业务资产查询
业务资产查询
查询平台
棱角社区:https://forum.ywhack.com/index.php/
查询内容
子域名、资产、WEB应用、APP应用、PC端应用、小程序应用、微信公众号、其他产品等
Web应用
架构分类
程序语言、框架源码、搭建平台、数据库、操作系统
技术-指纹识别平台
1、指纹识别
| 类型 | 名称 | 地址 |
|---|---|---|
| 指纹识别 | 在线cms指纹识别 | http://whatweb.bugscaner.com/look/ |
| 指纹识别 | Wappalyzer | https://github.com/AliasIO/wappalyzer |
| 指纹识别 | TideFinger潮汐 | http://finger.tidesec.net/ |
| 指纹识别 | 云悉指纹 | https://www.yunsee.cn/ |
| 指纹识别 | WhatWeb | https://github.com/urbanadventurer/WhatWeb |
| 指纹识别 | 数字观星Finger-P | https://fp.shuziguanxing.com/#/ |
2、内网
cmsseek cmsmap
域名
单域名
1、备案信息
| 类型 | 名称 | 地址 |
|---|---|---|
| 备案信息 | 备案信息查询 | http://www.beianx.cn/ |
| 备案信息 | 备案管理系统 | https://beian.miit.gov.cn/ |
2、企业产权
| 类型 | 名称 | 地址 |
|---|---|---|
| 企业信息 | 天眼查 | https://www.tianyancha.com/ |
| 企业信息 | 小蓝本 | https://www.xiaolanben.com/ |
| 企业信息 | 爱企查 | https://aiqicha.baidu.com/ |
| 企业信息 | 企查查 | https://www.qcc.com/ |
| 企业信息 | 国外企查 | https://opencorporates.com/ |
| 企业信息 | 启信宝 | https://www.qixin.com/ |
| 公众号信息 | 搜狗微信搜索 | https://weixin.sogou.com/ |
3、注册域名
| 类型 | 名称 | 地址 |
|---|---|---|
| 注册域名 | 域名注册查询 | https://buy.cloud.tencent.com/domain |
4、反查解析
| 类型 | 名称 | 地址 |
|---|---|---|
| IP反查 | IP反查域名 | https://x.threatbook.cn/ |
| IP反查 | IP反查域名 | http://dns.bugscaner.com/ |
子域名
1、DNS数据
| 类型 | 名称 | 地址 |
|---|---|---|
| DNS数据 | dnsdumpster | https://dnsdumpster.com/ |
2、证书查询
| 类型 | 名称 | 地址 |
|---|---|---|
| 证书查询 | CertificateSearch | https://crt.sh/ |
3、网络空间
| 类型 | 名称 | 地址 |
|---|---|---|
| 网络空间 | FOFA | https://fofa.info/ |
| 网络空间 | 全球鹰 | http://hunter.qianxin.com/ |
| 网络空间 | 360 | https://quake.360.cn/quake/ |
| 网络空间 | 钟馗之眼 | https://www.zoomeye.org/ |
| 网络空间 | 零零信安 | https://0.zone/ |
| 网络空间 | Shodan | https://www.shodan.io/ |
| 网络空间 | Censys | https://censys.io/ |
| 网络空间 | ONYPHE | https://www.onyphe.io/ |
| 网络空间 | FullHunt | https://fullhunt.io/ |
| 网络空间 | Soall Search Engine | https://soall.org/ |
| 网络空间 | Netlas | https://app.netlas.io/responses/ |
| 网络空间 | Leakix | https://leakix.net/ |
| 网络空间 | DorkSearch | https://dorksearch.com/ |
4、威胁情报
| 类型 | 名称 | 地址 |
|---|---|---|
| 威胁情报 | 微步在线 情报社区 | https://x.threatbook.cn/ |
| 威胁情报 | 奇安信 威胁情报中心 | https://ti.qianxin.com/ |
| 威胁情报 | 360 威胁情报中心 | https://ti.360.cn/#/homepage |
