcp/dns/sqlserver等服务brute提供暴力破解方式,针对常见的应用如http/snmp等default使用-sC或-A选项扫描时候默认的脚本,提供基本脚本扫描能力discovery对网络进行更多的信息,如SMB枚举、SNMP查询等dos用于进行拒绝服务攻击exploit利用已知的漏洞入侵系统external利用第三方的数据库或资源,例如进行whois解析fuzzer模糊测试的脚本,发送异常的包到目标机,探测出潜在漏洞 intrusive: 入侵性的脚本,此类脚本可能引发对方的IDS/IPS的记录或屏蔽malware探测目标机是否感染了病毒、开启了后门等信息safe此类与intrusive相反,属于安全性脚本version负责增强服务与版本扫描(Version Detection)功能的脚本vuln负责检查目标机是否有常见的漏洞(Vulnerability,如是否有MS08_067

负责处理鉴权证书(绕开鉴权)的脚本,也可以作为检测部分应用弱口令

请添加图片描述

请添加图片描述

nmap脚本爆破服务

ftp

 

mysql

 

snmp

 
绕IDS&IPS
 
nmap优缺点
  • 优点: Nmap作为主动式端口扫描工具,只要在对方没有把通信 阻断的情况下,可以在较短的时间内获得结果。
  • 缺点(1)现在带有阻断功能的防火墙越来越多,有些防火墙当检测到端口扫描时,会将端口关闭一定的时间,还有的机器使用了很多filter功能,只对特定的IP地址提供服务,这种情况下,主动式的正确性大打折扣。 (2)主动式只是在一瞬间对端口进行扫描,只有当服务器那个时候使用的服务才有可能被侦测到。 (3)端口扫描是一种广义上的攻击行为,对于末经许可的机器,一般不能施行。
masscan

该工具兼容nmap参数,扫描速度相对nmap稍快一点

 

请添加图片描述 请添加图片描述

nbtscan

nbtscan 多用于扫描内网的windows主机,通过netbios可得出主机名

请添加图片描述

hping3

hping3 主要用于测试防火墙与网络设备

hping3 的速度非常快

 

请添加图片描述 使用hping3进行flood DoS攻击,阻塞网络。

 
fscan

一键自动化、全方位漏洞扫描的开源工具

1.信息搜集:存活探测(icmp)端口扫描 2.爆破功能:各类服务爆破(ssh、smb等)数据库密码爆破(mysql、mssql、redis、psql等) 3.系统信息、漏洞扫描:获取目标网卡信息高危漏洞扫描(ms17010等) 4.Web探测功能:webtitle探测web指纹识别(常见cms、oa框架等)web漏洞扫描(weblogic、st2等,支持xray的poc)

请添加图片描述

关联信息收集

针对目标的特征,特性,爱好,各种信息进行分析,拆分,整合,为后面的字典,水抗,鱼叉做准备工作。

邮箱收集

通过说明文档以及网站页面收集,或者网站发表者以及留言板信息处收集账号

通过 teemo,metago,burpusit,awvs,netspker 或者 google 语法收集

搜索相关 QQ 群收集相关企业员工的社交账号

字典生成
常规字典

https://github.com/epony4c/Exploit-Dictionary

根据特征的字典生成

https://github.com/LandGrey/pydictor

比如我根据关联信息收集得到 一个公司的员工号前4位为 1903,这个公司工号共10位,我将使用工具生成一个10位均为1903开头的工号进行口令爆破。

 

输入你收集到的各种信息,通过微信,qq群,网站,等待手段尽可能多的收集

请添加图片描述

开源信息情报

Github Hacking

使用搜索页面检索仓库 请添加图片描述

搜索仓库-文件
 

日期条件

 

主体搜索

 

文件名称

 
自动化

https://github.com/UnkL4b/GitMiner

Google hacking

https://ght.se7ensec.cn/#

 
Exploit-DB

搜索windows 提权漏洞 请添加图片描述

搜索apache 漏洞

请添加图片描述

开源情报
在线

https://www.beenverified.com/ https://start.me/start/sg/sg https://phonebook.cz/ https://x.threatbook.cn/ https://www.venuseye.com.cn/ https://ti.sangfor.com.cn/analysis-platform https://ti.dbappsecurity.com.cn/ https://ti.360.cn/#/homepage https://ti.nsfocus.com/ https://redqueen.tj-un.com/IntelHome.html https://xz.aliyun.com/tab/18 https://www.threatminer.org/ https://nosec.org/home/index http://121.36.26.171:8080/

搜索引擎

FOFA、钟馗之眼、Shoda、Censys

https://fofa.so/ https://www.zoomeye.org/ https://www.diaosiso.com/

whois 与 备案信息
whois

https://who.is/ https://whois.cloud.tencent.com/ https://whois.aliyun.com/ https://myip.ms/info/whois/42.247.8.131

备案

https://ipwhois.cnnic.net.cn/ https://www.creditchina.gov.cn/ http://www.beian.gov.cn/portal/registerSystemInfo https://beian.miit.gov.cn/#/Integrated/index http://www.gsxt.gov.cn/index.html https://www.tianyancha.com/

