第16天：主机服务器&系统识别&IP资产&反查技术&端口扫描&协议探针&角色定性

#知识点：
- 1、信息收集-服务器系统-操作系统&IP资产
- 2、信息收集-服务器系统-端口扫描&服务定性
- 总结：端口扫描和工具和会遇到的困难
操作系统
- 1、Web大小写
  - windows不区分大小写，linux区分大小写
  - 网站通过改变URL的大小写可以判断操作系统。例如：访问同一个资源时，/Example 和 /example 的响应不同，可能是Linux系统；若无差异，则可能是Windows系统。
- 2、端口服务特征
  - Windows常见端口：3389（远程桌面）
  - Linux常见端口：22（SSH）
  - Windows系统通常不会提供SSH服务，而Linux系统通常缺乏3389端口服务。
- 3、TTL值判断返回（局限很大，不准确）
  - Windows 操作系统：一般情况下，Windows NT/2000/XP/2003 等系统的默认 TTL 值为 128。例如，当从 Windows 系统发送一个 IP 数据包时，它的初始 TTL 值通常是 128。这是微软操作系统在网络协议栈设计时确定的一个标准值。
  - Linux 操作系统：许多 Linux 系统（如 Ubuntu、CentOS 等）的默认 TTL 值为 64。这是由于 Linux 系统的网络协议栈在实现时，将初始 TTL 值设为 64。
IP资产
- 归属地查询
  - 服务器在哪个地方
  - 资产是否是核心资产
  - 核心资产一般放在公司内部
- 归属云厂商
  - 阿里云、腾讯云等
- IP反查机构
- IP反查域名
  - 微步在线
  - fofa
- IP-C段查询
  - 扩大测试范围
  - 目标较大经常买一整段的IP作为自己的服务器
- 这里可以转换成Web上，机构上，从而获取更多信息
端口资产
- 1、网络资产引擎：直接使用网络测绘引擎(Fofa、Hunter、Quake、00信安等搜索IP；此类网络资产测绘引擎都是每隔一段时间会对全网的网络资产去做一个轮询，那可能每个引擎的轮询周期、扫描精准度都不同，故建议可使用不同的搜索引擎以获取更多资产。
- 网络引擎是定期搜集网络资产，所以在使用时可能会出现最新的资产没有的情况
- 地址导航：
  - https://dh.aabyss.cn/
- 参考：十大网络空间安全搜索引擎（黑客必备）
- 2、在线端口扫描：百度或google直接搜索在线端口扫描就会有一些网站，同理很多功能都可以直接搜索在线xxx；例如在线正则提取解析、在线编码转换等。
- 3、本地离线工具：推荐使用Nmap、Masscan、Fscan、KScan，其中Nmap最为准确，但最慢；Masscan最快，误报相对更高。
  - 端口扫描参考文章：https://xz.aliyun.com/t/15753
  - 演示：Yakit、Nmap、TscanPlus、FScan、Tanggo等
    - Yakit
    - Nmap—姜还是老的辣
    - 无影TscanPlus（要钱）
    - FScan—小巧，方便内网使用，命令端工具
  - 考虑：1、防火墙 2、内网环境
    - 端口扫描问题
      - 1、扫描不到：防火墙，白名单或入站策略，导致通讯不上，扫描不到
        
        策略：
        
        换扫描协议—几率性绕过，钻空子（有些协议可能没加入白名单或者没加入入栈策略）
      - 2、扫描错误：目标在内网环境你看到的就是一个转发机器扫就是转发机器和目标的上面端口不一致的—一般无解
        
        策略：
        
        借助漏洞进行反链—意义不大（可以借助漏洞了也就没有扫描端口的必要了，毕竟挖洞的目的已经达到了）
  - 可能出现案例：数据库端口开放，但进行端口扫描，发现数据库端口没有开放（排除防火墙）*注意：扫描中选择扫描协议是绕过安全组防火墙设置的一种手法，具体成功需看出网入网配置
应用服务
- 常见网络服务端口
- 数据库相关端口
- 中间件及Web应用服务端口
- 虚拟化与容器相关服务端口
- 工业控制及物联网相关端口
- 云计算及分布式服务端口
- 邮件及版本控制服务端口
- 其他常见服务端口
角色定性判定
- 1、网站服务器
- 2、数据库服务器
- 3、邮件系统服务器
- 4、文件存储服务器
- 5、网络通信服务器
- 6、安全系统服务器