| 威胁情报 | VirusTotal在线查杀平台 | https://www.virustotal.com/gui/ |
| 威胁情报 | VenusEye 威胁情报中心 | https://www.venuseye.com.cn/ |
| 威胁情报 | 绿盟科技 威胁情报云 | https://ti.nsfocus.com/ |
| 威胁情报 | IBM 情报中心 | https://exchange.xforce.ibmcloud.com/ |
| 威胁情报 | 天际友盟安全智能平台 | https://redqueen.tj-un.com |
| 威胁情报 | 华为安全中心平台 | https://isecurity.huawei.com/sec |
| 威胁情报 | 安恒威胁情报中心 | https://ti.dbappsecurity.com.cn/ |
| 威胁情报 | AlienVault | https://otx.alienvault.com/ |
| 威胁情报 | 深信服 | https://sec.sangfor.com.cn/ |
| 威胁情报 | 丁爸情报分析师的工具箱 | http://dingba.top/ |
| 威胁情报 | 听风者情报源 start.me | https://start.me/p/X20Apn |
| 威胁情报 | GreyNoise Visualizer | https://viz.greynoise.io/ |
| 威胁情报 | URLhaus 数据库 | https://urlhaus.abuse.ch/browse/ |
| 威胁情报 | Pithus | https://beta.pithus.org/ |
5、枚举解析(跑字典)
| 类型 | 名称 | 地址 |
|---|---|---|
| 枚举解析 | 在线子域名查询 | http://tools.bugscaner.com/subdomain/ |
| 枚举解析 | DNSGrep子域名查询 | https://www.dnsgrep.cn/subdomain |
| 枚举解析 | 工具强大的子域名收集器 | https://github.com/shmilylty/OneForAll |
工具扫描
oneforall使用(注:默认生成的结果在工具目录的result文件夹内)
源码获取
开源
利用指纹识别找到CMS
官方下载源码
闭源
配置不当导致泄露
可以从以下几个方面入手:
源码本身的特性、管理员不好的习惯、管理员不好的配置、管理员不好的意识、管理员资源信息搜集。
泄露方式
1、git
原理:Git是一个开源的分布式版本控制系统,在执行 git init 初始化目录的时候,会在当前目录下自动创建一个 .git 目录,用来记录代码的变更记录等。发布代码的时候,如果没有把 .git 这个目录删除,就直接发布到了服务器上,那么在github上将会显示 .idea 文件,其中会有代码文件所在路径等信息,攻击者就可以通过它来恢复源代码。
漏洞利用工具:githack
用法示例:GitHack.py
2、svn
原理:SVN是一个开放源代码的版本控制系统。在使用SVN管理本地代码过程中,会自动生成一个名为 .svn 的隐藏文件夹,其中包含重要的源代码信息。
网站管理员在发布代码时,没有使用"导出"功能,而是直接复制代码文件夹到Web服务器上,这就使.svn隐藏文件夹被暴露于外网环境,可以利用 .svn/entries 文件,获取到服务器源码。
漏洞利用工具:svnHack
漏洞利用方法:直接在url后面添加:.svn 如果有显示那么就进行后面的步骤,没有那么就没有这个漏洞
3、ds_store
原理:.Ds_Store是Mac下Finder用来保存如何展示文件/文件夹的数据文件,每个文件夹下对应一个。如果将.DS_Store上传部署到服务器,可能造成文件目录结构泄漏,特别是备份文件、源代码文件。
漏洞利用工具:ds_store_exp
4、网站备份
由于管理员的不良习惯,直接将代码备份到了当前目录下,保存成了压缩包,那么直接通过扫描目录进行下载
5、composer
使用 Composer(PHP 的依赖管理工具)时,如果配置或操作不当,可能会导致源码泄露风险。这些风险主要与项目文件的组织方式、服务器配置以及敏感信息的处理有关。以下是常见的 Composer 源码泄露风险及其解决方案:
1. vendor 目录被暴露
-
风险:
- Composer 会将依赖包下载到项目根目录下的
vendor目录。该目录可能包含大量第三方库的源码文件,以及一些敏感信息(如 API 密钥、配置文件等)。 - 如果 Web 服务器配置不当,
vendor目录可以通过 URL 直接访问,导致信息泄露。
- Composer 会将依赖包下载到项目根目录下的
-
解决方案:
-
配置 Web 服务器屏蔽对 vendor 目录的访问。
-
Apache
示例:
<Directory "/path/to/project/vendor"> Require all denied </Directory> -
Nginx
示例:
location /vendor { deny all; }
-
-
将
vendor目录移到项目根目录之外(如果服务器架构允许)。
