首页 > 其他分享 >第15天:信息打点—主机架构&蜜罐识别&WAF识别&&端口扫描&协议识别&服务安全

第15天:信息打点—主机架构&蜜罐识别&WAF识别&&端口扫描&协议识别&服务安全

时间:2024-08-06 22:53:48浏览次数:16  
标签:web 蜜罐 端口扫描 端口 识别 com

时间轴

主要内容

1 、端口扫描 - 应用 & 协议 2 、 WAF 识别 - 分类 & 识别 3 、蜜罐识别 - 分类 & 识别 解决: 1 、 Web 服务器 & 应用服务器差异性 2 、 WAF 防火墙 & 安全防护 & 识别技术 3 、蜜罐平台 & 安全防护 & 识别技术

端口服务及渗透

蜜罐Quake系统搜索语法

蜜罐识别

演示案例

识别-Web 服务器-请求返回包 识别-应用服务器-端口扫描技术 识别-其他服务协议-端口扫描技术 识别-WAF 防火墙-看图&项目&指纹

识别-蜜罐平台-人工&网络空间&项目

识别服务器

web服务器

以xiaodi8.com为例子,f12刷新后在回显的请求返回包中可以看到服务器类型

应用服务器

显著特点:端口服务的开发。

eg:安装Apache(web服务器)默认解析80端口,而安装了应用服务器后会自动启动一个端口。

WEB服务器与应用服务器的区别

1.Web服务器默认开启80端口,而应用服务器通常开启一些新端口如701,5566等等

2.应用服务器更适用于java。

3.Web服务器可以通过网页控制台network,server查看出来,而应用服务器看不到。

4.对于应用服务器可以用端口扫描的技术来识别。

端口扫描技术

识别技术:端口扫描(常见应用服务器端口见上面端口服务及渗透)

利用工具:Nmap、Masscan、网络空间

开放状态:Open、Close、Filtered(如防火墙等过滤,有可能开也有可能不开)

意义:

1、web中间件探针

2、应用中间件探针

3、数据库类型探针

4、其他服务协议探针

nmap演示(速度慢)

namp下载:

Download the Free Nmap Security Scanner for Linux/Mac/Windows

https://github.com/robertdavidgraham/massca

nmap使用参考:

https://blog.csdn.net/qq_53079406/article/details/125263917

使用总结:

nmap选择Quick scan plus(快速扫描),Intense scan,all Tcp ports(全端口扫描)

控制台没写全的,扫描可能写的比较全。

masscan演示(速度快)

使用参考:

masscan:https://blog.csdn.net/qq_53079406/article/details/125266331

编译 masscan: https://www.cnblogs.com/lzy575566/p/15513726.html 使用总结: Masscan -p端口 Ip(指定端口) masscan.exe -pl -65535 Ip (全部端口) 代码
masscan.exe -p8080,80,443,3306 47.96.88.47

网络空间演示

fofa.cn里搜IP,里面有一个IP聚合。

搜索语句:ip="47.96.88.47",点击IP聚合可以看到更多信息

由于网络空间是对IP信息进行爬取,因此可能部分IP信息搜索不到,而且搜索出的端口也不一定全都开放,但是网络空间更快速、更直观。

考虑: 1、防火墙 2、内网环境 内网环境可能出现情况:明明数据库端口开的,网站也能正常打开,但是你对目标进行端 口扫描,发现数据库端口没有开放(排除防火墙问题) 内网将ip反代理到外网,攻击者攻击外网,影响不到内网。

端口扫描意义:

