主机发现

NMAP

工作原理

TCP是因特网中的传输层协议，使用三次握手协议建立连接。当主动方发出SYN连接请求后，等待对方回答TCP的三次握手TCP的三次握手SYN+ACK[1] ，并最终对对方的 SYN 执行 ACK 确认。这种建立连接的方法可以防止产生错误的连接，TCP使用的流量控制协议是可变大小的滑动窗口协议。TCP三次握手的过程如下：

• 【1】客户端发送SYN（SEQ=x）报文给服务器端，进入SYN_SEND状态。
• 【2】服务器端收到SYN报文，回应一个SYN （SEQ=y）ACK(ACK=x+1)报文，进入SYN_RECV状态。
• 【3】客户端收到服务器端的SYN报文，回应一个ACK(ACK=y+1)报文，进入Established状态。

nmap参数比较多，详情可以查阅官方手册

扫描方式

nmap 支持 通配符，如 192.168.0.* 192.168.0.0/24

nmap 输出选项

Nmap的输出结果可以保存到外部文件中，保存的格式可以是：

交互式输出：这是默认输出，是标准输出，一般是输出到控制台

正常输出（-oN filename）：与交互式输出类似，但是不包括运行信息和警告信息

XML输出（-oX filename）：改格式可以转化成html、能够被nmap用户图形接口解析并支持导入数据库，推荐使用改格式。

Grep输出（-oG filename）：该方式已经过时

由于html文件的可读性比xml更好，所以我们将xml格式转换成html格式。程序xsltproc可以完成这一转换。

nmap高级扫描

nmap脚本扫描 脚本路径在nmap路径下的 scripts 下 linux在也在安装目录下 /usr/share/nmap/scripts/

常用脚本说明

负责处理鉴权证书（绕开鉴权）的脚本,也可以作为检测部分应用弱口令

nmap脚本爆破服务

ftp

mysql

snmp

绕IDS&IPS

nmap优缺点

• 优点： Nmap作为主动式端口扫描工具，只要在对方没有把通信 阻断的情况下，可以在较短的时间内获得结果。
• 缺点： （1）现在带有阻断功能的防火墙越来越多，有些防火墙当检测到端口扫描时，会将端口关闭一定的时间，还有的机器使用了很多filter功能，只对特定的IP地址提供服务，这种情况下，主动式的正确性大打折扣。 （2）主动式只是在一瞬间对端口进行扫描，只有当服务器那个时候使用的服务才有可能被侦测到。 （3）端口扫描是一种广义上的攻击行为，对于末经许可的机器，一般不能施行。

masscan

该工具兼容nmap参数，扫描速度相对nmap稍快一点

nbtscan

nbtscan 多用于扫描内网的windows主机，通过netbios可得出主机名

hping3

hping3 主要用于测试防火墙与网络设备

hping3 的速度非常快

使用hping3进行flood DoS攻击，阻塞网络。

fscan

一键自动化、全方位漏洞扫描的开源工具

1.信息搜集:存活探测(icmp)端口扫描 2.爆破功能:各类服务爆破(ssh、smb等)数据库密码爆破(mysql、mssql、redis、psql等) 3.系统信息、漏洞扫描:获取目标网卡信息高危漏洞扫描(ms17010等) 4.Web探测功能:webtitle探测web指纹识别(常见cms、oa框架等)web漏洞扫描(weblogic、st2等,支持xray的poc)

关联信息收集

针对目标的特征，特性，爱好，各种信息进行分析，拆分，整合，为后面的字典，水抗，鱼叉做准备工作。

邮箱收集

通过说明文档以及网站页面收集，或者网站发表者以及留言板信息处收集账号

通过 teemo，metago，burpusit，awvs，netspker 或者 google 语法收集

搜索相关 QQ 群收集相关企业员工的社交账号

字典生成

常规字典

https://github.com/epony4c/Exploit-Dictionary

根据特征的字典生成

https://github.com/LandGrey/pydictor

比如我根据关联信息收集得到 一个公司的员工号前4位为 1903，这个公司工号共10位，我将使用工具生成一个10位均为1903开头的工号进行口令爆破。

输入你收集到的各种信息，通过微信，qq群，网站，等待手段尽可能多的收集

开源信息情报

Github Hacking

使用搜索页面检索仓库

搜索仓库-文件

日期条件

主体搜索

文件名称

自动化

https://github.com/UnkL4b/GitMiner

Google hacking

https://ght.se7ensec.cn/#

Exploit-DB

搜索windows 提权漏洞

搜索apache 漏洞

开源情报

在线

https://www.beenverified.com/ https://start.me/start/sg/sg https://phonebook.cz/ https://x.threatbook.cn/ https://www.venuseye.com.cn/ https://ti.sangfor.com.cn/analysis-platform https://ti.dbappsecurity.com.cn/ https://ti.360.cn/#/homepage https://ti.nsfocus.com/ https://redqueen.tj-un.com/IntelHome.html https://xz.aliyun.com/tab/18 https://www.threatminer.org/ https://nosec.org/home/index http://121.36.26.171:8080/

搜索引擎

FOFA、钟馗之眼、Shoda、Censys

https://fofa.so/ https://www.zoomeye.org/ https://www.diaosiso.com/

whois 与 备案信息

whois

https://who.is/ https://whois.cloud.tencent.com/ https://whois.aliyun.com/ https://myip.ms/info/whois/42.247.8.131