-
2. composer.json 和 composer.lock 文件泄露
-
风险:
- composer.json 和 composer.lock 文件中可能包含敏感信息,例如:
- 自动加载路径配置。
- 开发环境中的调试工具或测试依赖。
- 第三方库版本信息,可能被攻击者用来分析已知漏洞。
- composer.json 和 composer.lock 文件中可能包含敏感信息,例如:
-
解决方案:
-
确保 Web 服务器屏蔽对 composer.json 和 composer.lock 文件的直接访问。
-
Apache/Nginx:
location ~* /(composer\.json|composer\.lock)$ { deny all; }
-
-
不在生产环境中包含与开发相关的依赖项(使用
--no-dev安装)。
-
3. .env 文件泄露
-
风险:
- 在许多项目中,
.env文件用于存储环境变量(如数据库密码、API 密钥等)。如果将.env文件添加到 Composer 自动加载路径,可能会被意外暴露。
- 在许多项目中,
-
解决方案:
-
在
.gitignore中添加.env,避免其被上传到代码仓库。 -
配置服务器屏蔽对
.env文件的访问。location ~ /\.env { deny all; }
-
4. 自动加载文件泄露
- 风险:
- Composer 生成的
autoload.php文件中包含路径和命名空间映射信息。如果该文件暴露,攻击者可能通过路径推测获得源码文件。
- Composer 生成的
- 解决方案:
- 确保
autoload.php文件及其依赖文件不可通过 URL 直接访问。
- 确保
5. 安装或更新脚本中的命令执行风险
- 风险:
- Composer 支持在
scripts中定义安装或更新后执行的自定义命令。如果这些脚本包含敏感操作或命令注入漏洞,可能被利用。
- Composer 支持在
- 解决方案:
- 严格审核
composer.json中的scripts部分,避免执行高风险命令。 - 不要信任未经验证的第三方库,防止供应链攻击。
- 严格审核
码云资源搜索
平台
github、gitee、oschina
信息收集
QQ号、邮箱地址、作者名、注释关键信息、社工库
特征关键文件
要找的是有特征的文件名,而不是像login这种常见的
-
JS文件名
-
脚本文件名
-
注:找的时候要找有后缀的那种,不然可能是调用的其他什么网页的API
行业
黑产行业、互站网、各类的站点(引擎查找的)
JS框架
知识点
JS渗透概念
在Javascript中也存在变量和函数,当存在可控变量及函数调用,即:参数漏洞。
JS开发的WEB应用和PHP,JAVA,NET等区别在于没有源代码,也可以通过浏览器的 查看源代码 获取,从而获取URL,获取JS敏感信息,获取代码传参等;
所以相当于JS开发的WEB应用属于白盒测试(默认有源码参考),一般会在JS中寻找更多的URL地址,在JS代码逻辑(加密算法,APIkey配置,验证逻辑等)进行后期安全测试。
前后端开发差异
-
后端语言:PHP Java python .NET 浏览器端看不到真实的源代码,只看得到页面渲染和对数据进行传输的前端设计代码
-
前端语言:JavaScript(JS)和 JS框架 浏览器端看得到真实的源代码。
例:
zblog:核心功能采用PHP语言传输接收
vue.js:核心功能采用框架语法(JS)传输接收数据
如何识别JS开发应用
-
浏览器插件wappalyzer
-
源程序代码简短
-
引入多个JS文件
-
一般有/static/JS/app.js等顺序的js文件
-
一般cookie中有connect.sid
JS开发框架
- Vue Node JS jQuery Angular等
相关安全问题
-
源码泄露
-
未授权访问=JS里面分析更多的URL访问确定接口路径
-
敏感key泄露=JS文件中可能配置了接口信息(云应用、短信、邮件、数据库等)
-
API接口安全=代码中加密提交参数传递,更多的URL路径
测试方法(获取更多JS文件)
人工(手工&进行浏览器全局搜索分析)
审查元素筛选JS文件,对特征文件内容等进行分析
全局搜索关键字
-
src=
-
path=
-
method:"get"
-
http.get("
-
method:"post"
-
http.post("
-
$.ajax
优缺点:麻烦,耗时长;但精准
Burpsuite(半自动)
自带功能
-
target->sitemap->engagement
-
tools->find scripts
官方插件
-
JS Miner
-
JS Link Finder
第三方插件
HaE:基于BurpSuite插件JavaAPI开发的请求高亮标记与信息提取的辅助型插件。该插件可以通过自定义正则的方式匹配响应报文或请求报文,可以自行决定符合该自定义正则匹配的相应请求是否需要高亮标记、信息提取[1] [2]
Unexpected_information:用来标记请求包中的一些敏感信息、JS接口和一些特殊字段,防止我们疏忽了一些数据包,使用它可能会有意外的收获信息。
