安全攻防基础

企业架构
天眼查
企查查
启信宝

网站友情链接、网站地图
收集子公司、分公司、参股公司等
http://www.chinatelecom.com.cn/corp/zzjgcs/
https://www.qcc.com
https://www.tianyancha.com

ICP备案查询，确定目标子域名
http://icp.bugscaner.com/
http://icp.chinaz.com/
http://www.gsxt.gov.cn/corp-query-homepage.html
收集主办单位名称、主办单位备案号、网站名称、网站备案号，公开的商业信息，公司地址，联系电话/传真号码，员工姓名/职务，目标系统使用的技术架构，公开的商业信息

员工信息（搜集账号信息、钓鱼攻击）
在线邮箱收集：http://www.skymem.info/
在线邮箱收集，可验证邮箱是否有效：
https://hunter.io/search

员工成员
员工简历
员工身份证，手机号，生日，家乡，住址等个人信息
员工社交账号信息（QQ号，微博，微信，邮箱等）
员工家庭及交际信息
员工上网习惯等等

社交渠道
QQ搜索
搜索引擎
微信公众号

校招QQ群
渠道交流群
论坛
招聘网站
微博

子域名、旁站

(暴力破解) : layer、wydomain用于查找网页源代码的域名 https://github.com/nsonaniya2010/SubDomainizer

真实IP查找
多地ping：http://ping.chinaz.com/
微步在线：https://x.threatbook.cn/
DNS解析历史（查找域名历史解析IP，site.ip138.com，dnsdumpster.com，www.virustotal.com）
服务器信息泄露
探测子域名IP
看邮件发送者源IP
APP客户端
DOS DNS可能会成为回源模式
SSRF漏洞
使用网络空间引擎查找关键字

指纹识别
Google浏览器插件wappalyzer
CMS指纹识别：http://whatweb.bugscaner.com/look/
云悉：http://www.yunsee.cn/info.html

主动爬虫
burpsuit
awvs
xray

被动爬虫
https://web.archive.org/
waybackurls

网络空间搜索引擎
fofa
zoomeye
shodan
傻蛋

ASN
nmap --script targets-asn --script-args targets-asn.asn=15169
https://tools.ipip.net/as.php
可以使用WHOIS服务或NSE脚本，来识别属于ASN号码的所有网络块

SPF
“dig txt 域名
nslookup --qt=txt 域名”

C段

端口信息
nmap
masscan

通过IP确定大概的定位
公众号：埃文科技、云警助手等
IPIP： https://www.ipip.net/ip.html(查出的经纬度有可能是反的)
https://chaipip.com/aiwen.html
https://www.qvdv.com/tools/qvdv-coordinate.html(查询经纬度)

学术网站类
“百度学术
知网
Google学术”

文库
“百度文库
豆丁网
doc88”

网盘类
“百度网盘：云盘精灵查找
微盘Vdisk
360云盘”

代码托管类
“Github
Gitlab
Gitbucket
Gitee
码云”

社交平台类 QQ群、论坛、贴吧

历史漏洞信息
“wooyun历史漏洞
https://wooyun.x10sec.org/
CNCERT等”

敏感文件扫描、目录扫描 “御剑
dirsearch”

管理页面，重要系统，网络设备信息收集 fofa,shodan.zoomeye,google,baidu

社工库

APP信息收集
“应用下载：豌豆荚、应用商店
抓包软件：Burpsuite、fiddler、tcpdump
apk URL获取：Diggy
安卓反编译工具：
Android killer
ApkIDE
安卓安全测试框架：
Drozer
安卓模拟器：夜神模拟器、ADB（模拟器自带）”

小程序
“微信内置搜索引擎，
使用burpsuite或fiddler抓包”

公众号
“天眼查、微信内置搜索引擎，
使用模拟器直接复制链接，
使用Burpsuite对关键链接抓包”

未授权访问
Redis未授权访问
Jenkins未授权访问
Mongobdb未授权访问
JBOSS未授权访问

远程代码执行
Shiro反序列化
Strtus2反序列化
RMI反序列化
JNDI注入
PHP远程代码执行CVE
Oracle XML反序列化
Apache Solr不安全配置rce

WAF-Bypass
https降级绕过(可能https有waf,http没有)
ssl问题绕过(选用一个waf不支持，但是服务器支持的算法)
改变http访问方法如:get->post
Header Content Type绕过(修改一些文件类型或者边界值)
sql注入中，内联的方法或者探测未过滤的函数或者使用很长的垃圾数据填充
xss中，与sql类似
命令执行中使用单引号和反斜杠绕过或者使用其他通配符绕过
文件上传中，文件名绕过，文件名加回车00截断
脚本后缀、各种中间件不同版本的解析漏洞

登录JS加密
jsEncrypter(Burp插件)
使用python调用对应js来爆破

特定的管理工具get shell
phpMyAdmin
JWT的攻击

上传漏洞

识别中间件和版本(比如iis6.0 7.0 Nginx 0.5.* 0.6.*)

