第2章信息技术收集
通过各种方法获取所需要的信息,也称踩点。
包括:利用搜索引擎收集信息
子域名信息收集
端口扫描和指纹识别
社会工程学
2.1利用搜索引擎收集信息
- 合理地提取搜索的关键字
- 特殊语法
搜索引擎的常用语法
- intitle:后台登录
若查询网页标题中一个以上的关键字。用allintitle代替intitle
- inurl:输入inurl:关键字
语法含义:搜索URL地址中包含特定关键字的网页。
如果包含多个url用allinurl代替inurl
- stie:在指定站点搜索
例如:联系方式 site: sohu.com
- filetype:搜索指定类型的文件,如doc、pdf、xls、ppt等文件类型。
例如filetype: pdf 网络安全
组合使用:site:edu.cn filetype:pdf 网络安全
- intext:搜索正文中出现的指定关键字页面。
- cache:指定在搜索引擎中的缓存搜索
- link:返回所有链接到某个URL地址的页面
link:www.qq.com
shodan搜索 Shodan Search Engine
- webcam:展示所有摄像头
- Cisco:所有思科设备
- port:port:3389 开放了3389端口的网络设备。
- hostname:hostname:"sohu.com"所有和该名称相关的终端信息
- telent:搜索出安装telent服务的终端信息。
钟馗之眼:lwww.zoomeye.org/
fofa: fofa.info/
相关图书:
2.2 利用域名收集信息
为什么要进行子域名信息收集?
一个站点无法进行直接渗透无法突破时,可以对同服务器的其他站点进行渗透,只要能打破一个缺口,就能攻陷服务器上的整个站点,甚至一个集群。
收集途径:
搜索引擎
site:baidu.com 搜索百度主域名下的子域名
集成工具
搜索引擎抓取子域名,会出现重复结果和爬虫未抓取遗漏结果。
subDomainsbrute工具:
工具下载地址: github.com/lijiejie/su…
引用网络资料:
developer.baidu.com/article/det…
cloud.tencent.com/developer/a…
layer子域名挖掘机
图形化界面,有域名、解析IP、web服务器和网站状态。他的优点是暴力破解效果和效率较好且支持导出。
外部资料:信息收集之子域名收集技巧总结 - FreeBuf网络安全行业门户
子域名收集神器:Layer 保姆级教程(附链接)_layer子域名挖掘机-CSDN博客
在线查询
信息收集之子域名收集技巧总结 - FreeBuf网络安全行业门户
2.如何进一步使用子域名?
- 可以访问域名直接获取title;
- 可以在域名后面添加端口访问获取title;
- 可以访问域名为nginx、apache、ISS、weblogic默认页面,或403、404等页面,尝试利用Google、必应、github、fofa、shodan等获取资源;
- 直接对域名进行暴力递归扫描目录,如使用dirsearch、dirmap等工具;
- 可以对目录进行fuzz扫描,或者利用burp的intruder模块来爆破目录,该目录通过组合字母进行爆破,扫描域名的子目录。
2.3端口扫描和指纹识别技术
端口:
定义:一个端口主机的通信通道,也是一个潜在入侵通道。
比喻:房子比作服务器,端口比作服务器的门。不考虑细节。
端口扫描
定义:逐个对一段端口或指定的端口进行扫描
通过扫描结果可以知道一台计算机上都提供哪服务务,然后就可以通过所提供的这些服务的已知漏洞就可以进行攻击。
端口扫描原理:
1.当一个主机向远端一个服务器的某一个服务器提出建立一个连接请求,如果对方有此项服务,就会应答。
2.如果对方未安装此项服务,即使你向相应端口发出请求对方仍无应答。
3.如果对所有熟知的端口或者自己选定的某个范围内的熟知端口分别建立连接,并记录下远端服务器所给予的应答,通过查看记录就可以知道目标服务器上安装了哪些服务。
端口扫描技术划分:
TCP connect [] 扫描
TCP connect []扫描也称全扫描,是最基本的TCP扫描。
操作系统提供的connect []系统调用,用来与每一个感兴趣的目标计算机的端口进行连接。
如果端口处于侦听状态,那么connect []就能成功。
最大优点:不需要任何权限,系统中的任何用户都有权力使用这个调用。
TCP SYN扫描
半开放扫描:扫描程序不必要打开一个完全的TCP连接。
过程:
扫描程序发送一个SYN数据包,好像准备打开一个实际连接并等待反应一样。