插件加速器:jython-standalone-2.7.2
优缺点:时间适中,进准度相对较低
工具项目(自动化)
从JS中提取信息
-
Jsfinder:一款用作快速在网站的js文件中提取URL,子域名,敏感信息的工具。
-
URLFinder:一款用作快速在网站的js文件中提取URL,子域名,敏感信息的工具。
-
JSINFO-SCAN:递归爬取域名(netloc/domain),以及递归从JS中获取信息的工具。
-
FindSomething:用于快速在网页的html源码或js代码中提取一些有趣的信息的浏览器插件,包括请求的资源、接口的url,请求的ip和域名,泄漏的证件号、手机号、邮箱等信息。
FUZZ爆破更多JS
-
ffuf-FUUZZ:功能强大的模糊化工具,用它来FUZZ模糊化js文件。
JS打包器Webpack
Packer-Fuzzer:一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具。
- 使用方法:
PackerFuzzer.py -u url
优缺点:时间短,速度快,但准确度低
设备平台
服务器相关信息
| 类别 | 包含产品 |
|---|---|
| Web服务器 | Apache、Nginx、IIS、lighttpd |
| 应用服务器 | Tomcat、Jboss、Weblogic、Websphere |
| 数据库类型 | Mysql、SqlServer、Oracle、Redis、MongoDB |
| 操作系统信息 | Linux、Windows |
| 应用服务信息 | FTP、SSH、RDP、SMB、SMTP、LDAP、Rsync |
| CDN信息 | 帝联、Cloudflare、网宿、七牛云、阿里云 |
| WAF信息 | 创宇盾、宝塔、ModSecurity、玄武盾、OpenRASP |
端口
使用不同的服务器回打开不同的端口
防火墙保护
端口扫描:通过工具自动化扫描端口,得知不同端口开放的服务,如:nmap、masscan
开放状态:open(开放)、close(关闭)、filtered(过滤,注:表示可能开放或关闭,若为开放那么存在防火墙条件过滤,例:白名单)
常见端口对应服务及利用
| 端口 | 服务 | 渗透用途 |
|---|---|---|
| tcp 20,21 | FTP | 允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4) |
| tcp 22 | SSH | 可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等 |
| tcp 23 | Telnet | 爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令 |
| tcp 25 | SMTP | 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑 |
| tcp/udp 53 | DNS | 允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控 |
| tcp/udp 69 | TFTP | 尝试下载目标及其的各类重要配置文件 |
| tcp 80-89,443,8440-8450,8080-8089 | 各种常用的Web服务端口 | 可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等…… |
| tcp 110 | POP3 | 可尝试爆破,嗅探 |
| tcp 111,2049 | NFS | 权限配置不当 |
| tcp 137,139,445 | Samba | 可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等…… |
| tcp 143 | IMAP | 可尝试爆破 |
| udp 161 | SNMP | 爆破默认团队字符串,搜集目标内网信息 |
| tcp 389 | LDAP | ldap注入,允许匿名访问,弱口令 |
| tcp 512,513,514 | Linux rexec | 可爆破,rlogin登陆 |
| tcp 873 | Rsync | 匿名访问,文件上传 |
| tcp 1194 | OpenVPN | 想办法钓VPN账号,进内网 |
| tcp 1352 | Lotus | 弱口令,信息泄漏,爆破 |
| tcp 1433 | SQL Server | 注入,提权,sa弱口令,爆破 |
| tcp 1521 | Oracle | tns爆破,注入,弹shell… |
| tcp 1500 | ISPmanager | 弱口令 |
| tcp 1723 | PPTP | 爆破,想办法钓VPN账号,进内网 |
| tcp 2082,2083 | cPanel | 弱口令 |
| tcp 2181 | ZooKeeper | 未授权访问 |
| tcp 2601,2604 | Zebra | 默认密码zerbra |
| tcp 3128 | Squid | 弱口令 |