上传技巧
大小写混淆
%00截断
上传.htacess分布式部署软件
图片头修改
其他黑名单外的文件格式
修改Content-type

编辑器
Ueditor
FCKeditor
KindEditor

webshell
免杀
构造法绕过检测
乱码变形

数据库类型
Access
Mssql
Mysql
Oracle

注入点
Get
Post
cookie
http头文件

注入点类型
数字型
字符型注入
搜索型注入

注入种类
联合注入
盲注(布尔，时间，报错)

可能发生注入的地方
主要发生在数据交互的地方(增删查改操作)

找源码泄露，然后做代码审计

文件读取漏洞

xss
植入恶意的html/js代码

Office宏
使用宏病毒进入内网(偏钓鱼)

csrf
使用钓鱼或者xss达到越权类的危害

各大cms历史遗留的漏洞

DNSLOG
SQL注入、命令执行没回显的情况下用
因为DNS解析时会留下解析日志

水坑攻击
“在受害者必经的道路上设置陷阱”，比如知道受害者会从某个网站下载某个软件

鱼叉攻击
邮件钓鱼

SSRF
伪造服务端请求(内网探测，扫描端口，伪协议file://)

xxe
外部实体化(应用没有禁止XML引用外部实体，也没有过滤用户提交的XML数据)

powershell
用于上线(invoke-obfuscation 用来给powershell脚本混淆)

ATT&CK
一个用于安全攻防的框架
比如dll注入 api监控，注册表监控等
远控
anydesk(用于禁止3389登陆的情况)
获得主机权限但不通外网
隧道技术(SSHDNSICMP)
使用Ptunnel建立ICMP技术
Http隧道
ABPTTS(将TCP流量通过HTTP/HTTPS进行流量转发)
reGeorg(将JSP/PHP等上传到服务器后，就可以访问服务器后面的主机)
Tunna(基于http的隧道工具)

端口转发(渗透中，拿下目标站后,比如内网3389端口不对外开放，需要从内网中进行端口转发，以至于外网也可以访问3389)
lcx
netcat
Frp内网穿透(横向渗透，建立一条通道类似于把此目标机当成vps访问内网机器)
基于Portfwd端口转发
用于端口转发
DNS隧道(tcp,udp,http协议都无法使其上线的情况，但是可以解析互联网域名，可以ping指定ip，那就用dns)
Dns2tcp
DnsCat
Venom-代理转发、多级穿透
用于代理和端口转发

本质是把上传到服务器的webshell提升到拥有管理员权限，从拿下网站变成拿下整个服务器
不同操作系统有不同的exp
使用数据库提权
溢出漏洞提权
第三方软件提权
Linux
通过对应版本号查找对应的exp
Windows
通过对应的版本号、服务列表查找对应的exp

其他权限
后台权限维持网站权限服务器权限

windows
建立隐藏用户
开机自启远控
shift后门linux
ssh后门
crontab定时任务
ssh公钥
创建suid为0的用户 入侵排查 windows

账号

排查是否存在弱口令、对应的一些端口是否有向公网开放。比如22、3389根据日志，查看管理员登录时间、用户名是否存在异常。
eventvwr.msc 用于查看日志
Log Parser https://www.microsoft.com/en-us/download/details.aspx?id=24659 用于分析日志查看服务器是否有可疑账号、或者新增了账号。
查看usrmgr.msc查看是否存在隐藏账号、和克隆账号
打开注册表 ，查看管理员对应键值
D盾_web查杀工具，集成了对克隆账号检测的功能

端口、进程

查看端口的连接情况，排查是否有远程连接和可疑连接。
netstat -ano 排查ESTABLISHED，也能找到端口对应的pid值
根据找到的pid值，可以使用tasklist | findstr “PID” 找对应的进程。进程
开始–运行–msinfo32–软件环境–正在运行任务或者通过任务管理器查看详细任务
通过微软官方提供的 Process Explorer 等工具进行排查

系统相关版本
开始–运行–systeminfo 查看系统信息
查看可疑目录和文件
用户目录文件//看有没有新增用户 新增用户会在C:Users新增一个目录
%UserProfile%Recent查看最近打开的可疑文件
根据文件或者目录的列表时间进行排序，查找可疑文件。

启动项、计划任务、服务

启动项
查看开机启动项
查看组策略
查看计划任务
查看你服务自启动

日志分析

分析方法
前提：开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等。
Win+R 打开运行，输入 “eventvwr.msc”，回车运行，打开"事件查看器"。
导出应用程序日志、安全日志、系统日志，利用 Log Parser进行分析web访问日志
找到中间件的web日志，打包到本地方便进行分析 linux

账号安全
历史命令
异常端口
异常进程
开机启动项
定时任务
检查服务
异常文件
系统日志