SYN|ACK的返回信息表示端口处于侦听状态。一个RST返回信息,表示端口没有处于侦听状态。
如果收到一个SYN|ACK,则扫描程序必须再发送一个RST信号,来关闭这个连接过程。
优点:一般不会再目标计算机上留下记录。
缺点:必须要有root权限才能建立自己的SYN数据包。
TCP FIN 扫描
一些防火墙和包过滤器会对一些指定的端口进行监视有的程序能检测到这些扫描。
相反,FIN数据包可能会没有任何麻烦的通过。这种扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包。另一方面,打开的端口会忽略对FIN数据包的回复。
TCP 反向ident扫描
ident协议可以看到通过TCP连接的任何进程拥有者的用户名,即使这个连接不是由这个进程开始的。
因此你能连接到HTTP端口,然后用ident来发现服务器是否正在以root权限运行。
端口扫描的方法:
手工扫描
- 熟悉各种命令,对命令执行后的结果进行分析。
端口扫描软件
- 扫描软件扫描时,许多扫描器软件都有分析数据的功能。
常见扫描器
Nmap
Nmap是“Network Mapper”的缩写,它是一款非常知名的免赛开源工具。主要用于网络发现和安全审计。
Nmap允许系统管理员或个人查看一个网络系统有哪些主机正在运行以
及提供何种服务 。
同时还提供一些高级功能,如通过TCP/IP协议栈特征来鉴别操作系统
类型、秘密扫描等。
Nmap功能
- 主机发现,实现探测存活主机;
- 端口扫描,实现探测开放端口及端口的服务;
- 版本侦测,实现探测服务的版本;
- 操作系统检测,实现检测目标的操作系统类型;
- 漏洞扫描,可以配合一些特定漏洞扫描脚本进行漏扫;
官方网站:nmap.org/download
Nmap相关图书:
X-Scan
X-Scan是国内最者名的综合扫描器之一,它完全免费 ,是不需要安装的绿色软件、界面支持中文和英文两种语言、包括国形界面和命令行方式。
CSDN:使用X-Scan扫描器扫描目标电脑漏洞
扫描内容包括:
远程服务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。
superscan
原理:
通过ping来检验IP是否在线,IP和域名相互转换;检验目标计算机提供的服务类别。检验一定范围目标计算机的是否在线和端口情况;工具自定义列表,自定义要检验的端口,并可以保存为端口列表文件。
操作系统指纹识别技术
由来:
协议栈指纹识别是一项强大的技术,能够以很高的概率迅速确定操作系统的版本。这些解释因具有独一无二的特性,故被称为“指纹”。
不同操作系统协议栈的差异
这些差异可作为协议栈指纹识别的依据。比如ACK序号,TOS,ICMP地址屏蔽请求,对FIN包的响应,MSS等。
应用:
- 首先总结各种操作系统网络协议栈的上述细微差异,形成一个指纹数据库。
- 然后以操作系统指纹数据库为参考,对收集的信息进行分析,从而得出目标系统运行何种OS的结论。
2.4 社会工程学攻击
由来:
社会工程学(social Engineering)本来是1905年德国社会学家提出的社会学领域学术名词。
在安全领域被广泛使用主要来源于著名黑客凯文米特尼克的一本书:《欺骗的艺术》。
相对于软件硬件的漏洞,网络协议的缺陷,安全策略的弱点,人为因素也就是“人性的弱点”往往才是安全的软肋,而针对人性漏洞发起的攻击就是“社会工程学”攻击,
第一个层次:社会工程学的信息收集
一、“社工”:指利用各种公开网络信息进行信息收集。
案例:《我是如何推理出王珞丹住址的》
【转】我是如何推理出王珞丹住址的【波洛吧】_百度贴吧 (baidu.com)
(百度贴吧这个案例有照片,更能说明分析过程)
比如:
通过邮箱、电话去社工某个人,通过一个图片去社工某个住址。
黑客还有社工库,将大量个人信息整理成起来,方便进一步社工。
第二个层次: 真正的攻击阶段
APT攻击是使用社会工程学攻击最为广泛的领域,APT攻击中的震网病毒的水坑攻击。
水坑攻击:
NSA无法黑进物理隔绝的伊朗核设施工作站网络,就把携带载荷的病毒在伊朗的热门网站上传播,粗心工程师一机两用。最终到导致震网病毒渗透内网。
鱼叉式攻击:
疫情期间,各国政府期间收到疫情预防通知,疫情指挥部令。目标点击激活邮件中的木马。
Kali社会工程学攻击套件:SET工具包使用
第三层次:电信网络诈骗
每种危害巨大的电诈手法,都是一种巧妙且有效的社会工程学攻击,而话术和控制就是攻击的核心载荷,而且他们都在进行着社会工程学的升级。
鱼叉式钓鱼邮件进化成了鱼叉式钓鱼短信,短链接让受害者更难发现端倪,各类虚假仿冒APP和真的一模一样:
