演示案例:
- Web-拓展应用-蜜罐-钓鱼诱使
- Web-拓展应用-堡垒机-突破口
- Web-拓展应用-API接口-突破口
- Web-拓展应用-其他架构-突破口
蜜罐
我们采用个开源蜜罐,官网链接如下
https://hfish.net/
测试系统:Ubuntu 20.04
一键安装:bash <(curl -sS -L https://hfish.net/webinstall.sh)
复制以上命令,输入1安装
蜜罐就是一个钓鱼的,在实战中碰到的概率很少,一般都是在攻防期间部署,正常业务中,如果部署了这个东西,那就是对方想要捕捉到攻击者的一些信息,有可能是对方一直在遭受攻击,他想知道是谁攻击他,所以会部署这个东西 分析一些攻击者的画像,比如IP、攻击手法等,同样有一个最大的作用就是浪费攻击者的时间,因为蜜罐本事就是一个虚构的东西,你是打不进去的
搭建好后,我们直接去访问,账号密码如下:
登录链接:http://[ip] :4433/web
账号:admin
密码:HFish2021
输入账号密码,登录后台
我们进入后台,点击节点管理,展开它
可以看到,默认是开启了几个蜜罐的,我们拿海康威视的8080端口蜜罐做演示
可以看到,它就是一个web页面,模拟了一个web应用,当你去扫描、攻击它的时候,尝试用弱口令爆破的时候,他会报错,压根你也搞不进去,但是你在这个过程中,就会被蜜罐给记录下来
我们可以在后台查看他的登录信息
有害影响:用来钓鱼或诱惑测试人员的防护系统 无法危害真实主机 浪费时间
堡垒机:
https://www.jumpserver.org/
简单来说,它就是运维神器,也是蓝队中必接触的东西。举例说明,你电脑中登录了很多平台的用户,其中包含了你的账号密码,有时候你的账号密码会忘记,你保存到txt文档呢也不太安全,这个堡垒机呢,就类似于密码管理工具,它就可以把你经常可能控制的服务器、网站、资产等可以写到堡垒机上面去,可以进行在线的一个管理、汇总起来 如果拿下它了,那就发财了
测试系统:Ubuntu 20.04 4核8G
一键安装:
curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash
默认账号密码 admin ChangeMe
默认访问路径为IP/域名:80端口
我们可以进去简单看看它都有什么样的功能
资产列表,它这里可以添加什么主机啊、网络设备啊(交换机啊、路由器啊、)还可以管理数据库啊、web网站啊、云服务啊一大堆……
简单来说就是一个资产管控平台,方便对于你自己掌控的网站啊、机器啊各种各样的数据库把它搞到上面去,这就是堡垒机的作用
当你在渗透测试过程中,如果发现堡垒机了,它是能给你提供一个攻击的机会,除了网站本身的安全问题以外,如果应用了堡垒机呢,那么这也是一个突破口,一旦它突破之后,往往能取到价值信息
有利影响:Web应用或其他应用提供给测试人员一个能获取到价值信息的系统
API接口
是一个允许不同软件应用程序之间进行通信和数据交换的接口。API定义了一组规则和协议,软件开发者可以使用这些规则和协议来访问操作系统、库、服务或其他应用程序的功能。
1、Web API:
通过HTTP协议进行通信的API,常用于Web服务和应用程序。
例如,RESTful API、GraphQL API。
2、库和框架API:
提供特定编程语言或框架功能的API,供开发者在应用程序中使用。
例如,Java API、Python标准库。
3、操作系统API:
提供操作系统功能访问的API。
例如,Windows API、POSIX API。
4、远程API:
允许在网络上远程访问服务的API。
例如,SOAP API、XML-RPC API。
例子:
内部API:比如我自己开发了一个收银系统,使用API接口可以查询到顾客数据,收入支付,销售提成等
外部API:比如我自己搭建了一个网站应用,功能需求有要借助到外部的资源,如地图,归属地,短信收发等
有利影响:
内部API:Web应用提供给测试人员一个能获取到价值信息的接口
外部API:可以借助提供的API获取到当前网站不想让你获取的信息
分析API的目录结构、接口命名规则、参数命名规则、功能和业务逻辑等,
根据这些信息可以进行接口枚举和参数枚举,进而可以进行相关的漏洞测试。
#拓展应用:防火墙 消息队列 分布式等
ActiveMQ Redis Memcache Jenkins等漏洞
https://mp.weixin.qq.com/s/SEjxrUgiIIK2bveSBz6mTg
有利影响:搭建越多应用即方便了运维也提供给测试人员更多机会