真实IP识别 与 指纹识别
判断 CDN 方法
  1. 多地ping
  2. 通过其它信息判断

判读是否使用了CDN,最简单的方法就是多地ping,可在下面的网站中进行多地ping

http://ping.chinaz.com/ https://ping.aizhan.com/ https://www.ipip.net/ https://www.17ce.com/ https://ipinfo.io/

通过 DNS解析记录判断 CDN

寻找DNS历史记录,找到后修改host文件

https://site.ip138.com/ https://viewdns.info/propagation/?domain= https://www.netcraft.com/apps/ https://www.cdnplanet.com/ https://dnsdb.io/zh-cn/

如果有注册等方法可以发邮件的,通过邮箱的原始信息

请添加图片描述

SSL 证书查询 与 敏感目录
使用搜索引擎来收集计算机的CT日志

https://crt.sh/ https://transparencyreport.google.com/https/certificateshttps://developers.facebook.com/tools/ct/

敏感目录
 
子域名爆破
OneForAll

https://github.com/shmilylty/OneForAll

 
hash碰撞

https://github.com/fofapro/Hosts_scan

二级域名字典生成

请添加图片描述

Favicon Hash 碰撞查找二级域名
找 favicon

请添加图片描述

生成hash

https://github.com/Viralmaniar/MurMurHash

请添加图片描述

ZoomEye
 

在这里插入图片描述

fofa

icon_hash="-1588080585"

DNS域传送

DNS协议支持使用axfr类型的记录进行区域传送,用来解决主从同步的问题。如果管理员在配置DNS服务器的时候没有限制允许获取记录的来源,将会导致DNS域传送漏洞。

测试方法
 

在这里插入图片描述

在线网站 搜索引擎 与 IP 反查
在线

http://tools.bugscaner.com/subdomain/ https://searchdns.netcraft.com/ https://crt.sh/?q=xazlsec.com https://cloud.tencent.com/product/tools?from=10680 https://phpinfo.me/domain http://scan.javasec.cn/

google语法
 
IP反查

在排除 CDN 的情况可以进行 ip反查域名

Web指纹

Web指纹信息包括,数据库,中间件,CMS等信息

https://www.yunsee.cn/ https://sitereport.netcraft.com/? http://whatweb.bugscaner.com/look/

WAF探测

WAFW00F,Nmap,手工

工具
 
手工

手工提交恶意数据 返回图片对比

https://mp.weixin.qq.com/s/8F060FU9g_78z57UKS-JsQ

内网信息搜集

Windows(工作组
当前shell权限
 

在这里插入图片描述

系统信息

包括补丁,网卡,等信息

 
网络信息
 
主机名 与 操作系统

当执行不了systeminfo时,可以使用wmic获取操作系统版本

 
获取杀软
 
当前软件程序
 
账户
 
进程
 
当前登录域
 
远程桌面记录
 
Windows(域
账户
 
 

在这里插入图片描述

Linux
基础信息
 
WMIC命令

wmic和cmd在windows中都存在

wmic 基础命令
获取系统信息相关
 
进程相关
 
计算机相关
 
wmi 相关大全
 
杀软相关
 
查询windows机器版本和服务位数和.net版本
 
查询本机所有盘符
 
卸载和重新安装程序
 

查看某个进程的详细信息 (路径,命令⾏参数等

 
更改PATH环境变量值,新增c:whoami
 
查看某个进程的详细信息-PID
 
终⽌⼀个进程
 
 
安装软件
 
使用Powershell操作wmi
 
横向
指定ip执行cmd命令

需要管理员权限

 
上cs

注意:请注意powershell对于特殊字符的转义,例如“@,#,$等等。

 

在这里插入图片描述

Get-wmi对象

powershell的get-wmi对象,是获取 windows management instrumentation(WMI)类的实例或有关可用信息。

 

https://docs.microsoft.com/zh-cn/powershell/module/Microsoft.PowerShell.Management/Get-WmiObject?view=powershell-5.1

内网横向常见见端口
Port:445

smb(server message block)windows协议族,主要功能:文件打印共享服务

空会话

 

远程本地会话

a为工作组名

 

域远程认证 wpsec.com 为根域

 
Port:137、138、139

NetBios端口,137,138为UDP端口,用于内网传输文件,NetBios/SMB服务的获取主要通过139端口

Port:135

DCOM和RPC(Remote Procedure Call)服务,可以做WMI管理工具远程操作

Port:53

DNS服务端口,可做隧道穿透,隐蔽性更好

  • dns2tcp
  • dnscat2
Port:389

LADP(轻量级目录访问协议,属于TCP/IP协议族,一般在域控上出现该端口,尝试使用爆破该端口进行权限认证

Port:88

Kerberos服务端口,属于TCP/IP协议族,监听KDC请求,利用该协议制作白银/黄金票据

Port:5985

WinRM服务,WinRM允许远程用户使用工具和脚本对windows服务器进行管理

条件: 在 windows vista 上未自启,在2008上自启动 需要开启端口,需要开启防火墙

 
特别提示:本信息由相关用户自行提供,真实性未证实,仅供参考。请谨慎采用,风险自负。

举报收藏 0打赏 0评论 0
 
更多>同类最新资讯
0相关评论

相关文章
最新文章
推荐文章
推荐图文
最新资讯
点击排行
{
网站首页  |  关于我们  |  联系方式  |  使用协议  |  隐私政策  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  网站留言  |  RSS订阅  |  违规举报  |  鄂ICP备2020018471号