或许对于一些EDR识别扫描是存在优势的,可以把这些思路加入到自己的web扫描器当中,变得更加OPSEC一些,例如内网的指纹识别工具等等... 内存中输出 (无文件写入或磁盘伪影) 基于控制台的脚本化集成 具有可配置抖动的多线程扫描 (连接前/连接后延迟) 通过 getaddrinfo 提供 IPv4 和 IPv6 支持 随机 HTTP 探测 在 GET、HEAD 和 OPTIONS 之间随机排序 随机 User-Agent 字符串 可变 HTTP 填充(标头后随机长度的垃圾) 域前置 (自定义 Host: 标头) 用于定制请求的自定义负载模板 服务响应的横幅抓取 端口范围和排除语法(例如,1-1024, 135,445) 主机名欺骗 (机器名称模拟) 用于未来扩展的 MAC 地址欺骗存根 高级网络隐身 随机临时源端口绑定 (49152–65535) 可变 IP TTL (1–128) 可避开基于 TTL 的简单过滤器 随机 IP TOS 值以更改数据包优先级位 设置 IP“Don't Fragment”(不分段)位以控制路径 MTU 行为 动态 TCP 窗口大小调整和 Nagle 禁用 (TCP_NODELAY) 连接前抖动延迟,以模拟用户行为
今天搜shodan的时候突然之间发现了某位大哥曾经写过的文章,其中提到了RDP截图中可以存在xxx已登录,我们可以使用此种方法来获取目标的RDP截图,以获取相关用户名,为密码爆破做铺垫。
精彩的地方在于 1.如何最大化的利用云服务器资产来扩大攻击面 水坑钓鱼 2.如何在有AC的情况下,上线CS 简单的信息收集后,发现使用了某安全厂商的ac上网设备,pc终端输入账号密码通过ac认证后可以访问互联网,而限制用户能否访问目标网站,一般都是通过配置http host头白名单来实现。 试了下公司官网,http可以正常访问,所以cs listener中配置host为公司官网域名,成功http上线。
XiaoLi最近发了公众号,主要介绍了他二开Fscan的一些点,我觉得可以作为很好的参考:
• 1,删除一些少用的功能,例如:wmiexec,SSH命令执行,MS17 EXP,http/socks5 proxy等
• 2,颜色检查,使用isatty自动检查即可,不再需要nocolor
• 3,改进ICMP扫描流量 @9bie
• 4,屏蔽掉一些没用的报错,例如Http扫描产生的 block error message like 'Unsolicited response received on idle HTTP channel starting with,MSSQL/MySQL/SSH爆破核心产生的错误
• 5,代码结构优化,例如config.go
• 6,SMB扫描,爆破重写(不在需要SMB2这个库),支持从445获取NTLM Info,并且与139端口信息获取做一些判断,445开启,则139只返回是否为域控信息,否则返回NTLM Info
• 7,默认扫描结果文件名优化
• 8,支持从RDP端口获取NTLM info
• 9,重命名整个项目
• 10,完整的IPv6支持 @jiushi
• 11,SMB爆破,判断匿名用户,也就是常说的误报
• 12,改进原来的扫描8位子网掩码的逻辑,默认遇到8位子网掩码,每24位只会扫描10个IP,从这开始优化,独立出网关扫描模式,并且脱离原来的逻辑
• 13,还有一些其他杂项的优化,修修补补
• 14,*SSH爆破问题还没解决