| tcp 3312,3311 | kangle | 弱口令 |
| tcp 3306 | MySQL | 注入,提权,爆破 |
| tcp 3389 | Windows rdp | shift后门[需要03以下的系统],爆破,ms12-020 |
| tcp 3690 | SVN | svn泄露,未授权访问 |
| tcp 4848 | GlassFish | 弱口令 |
| tcp 5000 | Sybase/DB2 | 爆破,注入 |
| tcp 5432 | PostgreSQL | 爆破,注入,弱口令 |
| tcp 5900,5901,5902 | VNC | 弱口令爆破 |
| tcp 5984 | CouchDB | 未授权导致的任意指令执行 |
| tcp 6379 | Redis | 可尝试未授权访问,弱口令爆破 |
| tcp 7001,7002 | WebLogic | Java反序列化,弱口令 |
| tcp 7778 | Kloxo | 主机面板登录 |
| tcp 8000 | Ajenti | 弱口令 |
| tcp 8009 | tomcat Ajp | Tomcat-Ajp协议漏洞 |
| tcp 8443 | Plesk | 弱口令 |
| tcp 8069 | Zabbix | 远程执行,SQL注入 |
| tcp 8080-8089 | Jenkins,JBoss | 反序列化,控制台弱口令 |
| tcp 9080-9081,9090 | WebSphere | Java反序列化/弱口令 |
| tcp 9200,9300 | ElasticSearch | 远程执行 |
| tcp 11211 | Memcached | 未授权访问 |
| tcp 27017,27018 | MongoDB | 爆破,未授权访问 |
| tcp 50070,50030 | Hadoop | 默认端口未授权访问 |
内外网
1)反向代理:将真实web等服务放在内网,通过反向代理的手段将网站解析到外网服务器,让攻击者和用户攻击访问到的实际是外网服务器,攻击者扫描或攻击也只是对外网服务器造成影响,无法找到内网服务,外放服务器转发请求和数据。
2)代理访问/内外服务器:将真实web等服务放在内网,仅向外网服务器开放80端口,那么用户和攻击者就只能通过外网服务器代为访问网站,这时攻击者同样无法进入真正的服务。
两者的主要区别
| 对比项 | 反向代理 | 代理访问/内外服务器 |
|---|---|---|
| 数据流向 | 外网请求通过反向代理转发到内网服务 | 外网服务器主动向内网请求,代替用户访问服务 |
| 保护策略 | 隐藏内网服务,通过代理隔离外部访问 | 限制内网服务暴露,仅允许外网服务器访问 |
| 实现依赖 | 需要配置反向代理服务器(如 Nginx、Apache) | 需要在内网服务和外网服务器之间设置访问控制 |
| 典型应用场景 | 保护复杂服务,提供多种服务的统一访问入口 | 在有限资源或场景下保护内网服务(如简单的网站) |
反向代理:更加强调保护和隐藏内网服务,流量控制和权限分配更细致。
代理访问/内外服务器:更适合轻量级保护,通过限制开放端口减少攻击面。
WAF
防护作用
SQL注入攻击防护、跨站脚本攻击防护、文件包含攻击防护、命令注入攻击防护等。
分类
| WAF类型 | 示例产品 | 常见场景 |
|---|---|---|
| 云WAF | 阿里云WAF、腾讯云WAF、长亭雷池 | 中大型企业、黑灰产;安全性和先进性最高,实时保障 |
| 硬件WAF | 绿盟、安恒、深信服、知道创宇等商业产品 | 中大型企业、军工、学校 |
| 软件WAF | 宝塔、安全狗、D盾 | 个人用户 |
| 代码级WAF | 自定义的 WAF 规则 | 代码内嵌规则,用于防止注入等攻击 |
识别
1、拦截页面
2、工具项目
3、网络空间
蜜罐
作用
它是一种主动防御技术,模拟为一个容易被攻击的主机吸引攻击者,进而能对攻击行为进行捕获和分析
分类
| 按可交互程度分 | 按功能分 |
|---|---|
| 低交互蜜罐、中交互蜜罐、高交互蜜罐 | Web蜜罐、工控蜜罐、数据库蜜罐、物联网蜜罐 |
常见蜜罐和搜索方式
| 蜜罐 | Quake系统搜索语法 |
|---|---|
| STRUTSHONEYPOT | app:"StrutsHoneypot" |
| CONPOT HTTP 蜜罐 | app:"Conpot Http 蜜罐" |
| CONPOT MODBUS 蜜罐 | app:"Conpot modbus 蜜罐" |
| CONPOT S7 蜜罐 | app:"Conpot s7 蜜罐" |
| KIPPO 蜜罐 | app:"kippo 蜜罐" |
| HONEYPY HTTP 蜜罐 | app:"Honeypy Http 蜜罐" |
| HONEYPY ES蜜罐 | app:"Honeypy ES蜜罐" |
| AMUN IMAP 蜜罐 | app:"amun imap 蜜罐" |
| AMUN HTTP蜜罐 | app:"amun http蜜罐" |
| NEPENTHES NETBIOS蜜罐 | app:"Nepenthes netbios蜜罐" |
