渗透测试标准-情报收集-精品(下)

释放双眼,带上耳机,听听看~!

大会

会议在公司大楼进行/现场采集

为现场情报收集选取特定的位置,如角落,不易引起人注意的位置,然后随着时间推移进行侦察(通常至少2-3天以确保收集信息完整)。在现场情报收集时,要注意一些重点信息:

物理安全检查

无线扫描/射频扫描

员工行为规范

■没设置门禁的房间/邻近设施(共用空间)

搜检垃圾箱(老外的文章中经常提到的一个行动,抽时间专门写一篇关于此的文章)

使用的设备类型

会议在其他场地进行

识别场外场地提供方与组织的重要性/关系。如下所示:

■场地为数据中心位置

■场地为网络配置/供应商

人工情报

人工情报补充了情报上更多的内容,因为它提供了其他方式无法获得的信息,并为情报信息添加了更多“个人”视角(感情,历史,关键人物之间的关系,“氛围”等…) 获得人工情报的方法通常涉及直接的互动,无论是身体上的还是口头上的。情报收集应在虚假的身份下进行,这种身份将可以为采访活动或者商务合作。 此外,可以通过利用观察来进行对更敏感目标的进行情报收集,如:亲身在现场观察或通过电子/远程手段(CCTV,网络摄像头等……)。这通常是为了建立行为模式(例如合作伙伴的访问频率,员工的着装要求,访问路径,可提供额外访问的关键位置,例如公司楼下咖啡店)。 

应用于

主要员工 

合作伙伴/供应商 

社会工程学

以下是技术类内容:

外部信息收集

介绍

是信息收集的一个阶段,包括与目标的交互,以便从组织外部的角度获取信息。

操作

通过与目标互动可以收集大量信息。通过探测服务或设备,您通常可以创建可以进行指纹识别的场景,或者甚至更简单地,可以获得可识别设备的编号。必须执行此步骤才能收集有关目标的更多信息。

外部信息

识别客户外部范围

在渗透测试期间收集情报的主要目标之一是确定将在范围内的主机。有许多技术可用于识别系统,包括使用反向DNS查找,DNS 解析,WHOIS搜索。下面记录了这些技术和其他技术。

被动收集

WHOIS查询

whois是用来查询域名的IP以及所有者等信息的传输协议。简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商)。whois通常使用TCP协议43端口。

WHOIS信息基于树层次结构。ICANN(IANA)是所有TLD的权威注册机构,是所有手动WHOIS查询的良好起点。

ICANN – http://www.icann.org

IANA – http://www.iana.com

NRO – http://www.nro.net

AFRINIC – http://www.afrinic.net

APNIC – http://www.apnic.net

ARIN – http://ws.arin.net

LACNIC – http://www.lacnic.net

RIPE – http://www.ripe.net

一旦查询了相应的注册商,我们就可以获得注册人信息。有许多网站提供WHOIS信息; 但是,为了准确记录文档,您只需使用相应的管理机构为准就行了。国内可以使用爱站网,站长之家等。

BPG查询

BGP属于外部或域间路由协议。BGP的主要目标是为处于不同AS中的路由器之间进行路由信息通信提供保障。BGP既不是纯粹的矢量距离协议,也不是纯粹的链路状态协议,通常被称为通路向量路由协议。这是因为BGP在发布到一个目的网络的可达性的同时,包含了在IP分组到达目的网络过程中所必须经过的AS的列表。通路向量信息时十分有用的,因为只要简单地查找一下BGP路由更新的AS编号就能有效地避免环路的出现。BGP对网络拓扑结构没有限制。可通过BGP4、BGP6这两个网站查询

BGP4 – http://www.bgp4.as/looking-glasses 

BPG6 – http://lg.he.net/

主动收集

端口扫描

端口扫描技术将根据测试可用的时间和隐蔽需求而有所不同。如果系统知之甚少,则可以使用快速ping扫描来识别系统。此外,应运行没有ping验证的快速扫描(nmap中的-PN)以检测最常见的可用端口。有些测试人员只检查打开的TCP端口,应确保也检查UDP。

http://nmap.org/nmap_doc.html详细描述了nmap的详细信息.