-Web中间件探测     -数据库类型探针 -应用件探针            -其他服务协议探针

WAF识别

waf解释

Web 应用防护系统(也称为:网站应用级入侵防御系统。英文: Web Application Firewall ,简称: WAF )。利用国际上公认的一种说法: Web 应用防火墙是通过执行一系 列针对 HTTP/HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品。

waf分类

云waf(一般是中大型企业使用): 百度安全宝、阿里云盾、长亭雷池,华为云,亚马逊云等 硬件waf(一般为学校、政要等场所使用): 绿盟、安恒、深信服、知道创宇等公司商业产品 软件waf(一般是个人or中小型企业使用): 宝塔,安全狗、 D 盾等 代码级waf: 自己写的 waf 规则,防止出现注入等,一般是在代码里面写死的

识别看图(人工)

拦截页面,identywaf 项目内置

拦截页面演示:

江门饭堂承包|饭堂承包|江门食堂承包|江门合旺官网 (jmhewang.com)为例

在网址后面输入 and 1=1。

identywaf 项目内置举例

国内外常见waf图片:

识别项目(工具)

wafw00f
https://github.com/EnableSecurity/wafw00f 安装及使用 安装指令:
python setup.py install

使用指令:(cd wafw00f)

python main.py url
案例一

以上述的jmhewang.com为例子,识别出来发现是safedog waf

案例二

223.111.128.103:9808

python main.py -l可以查看该工具能够识别出来的对象(下面还有蛮多的,一张图放不下啦~

python main.py -l

identywaf

https://github.com/stamparm/identYwaf

使用指令:

python identYwaf.py url
案例一
下面就还是用jmhewang.com那个例子
案例二

智联云NGX-WAF防护 (zhaopin.com)

网络空间

除此之外,还可以使用网络空间IP聚合对waf进行识别。

蜜罐识别

蜜罐解释

蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。

蜜罐分类

根据蜜罐与攻击者之间进行的交互程度分类:低交互蜜罐、中交互蜜罐、高交互蜜罐

根据蜜罐模拟的目标分类:数据库蜜罐、工控蜜罐、物联网蜜罐、web蜜罐等

蜜罐产品

见上面蜜罐Quake系统搜索语法板块

识别原理

谁是鱼谁是饵?红队视角下蜜罐识别方式汇总 (qq.com)

识别技术
1.测试

大概了解组成功能等

反制溯源_欺骗防御_主动防御-HFish免费蜜罐平台

部署演示(以linux为例)

以root权限运行以下命令,确保配置防火墙开启TCP/4433、TCP/4434

firewall-cmd --add-port=4433/tcp --permanent   #(用于web界面启动)
firewall-cmd --add-port=4434/tcp --permanent   #(用于节点与管理端通信)
firewall-cmd --reload

以root权限运行以下一键部署命令

bash <(curl -sS -L https://hfish.net/webinstall.sh)

部署成功后,会默认开启4433端口,用浏览器访问https://ip:4433/web/

账号:admin

密码:HFish2021

这里选择第一个就行

在环境管理—>节点管理可以自行选择要开放or不开放的端口

访问这个url的8080端口,会发现已经替换成了海康摄像头蜜罐

尝试输入用户名和密码

在威胁实体—>账号来源处可以看到攻击内容

大屏处可以看到有谁正在访问

2.项目

项目识别

heimdallr

GitHub - Ghr07h/Heimdallr: 一款完全被动监听的谷歌插件,用于高危指纹识别、蜜罐特征告警和拦截、机器特征对抗

在浏览器中打开开发者模式,安装插件即可使用

启用插件后,发现指纹嗅探or蜜罐告警有提示,基本可以判定有蜜罐(这个插件主要是方便,但是误报率高,很鸡肋)

360quake

GitHub - 360quake/quake_rs: Quake Command-Line Application 首次使用需要配置以下信息:
quake.exe init apikey值
使用命令:
quake.exe honeypot 目标

如果是正常网站,则会有如下提示

但是好像也不是很准确的样子

3.人工分析

端口多而有规律性(4433玩过就知道啦~)

web访问协议就下载(转发跳转下载)

账号密码会采用web jsonp去传输(web功能)