| NEPENTHES FTP 蜜罐 | app:"Nepenthes FTP 蜜罐" |
| SSHESAME SSH 蜜罐 | app:"sshesame ssh 蜜罐" |
| OPENCANARY蜜罐管理后台 | app:"opencanary蜜罐管理后台" |
| DIONAEA SIPD 蜜罐 | app:"Dionaea sipd 蜜罐" |
| DIONAEA SMBD 蜜罐 | app:"Dionaea smbd 蜜罐" |
| DIONAEA HTTP 蜜罐 | app:"Dionaea Http 蜜罐" |
| DIONAEA MSSQL 蜜罐 | app:"Dionaea MSSQL 蜜罐" |
| DIONAEA FTP 蜜罐 | app:"Dionaea ftp 蜜罐" |
| DIONAEA MEMCACHED 蜜罐 | app:"Dionaea Memcached 蜜罐" |
| KOJONEY SSH 蜜罐 | app:"Kojoney SSH 蜜罐" |
| WEBLOGIC蜜罐 | app:"weblogic蜜罐" |
| MYSQL蜜罐 | app:"MySQL蜜罐" |
| HFISH蜜罐 | app:"HFish蜜罐" |
| HFISH蜜罐管理后台 | app:"HFish蜜罐管理后台" |
| HONEYTHING物联网蜜罐 | app:"honeything物联网蜜罐" |
| ELASTICSEARCH蜜罐 | app:"elasticsearch蜜罐" |
| HOSTUS蜜罐 | app:"HostUS蜜罐" |
| WHOISSCANME蜜罐 | app:"whoisscanme蜜罐" |
| 未知蜜罐 | app:"未知蜜罐" |
| COWRIE TELNETD蜜罐 | app:"Cowrie telnetd蜜罐" |
| GLASTOPF蜜罐 | app:"glastopf蜜罐" |
识别
识别原理
工具项目
-
Heimdallr(浏览器插件)
-
quake_rs
人工分析
端口多且有规律性、Web访问协议就下载、设备指纹分析
网络空间
鹰图,Quake,fofa
CDN
基础知识
访问主机一般流程
1.传统访问:用户访问域名–>解析服务器IP–>访问目标主机
2.普通CDN:用户访问域名–>CDN节点–>真实服务器IP–>访问目标主机
3.带WAF的CDN:用户访问域名–>CDN节点(WAF)–>真实服务器IP–>访问目标主机
主流WAF
| 类别 | 服务商 |
|---|---|
| 国内服务商 | 阿里云、百度云、七牛云、又拍云、腾讯云、Ucloud、360、网宿科技、ChinaCache |
| 国外服务商 | CloudFlare、StackPath、Fastly、Akamai、CloudFront、Edgecast、CDNetworks、Google Cloud CDN、CacheFly、Keycdn、Udomain、CDN77 |
配置
方案1:加速域名-需要启用加速的域名
- 子域名获取真实IP(配置为指定子域名)
例:
有两个域名:www.xiaodi.com 加速;bbs.xiaodi.com 不加速;
但他们的网段又是同一个,那么可以以此推断真实ip
注 :若其对根域名加速了,那么其所有子域都进行了加速,那么此方法就不适用(例:配置为:*.xiaodi.com)
方案2:加速区域-需要启用加速的地区
- 国外访问获取真实IP(没对国外进行加速,仅对国内加速,那么切换节点,从国外进行访问,即为真实IP)
方案3:加速类型-需要启用加速的资源
- 证书
识别
1、nslookup
2、多地服务器ping判断:
判断:各地ping出现多个IP即启用CDN服务
绕过CDN查找真实IP
1、子域名
2、国外访问(全球ping)
| 类型 | 站点 |
|---|---|
| 超级Ping | http://www.17ce.com/ |
| 超级Ping | https://ping.chinaz.com/ |
| 国外请求 | https://tools.ipip.net/cdn.php |
| 国外请求 | https://boce.aliyun.com/detect/ |
3、反向获取
远程地址加载,通过利用类似上传远程图片链接(自己构造的站点),然后对方服务器去请求准备的恶意站点,这时查看请求记录可以看到真实IP。
-
邮箱系统
- 判断条件:发信人是当前域名邮件用户名
- 让目标主动给我发:通过找回密码等方法让对方给我发邮件,在邮件详情中存在真实ip;案例。
- 我给未知邮箱发:需要自己搭建邮件服务器,不能使用第三方,因为退回的邮件会发给第三方,然后再转发给自己,这时ip是第三方的。
-
漏洞利用:利用漏洞让对方真实服务器主动出网连接,判断来源IP即真实IP,如:SSRF RCE等
-
遗留文件或信息泄露:通过访问
phpinfo()类似代码函数获取本地IP造成的地址泄漏。- phpinfo功能:如phpinfo()会显示php版本,访问ip,自身ip等信息
4、全网扫描
先从IP段去扫描符合开放端口,再从IP去访问看看关键字,将符合结果进行保存!