Nmap提供了许多选项。由于本节涉及端口扫描,因此我们将重点介绍执行此任务所需的命令。重要的是要注意所使用的命令主要取决于被扫描的主机的时间和数量。执行此任务所需的主机越多或时间越少,我们查询主机的次数就越少。

此外还应测试IPv6。

标志提取

Banner Grabbing是一种枚举技术,用于收集有关网络上计算机系统和运行其开放端口的服务的信息。标志提取用于识别网络目标主机正在运行的应用程序和操作系统的版本。

标志提取通常在超文本传输协议(HTTP),文件传输协议(FTP)和邮件传输协议(SMTP)上执行; 分别为端口80,21和25。通常用于执行标志提取抓取的工具是Telnet,nmap和Netcat。

nmap -sV –script=banner 192.168.0.102 

nc -v 192.168.0.10 443

SNMP扫描

SNMP扫描也需执行,遗憾的是,SNMP服务器不响应具有无效字符串的请求,这意味着探测的IP地址的“无响应”可能意味着以下任何一种情况:

网络无法到达

SNMP服务器未运行

字符串无效

响应数据报尚未传输回来

DNS区域传输漏洞

DNS服务器分为:主服务器、备份服务器和缓存服务器。 域传送是指后备服务器从主服务器拷贝数据,并用得到的数据更新自身数据库。 在主备服务器之间同步数据库,需要使用“DNS域传送”。DNS服务器配置不当,导致匿名用户利用DNS域传送协议获取某个域的所有记录,

危害

网络拓扑结构泄露给潜在的攻击者,包括一些安全性较低的内部主机,如测试服务器等,攻击者可以节省很少的扫描时间,直接加快、助长攻击者的入侵过程。有许多工具可用于测试执行DNS区域传输,如host,dig和nmap。

nmap –script dns-zone-transfer –script-args dns-zone-transfer.domain=xxx.网站.com -p 53 -Pn dns.xxx.网站.com

dns-zone-transfer.domain后的参数是指定要查询的域,dns.xxx.edu.cn 为指定的查询域名服务器。

邮件退回

如果在传送邮件时出现问题,邮件服务器会向发件人发送退回邮件,它们包含错误代码、有关该问题的技术细节,并且有时还包含邮件发件人采取的故障排除步骤。可分为:未送达报告 (NDR) ,(失败)传递状态通知(DSN)消息,未送达通知(NDN)或仅仅是退回退回邮件。退回的邮件可用于帮助攻击者识别SMTP服务器,因为SMTP服务器信息(包括软件和版本)可能包含在退回邮件中。这可以构造虚假的收件人asDFADSF_garbage_address@target.com来达成。Gmail提供对邮件退回信息的完全访问权限,使其成为测试人员的首选。

DNS发现

可以通过查看域名的WHOIS来查看dns。此外,应检查目标的其他顶级域名,并检查其他顶级域名网站是否被目标控制的其他域名进行引用。

正向/反向DNS

我们经常使用到得DNS服务器里面有两个区域,即“正向查找区域”和“反向查找区域”,正向查找区域就是我们通常所说的域名解析,反向查找区域即是这里所说的IP反向解析,它的作用就是通过查询IP地址的PTR记录来得到该IP地址指向的域名。PTR记录是邮件交换记录的一种,邮件交换记录中有A记录和PTR记录,A记录解析名字到地址,而PTR记录解析地址到名字。地址是指一个客户端的IP地址,名字是指一个客户的完全合格域名。通过对PTR记录的查询,达到反查的目的。

推荐网站:

https://viewdns.info/reversedns/

http://dns.aizhan.com/

DNS爆破

由于DNS用于将IP地址映射到主机名,我们希望查看它是否为不安全配置。涉及DNS的最严重的错误配置之一就是允许互联网用户执行DNS区域传输。我们可以使用几种工具来枚举DNS,以便不仅检查执行区域传输的能力,还可以发现不常见的其他问题。

Web应用程序探测

在渗透测试期间识别脆弱的Web应用程序可能是一项特别富有成效的活动。要寻找的东西包括错误配置的应用程序,具有插件功能的应用程序(插件通常包含比基础应用程序更易受攻击的代码)和独立开发的应用程序,可以采用Web应用指纹识别工具来进行该活动。