备案

https://ipwhois.cnnic.net.cn/ https://www.creditchina.gov.cn/ http://www.beian.gov.cn/portal/registerSystemInfo https://beian.miit.gov.cn/#/Integrated/index http://www.gsxt.gov.cn/index.html https://www.tianyancha.com/

真实IP识别 与 指纹识别

判断 CDN 方法

1. 多地ping
2. 通过其它信息判断

判读是否使用了CDN，最简单的方法就是多地ping，可在下面的网站中进行多地ping

http://ping.chinaz.com/ https://ping.aizhan.com/ https://www.ipip.net/ https://www.17ce.com/ https://ipinfo.io/

通过 DNS解析记录判断 CDN

寻找DNS历史记录，找到后修改host文件

https://site.ip138.com/ https://viewdns.info/propagation/?domain= https://www.netcraft.com/apps/ https://www.cdnplanet.com/ https://dnsdb.io/zh-cn/

如果有注册等方法可以发邮件的，通过邮箱的原始信息

SSL 证书查询 与 敏感目录

使用搜索引擎来收集计算机的CT日志

https://crt.sh/ https://transparencyreport.google.com/https/certificateshttps://developers.facebook.com/tools/ct/

敏感目录

子域名爆破

OneForAll

https://github.com/shmilylty/OneForAll

hash碰撞

https://github.com/fofapro/Hosts_scan

二级域名字典生成

Favicon Hash 碰撞查找二级域名

找 favicon

生成hash

https://github.com/Viralmaniar/MurMurHash

ZoomEye

fofa

icon_hash="-1588080585"

DNS域传送

DNS协议支持使用axfr类型的记录进行区域传送，用来解决主从同步的问题。如果管理员在配置DNS服务器的时候没有限制允许获取记录的来源，将会导致DNS域传送漏洞。

测试方法

在线网站 搜索引擎 与 IP 反查

在线

http://tools.bugscaner.com/subdomain/ https://searchdns.netcraft.com/ https://crt.sh/?q=xazlsec.com https://cloud.tencent.com/product/tools?from=10680 https://phpinfo.me/domain http://scan.javasec.cn/

google语法

IP反查

在排除 CDN 的情况可以进行 ip反查域名

Web指纹

Web指纹信息包括，数据库，中间件，CMS等信息

https://www.yunsee.cn/ https://sitereport.netcraft.com/? http://whatweb.bugscaner.com/look/

WAF探测

WAFW00F，Nmap，手工

工具

手工

手工提交恶意数据 返回图片对比

https://mp.weixin.qq.com/s/8F060FU9g_78z57UKS-JsQ

内网信息搜集

Windows（工作组）

当前shell权限

系统信息

包括补丁，网卡，等信息

网络信息

主机名 与 操作系统

当执行不了systeminfo时，可以使用wmic获取操作系统版本

获取杀软

当前软件程序

账户

进程

当前登录域

远程桌面记录

Windows（域）

账户

域

Linux

基础信息

WMIC命令

wmic和cmd在windows中都存在

wmic 基础命令

获取系统信息相关

进程相关

计算机相关

wmi 相关大全

杀软相关

查询windows机器版本和服务位数和.net版本

查询本机所有盘符

卸载和重新安装程序

查看某个进程的详细信息 （路径，命令⾏参数等）

更改PATH环境变量值，新增c:whoami

查看某个进程的详细信息-PID

终⽌⼀个进程

安装软件

使用Powershell操作wmi

横向

指定ip执行cmd命令

需要管理员权限

上cs

注意：请注意powershell对于特殊字符的转义，例如“，@，#，$等等。

Get-wmi对象

powershell的get-wmi对象，是获取 windows management instrumentation（WMI）类的实例或有关可用信息。

https://docs.microsoft.com/zh-cn/powershell/module/Microsoft.PowerShell.Management/Get-WmiObject?view=powershell-5.1

内网横向常见见端口

Port：445

smb（server message block）windows协议族，主要功能：文件打印共享服务

空会话

远程本地会话

a为工作组名

域远程认证 wpsec.com 为根域

Port：137、138、139

NetBios端口，137，138为UDP端口，用于内网传输文件，NetBios/SMB服务的获取主要通过139端口

Port：135

DCOM和RPC（Remote Procedure Call）服务，可以做WMI管理工具远程操作

Port：53

DNS服务端口，可做隧道穿透，隐蔽性更好

• dns2tcp
• dnscat2

Port：389

LADP（轻量级目录访问协议），属于TCP/IP协议族，一般在域控上出现该端口，尝试使用爆破该端口进行权限认证

Port：88

Kerberos服务端口，属于TCP/IP协议族，监听KDC请求，利用该协议制作白银/黄金票据

Port：5985

WinRM服务，WinRM允许远程用户使用工具和脚本对windows服务器进行管理

条件： 在 windows vista 上未自启，在2008上自启动 需要开启端口，需要开启防火墙

    以上就是本篇文章【红队笔记-1（主机发现，情报收集，内网信息收集）】的全部内容了，欢迎阅览 ！ 文章地址：http://yy520w.xhstdz.com/news/3268.html 
     资讯      企业新闻      行情      企业黄页      同类资讯      首页      网站地图      返回首页 物流园资讯移动站 http://gzhdwind.xhstdz.com/ , 查看更多