| 类型 | 站点 |
|---|---|
| 全网扫描 | https://github.com/Tai7sy/fuckcdn |
| 全网扫描 | https://github.com/boy-hack/w8fuckcdn |
| 全网扫描 | https://github.com/Pluto-123/Bypass_cdn |
5、证书查询
6、APP抓包
7、网络空间
8、扫全网
9、以量打量
工具平台
1、网络空间fofa增值服务
2、第三方接口查询:get-site-ip.com
| 类型 | 站点 |
|---|---|
| 接口查询 | https://get-site-ip.com/ |
| 接口查询 | https://fofa.info/extensions/source |
框架组件
什么是框架
简单代码的一个整合库,如果使用框架就只需要学习使用框架,然后调用相关功能即可;
如:文件上传功能是需要很多代码来实现的,框架把这个代码进行封封装,调用相关函数或类即可。
影响
如果采用框架开发,代码的安全性是取决于框架的过滤机制;
当框架出现漏洞,所有使用了该版本框架的产品全部都有该漏洞。
什么是组件
第三方的功能模块(日志记录,数据监控,数据转换等)
Web架构类型
1、最简单最入门的开发模型(功能代码全部手写),即:原生开发
- 最容易出现漏洞,程序员水平不一,没有第三方或团队的检测,单纯的自己写
2、结合开发框架的开发模型(以框架为核心实现功能)
- 第三方或团队开发的封装代码框架,一般内置过滤机制(框架漏洞)
3、结合开发框架外加组件模型(以框架为核心,组件为辅实现功能)
- 第三方或团队开发的封装代码框架,一般内置过滤机制(框架和组件漏洞)
指纹识别
1、本地工具:Gotoscan(cmseek)
2、网络空间:Fofa Quake Hunter
3、网络空间:IO图标关系
语言
1、PHP-框架
Yii
- 特征:set-cookie中特征格式
Laravel
- 特征:set-cookie的特征格式
Thinkphp
- 无明显特征
2、Java-框架组件
log4j
shiro
- 特征:请求包中存在rememberMe=x时,响应包中存在rememberMe=deleteMe。
注:有时候服务器不会主动返回remeberMe=deleteMe,直接发包即可,将Cookie内容改为rememberMe=1,若相应包有rememberMe=deleteMe,则基本可以确定网站apache shiro搭建的。
solr
-
特征:
-
一般开放8983端口,访问页面也可以探针到
-
网页标签显示的扇形图标
-
springboot
-
特征:
-
通过web应用程序网页标签的小绿叶图标:
-
通过springboot框架默认报错页面
-
struts2
- 特征:一般使用struts2框架,url后缀带do或action,可以尝试进行利用
Fastjson
- 无明显特征
3、python-框架
Fask、Django
组件/框架已公布漏洞靶场
特性
看Response返回包,观察set-cookie字段值的关键字
固定端口开放,如:solr开放8983
ICON图标,如:springboot的叶子图标,solr的扇形图标
特有URL路径扫描
识别技术
端口扫描、网络空间、识别插件
安全测试思路
后端
CMS:一般PHP开发居多的一种源码程序(利用源码程序名去搜漏洞情况,源码去下载进行后期的代码审计),指纹识别
前端
js 框架(使用工具等手段爬取更多的js文件,从里面筛选URL或敏感泄漏key等),也可以通过对js代码逻辑进行代码审计
组件(java居多)
常见有过安全漏洞的组件(shiro solr log4j sprintboot等)
框架
php、python、java都有
主机服务器
端口扫描
状态
close、open、Filtered
工具
nmap、masscan、网络空间
意外环境
即:实际结果和扫描结果不一致的目标
防火墙开放、内外服务器、Web反向代理
思路
分析目标所使用的服务,根据所使用的服务能使用的相关端口进行测试。
APP应用
获取APP信息
从URL中获取APP信息
1、备案信息在搜
2、APP官方下载网址
3、市场直接搜索单位名称
从名称中获取APP信息
1、爱企查知识产权
2、七麦&点点查名称
3、小蓝本
通过获取App配置、数据包,去获取url、api、osskey、js等敏感信息
1、资产信息-IP 域名 网站 -转到对应Web测试 接口测试 服务测试
2、泄露信息-配置key 资源文件 - key(osskey利用,邮件配置等)
3、代码信息-java代码安全问题- 逆向相关
信息分类
资产信息
IP-端口服务、域名-Web安全、接口-API安全
泄露信息
邮箱配置、接口配置、OSS配置
代码信息
提取技术
逆向(反编译)静态调试提取
优点:没有误报
缺点:无法做到完整,若源码中没有url等关键字,就找不到url(因为包里面将网址进行加密等操作,工具中的正则表达式无法匹配就找不到)
动态抓包提取
优点:数据较为完整
缺点:有很多无用的资产
案例:某APP打开无数据包,登录有数据包(反编译后未找到目标资产,抓包住到了)
原因:那个登录界面是APP打包的资源,并没有对外发送数据
动态调试提取
优点:没有误报,解决不能抓包不能代理等情况,不需要证书验证,是通过与模拟器进行交互,得到里面软件的数据交互,搞逆向的人能看到实时的app调用链等
缺点:无法做到完整,需要手工操作,尽可能使用更多的功能
静态分析项目平台
1、MobSF(需要搭建平台,免费)
小程序应用
获取APP-直接搜关键字
微信、百度、支付宝、抖音头条
小程序体验/搭建
主体结构
小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。
一个小程序主体部分(即app)由三个文件组成,必须放在项目的根目录,如下表:
| 文件 | 必需 | 作用 |
|---|---|---|
| app.js | 是 | 小程序逻辑 |
| app.json | 是 | 小程序公共配置 |