虚拟主机检测和枚举

Web应用程序通常托管于多个主机,以整合单个服务器上的功能。如图片服务器,数据库服务器,视频服务器等。如果多个服务器指向相同的DNS地址,则它们可能托管在同一服务器上。

建立外部目标清单

完成上述活动后,应编制用户,电子邮件,域名,应用程序,主机和服务的列表,形成信息收集文档。

版本探测

版本检查是识别应用程序信息的捷径,在某种程度上,可以使用nmap对服务版本进行指纹识别,并且通常可以通过查看任意页面的源代码来收集Web应用程序的版本。

识别补丁级别

应识别程序是否安装或修补程序官网发布的补丁文件,并探测补丁文件是否生效。

确定锁定阈值

识别身份验证服务的锁定阈值将帮助于暴力攻击在测试期间不会故意锁定有效用户。识别环境中的所有不同身份验证服务,并测试单个的帐户以进行锁定。通常,5到10次有效帐户的尝试足以确定该服务是否会锁定用户。

内部信息收集

被动侦察

如果测试人员可以访问内部网络,则数据包嗅探可以提供大量信息。可以采用p0f3进行操作,工具地址:http://lcamtuf.coredump.cx/p0f3/。

识别客户内部范围

执行内部测试时,首先枚举您的本地子网,并且您可以通过稍微修改地址来从那里推断到其他子网。此外,查看内部主机的路由表可能特别有说服力。以下是可以使用的许多技术。 DHCP服务器不仅可以是本地信息的潜在来源,还包括远程IP范围和重要主机的详细信息。大多数DHCP服务器将提供本地IP网关地址以及DNS和WINS服务器的地址。在基于Windows的网络中,DNS服务器往往是Active Directory域控制器,因此是感兴趣的目标。 

积极侦察

内部主动侦察应包含外部主动侦察的所有要素,此外还应侧重于内部网功能,例如:

  • 目录服务(Active Directory,Novell,Sun等…)

  • 提供业务功能的企业内部站点

  • 企业应用程序(RP, CRM, Accounting, etc…

  • 识别敏感网段(会计,研发,营销等……)

  • 访问映射到生产网络(数据中心)

  • VoIP基础设施

  • 身份验证配置(kerberos,cookie令牌等)

  • 代理和互联网访问管理

确定防护机制

应根据相关地点/组/人员确定以下要素并进行反馈。这将使得在执行实际攻击时能够正确应用漏洞研究和利用 ,从而最大化攻击效率。

基于网络的防护

  • “简单”数据包过滤器

  • 流量管理设备

  • DLP数据防泄露系统

  • 加密/隧道

基于主机的防护

  • 堆栈/堆保护

  • 应用白名单

  • AV(防病毒)/过滤/行为分析

  • DLP数据防泄露系统

应用程序保护

  • 防识别应用程序保护

  • 编码选项

  • 访问绕过

  • 白名单页面

存储保护:

  • HBA(主机总线适配器)

  • LUN Masking

  • 存储控制器

  • iSCSI CHAP密钥

用户保护:

  • AV防病毒 /垃圾邮件过滤软件

渗透测试标准系列:

渗透测试标准-渗透项目实施前的互动

渗透测试标准-情报收集(上)

渗透测试标准-情报收集(中)

网站secshi.com,已开启内测,内测期间发现漏洞或BUG可获得正式上线邀请码,SECSHI.COM打造国内免费高端的技术交流社区。

__________________________________________________________

想加入我们的微信群,目前聚集了来自全球信息安全公司的CEO,安全部门主管,技术总监,信安创业者,网络安全专家,安全实验室负责人,公司HR,在这里你将获得高质量的技术交流空间,更多的内推高薪信息安全岗位,更多与安全大咖们面对面交流的机会。可以扫码添加我的微信,需提供真实有效的公司名称+姓名,验证通过后可加入···

也欢迎大家加入QQ群:838278452、594479150(国内专业度最高的互联网安全交流平台之一,你关心的、你想要的这里都可以满足你)

人已赞赏
安全工具

Wazuh与bro对接相关API参数以及规则设置

2019-10-11 17:03:45

安全工具

应用安全能力建设目标与策略

2019-10-11 17:03:50

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索