转发 跳转 jsonp去传输

当你去web http去访问这个端口 采用协议去下载

当访问NAS-JUNCHEN会触发下载。

设备指纹分析

4.网络空间

鹰图、Quake对ip进行查询有可能爆出蜜罐。

以上内容由番薯小羊卷~和李豆豆喵共同完成。

标签:web,蜜罐,端口扫描,端口,识别,com
From: https://blog.csdn.net/m0_72870364/article/details/140898287

相关文章

  • 文献综述如何有助于识别研究中的关键变量和概念
    VersaBot文献综述助手进行良好的文献综述对于从多个方面确定研究的关键变量和概念起着至关重要的作用;1.揭示相关领域和理论: 通过沉浸在现有的学术研究中,你会遇到围绕你的主题的各种理论和概念。这些可以作为识别与您的研究问题相关的潜在变量的起点。2.识别关系和相互作......
  • 基于K210智能人脸识别+车牌识别系统(完整工程资料源码)
    运行效果:基于K210的智能人脸与车牌识别系统工程目录:运行效果:目录:前言:一、国内外研究现状与发展趋势二、相关技术基础2.1人脸识别技术2.2车牌识别技术三、智能小区门禁系统设计3.1系统设计方案3.2系统设计目标3.3智能小区门禁系统硬件设计3.3.1控制模块......
  • 【验证码逆向专栏】某安登录流程详解与验证码逆向分析与识别
    声明本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作......
  • 使用pytorch实现数字识别器
    前言:本篇文章是关于数字识别器的识别和卷积神经网络的应用。若对卷积神经网络不熟悉,可参考文章:卷积神经网络关于深度学习的一些代码及实战,可参考深度学习基础(github)下面我们尝试用PyTorch搭建一个卷积神经网络,并用它来解决手写数字识别的问题。1、数据准备#torchvisio......
  • <数据集>战斗机识别数据集<目标检测>
    数据集格式:VOC+YOLO格式图片数量:7903张标注数量(xml文件个数):7903标注数量(txt文件个数):7903标注类别数:43标注类别名称:['F16','Mig31','F35','F18','SR71','A10','A400M','AG600','J20','F4......
  • 如何识别和避免魔鬼数字在代码中的不良影响
    如何识别和避免魔鬼数字在代码中的不良影响大家好,我是微赚淘客返利系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!今天我们来聊聊编程中的一个常见问题——魔鬼数字(MagicNumbers)。魔鬼数字是指那些在代码中直接使用的数值常量,它们没有任何解释或说明,导致代码的可读性和维护......
  • python项目学习 mediapipe手势识别 opencv可视化显示
    importcv2importmediapipeimportnumpydefget_angle(vector1,vector2):#角度计算angle=numpy.dot(vector1,vector2)/(numpy.sqrt(numpy.sum(vector1*vector1))*numpy.sqrt(numpy.sum(vector2*vector2)))#cos(angle)=向量的点乘/向量的模angle=nump......
  • 中文手写体识别(ocr)测试
    记录一下,以下是测试中文手写体识别结果图展示(对于潦草的字迹效果一般),后期会开放模型,有java和python版本:......
  • 深度学习与图像识别(误差反向传播)
    误差反向传播法一 一个高效计算权重以及偏置量的梯度方法ReLU反向传播实现classRelu:def_init_(self):self.x=Nonedefforward(self,x):self.x=np.maximum(0,x)out=self.xreturnoutdefbackward(self,dout):dx=doutdx[self.x<=......
  • HanLP和BERT-BiLSTM-CRF在命名实体识别上的区别
    HanLP和BERT-BiLSTM-CRF在命名实体识别(NamedEntityRecognition,NER)方面的主要区别体现在模型架构、特征提取能力、训练方式以及应用场景的适应性上。1.模型架构HanLP:HanLP是一个开源的自然语言处理工具包,它提供了包括命名实体识别在内的多种中文文本处理功能。HanLP内部......