| app.wxss | 否 | 小程序公共样式表 |
一个小程序页面由四个文件组成,分别是:
| 文件类型 | 作用 |
|---|---|
| xxx.js | 页面逻辑 |
| xxx.json | 页面配置 |
| xxx.wxml | 页面结构 |
| xxx.wxss | 页面样式 |
项目整体目录结构
| 文件/目录 | 功能 |
|---|---|
| pages | 页面文件夹 |
| index | 首页 |
| logs | 日志 |
| util | 工具类(mina框架自动生成,你也可以建立一个:api) |
| app.js | 入口js(类似于java类中的main方法)、全局js |
| app.json | 全局配置文件 |
| app.wxss | 全局样式文件 |
| project.config.json | 跟你在详情中勾选的配置一样 |
| sitemap.json | 用来配置小程序及其页面是否允许被微信索引 |
提取技术
路径:微信-设置-文件管理路径下的Applet
逆向静态提取
1)解包
2)反编译
对源码架构进行分析
-
更多的资产信息
-
敏感的配置信息
-
未授权访问测试
-
源码中的安全问题
动态抓包提取
1)Proxifier
2)Burpsuite
-
对抓到的IP或域名进行Web安全测试
-
对抓到的IP或域名进行API安全测试
-
对抓到的IP或域名进行端口服务测试
动态调试提取
1)小程序多功能组手
2)官方开发工具
微信公众号
获取途径
企查信息知识产权
微信搜一搜
资产
直接看微信公众号业务功能是否有第三方网站或服务
工具项目
优秀工具项目集合 - All-Defense-Tool
武器部署 - F8x
介绍
一款红/蓝队环境自动化部署工具,支持多种场景,渗透,开发,代理环境,服务可选项等。
配置
通过 CF Workers 下载 [推荐]
wget : wget -O f8x https://f8x.io/
curl : curl -o f8x https://f8x.io/
网络空间 - AsamF
介绍
AsamF集成了Fofa、Hunter、Quake、Zoomeye、Shodan、爱企查、Chinaz、0.zone、subfinder。AsamF支持Fofa、Hunter、Quake、Zoomeye、Shodan、Chinaz、0.zone配置多个Key。
配置
AsamF会在~/.config/asamf/目录下生成config.json文件。
如果有多个key,按照json的格式录入即可,建议键值按照阿拉伯数字依次录入,方便以阿拉伯数字来切换key。自动结果保存在~/asamf/目录下。
特别注意:配置后要重启
企查信息 - ENScanGo
介绍
剑指HW/SRC,解决在HW/SRC场景下遇到的各种针对国内企业信息收集难题
配置
ENScanGo在第一次使用时需要使用-v命令生成配置文件信息后进行配置
综合自动化
ARL灯塔
介绍
旨在快速侦察与目标关联的互联网资产,构建基础资产信息库。 协助甲方安全团队或者渗透测试人员有效侦察和检索资产,发现存在的薄弱点和攻击面。
配置(docker搭建)
git clone https://github.com/TophantTechnology/ARL
cd ARL/docker/
docker volume create arl_db
docker-compose pull
docker-compose up -d
Nemo-Go
介绍
Nemo是用来进行自动化信息收集的一个简单平台,通过集成常用的信息收集工具和技术,实现对内网及互联网资产信息的自动收集,提高隐患排查和渗透测试的工作效率,用Golang完全重构了原Python版本。
配置(docker搭建)
下载release的nemo_linux_amd64.tar后执行:
mkdir nemo;tar xvf nemo_linux_amd64.tar -C nemo;cd nemo
docker-compose up -d
其他
网盘-直接搜目标信息
主要就是查看网盘中是否存有目标的敏感文件,获取企业招标,人员信息,业务产品,应用源码等
github
人员&域名&邮箱等筛选
eg:xxx.cn password in:file
github资源搜索语法
| 语句 | 作用 |
|---|---|
| in:name test | 仓库标题搜索含有关键字 |
| in:descripton test | 仓库描述搜索含有关键字 |
| in:readme test | Readme文件搜素含有关键字 |
| stars:>3000 test | stars数量大于3000的搜索关键字 |
| stars:1000..3000 test | stars数量大于1000小于3000的搜索关键字 |
| forks:>1000 test | forks数量大于1000的搜索关键字 |
| forks:1000..3000 test | forks数量大于1000小于3000的搜索关键字 |
| size:>=5000 test | 指定仓库大于5000k(5M)的搜索关键字 |
| pushed:>2019-02-12 test | 发布时间大于2019-02-12的搜索关键字 |
| created:>2019-02-12 test | 创建时间大于2019-02-12的搜索关键字 |
| user:test | 用户名搜素 |
| license:apache-2.0 test | 明确仓库的 LICENSE 搜索关键字 |
| language:java test | 在java语言的代码中搜索关键字 |
| user:test in:name test | 组合搜索,用户名test的标题含有test的内容 |
github监控
gshark、fireEyeGoldCrystal、Github-Monitor
敏感目录文件
字典扫描、爬虫
网络空间进阶
证书资产、ICO资产、邮箱资产
浙公网安备 33010602011771号