https://www.cnblogs.com/lgf01010/articles/9610411.html
文件共享服務端口滲透
ftp服務
FTP服務:ftp服務我分為兩種情況,第一種是使用系統(tǒng)軟件來配置胶果,比如IIS中的FTP文件共享或Linux中的默認服務軟件蕊连;第二種是通過第三方軟件來配置烘豌,比如Serv-U還有一些網上寫的簡易ftp服務器等顽铸;
默認端口:20(數據端口);21(控制端口)拧簸;69(tftp小型文件傳輸協議)
攻擊方式:
爆破:ftp的爆破工具有很多,這里我推薦owasp的Bruter以及msf中ftp爆破模塊;
匿名訪問:用戶名:anonymous? 密碼:為空或任意郵箱
用戶名:FTP??????????? 密碼:FTP或為空
用戶名:USET???????? 密碼:pass
當然還有不需要用戶名密碼直接訪問的,一般出現在局域網中宅荤;
嗅探:ftp使用明文傳輸技術(但是嗅探給予局域網并需要欺騙或監(jiān)聽網關)
后門技術:在linux的vsftp某一版本中冯键,存在著一個后門程序惹盼,只要在用戶名后面加上 就會在6200上打開一個監(jiān)聽Shell,我們可以使用telnet直接連接琼了;詳細請點擊
遠程溢出漏洞:6.10.1 IIS FTP遠程溢出漏洞,在IIS FTP服務器中NLST命令存在一個緩沖區(qū)溢出漏洞夫晌,這個漏洞可能是攻擊者在服務器運行一條非法命令雕薪。
跳轉攻擊:(Bounce Attacks)攻擊者發(fā)送一個FTP”PORT”命令給目標FTP服務器,其中包含該主機的網絡地址和被攻擊的服務的端口號晓淀。這樣所袁,客戶端就能命令FTP服務器發(fā)一個文件給被攻擊的服務。這個文件可能包括根被攻擊的服務有關的命令(如SMTP,NNTP等)凶掰。由于是命令第三方去連接到一種服務燥爷,而不是直接連接蜈亩,就使得跟蹤攻擊者變得困難,并且還避開了基于網絡地址的訪問限制前翎。(注:此種情況小白并沒有遇到過稚配,只是總結一下,歡迎大牛指教)
案例分享:
NFS服務
nfs:網絡文件系統(tǒng)港华,允許網絡中的計算機通過TCP/IP網絡共享資源道川。基于Linux系統(tǒng)立宜,配置方面很簡單冒萄,詳細配置請參考案例分享。在nfs配置中橙数,有不做任何限制的尊流,有限制用戶,有限制IP灯帮,以及在版本2.x中我們還可以使用證書來驗證用戶崖技。當然不同的限制可以采用的攻擊方式也不一樣;就目前而言網上關于nfs的攻擊還是比較少的!
默認端口:2049
攻擊方式:
未授權訪問:未限制IP以及用戶權限設置錯誤
案例分享:
Samba服務
Samba服務:對于這個可以在windows與Linux之間進行共享文件的服務同樣是我們攻擊的關注點施流;samba登錄分為兩種方式响疚,一種是需要用戶名口令;另一種是不需要用戶名口令瞪醋。在很多時候不光是pc機忿晕,還有一些服務器,網絡設備都開放著此服務银受,方便進行文件共享践盼,但是同時也給攻擊者提供了便利。
默認端口:137(主要用戶NetBIOS Name Service宾巍;NetBIOS名稱服務)咕幻、139(NetBIOS Session Service,主要提供samba服務)
攻擊方式:
爆破:弱口令(爆破工具采用hydra)hydra -l username -P
PassFile IP smb
未授權訪問:給予public用戶高權限
遠程代碼執(zhí)行漏洞:CVE-2015-0240等等
案例分享:
LDAP協議
ldap:輕量級目錄訪問協議顶霞,最近幾年隨著ldap的廣泛使用被發(fā)現的漏洞也越來越多肄程。但是畢竟主流的攻擊方式仍舊是那些,比如注入选浑,未授權等等蓝厌;這些問題的出現也都是因為配置不當而造成的。
默認端口:389
攻擊方式:
注入攻擊:盲注
未授權訪問:
爆破:弱口令
案例分享:
遠程連接服務端口滲透
SSH服務
SSH服務:這個服務基本會出現在我們的Linux服務器古徒,網絡設備拓提,安全設備等設備上,而且很多時候這個服務的配置都是默認的隧膘;對于SSH服務我們可能使用爆破攻擊方式較多代态。
默認端口:22
攻擊方式
爆破:弱口令寺惫、
漏洞:28退格漏洞、OpenSSL漏洞
案例分享:
Telnet服務
Telnet服務:在SSH服務崛起的今天我們已經很難見到使用telnet的服務器蹦疑,但是在很多設備上同樣還是有這個服務的西雀;比如cisco、華三必尼,深信服等廠商的設備蒋搜;我就有很多次通過telnet弱口令控制這些設備;
默認端口:23
攻擊方式
爆破:弱口令
嗅探:此種情況一般發(fā)生在局域網判莉;
案例分享:
Windows遠程連接
遠程桌面連接:作為windows上進行遠程連接的端口豆挽,很多時候我們在得到系統(tǒng)為windows的shell的時候我們總是希望可以登錄3389實際操作對方電腦;這個時候我們一般的情況分為兩種券盅。一種是內網帮哈,需要先將目標機3389端口反彈到外網;另一種就是外網锰镀,我們可以直接訪問娘侍;當然這兩種情況我們利用起來可能需要很苛刻的條件,比如找到登錄密碼等等泳炉;
默認端口:3389
攻擊方式:
爆破:3389端口爆破工具就有點多了
Shift粘滯鍵后門:5次shift后門
3389漏洞攻擊:利用ms12-020攻擊3389端口憾筏,導致服務器關機;請參考
VNC服務
VNC:一款優(yōu)秀的遠控工具花鹅,常用語類UNIX系統(tǒng)上氧腰,簡單功能強大;也
默認端口:5900+桌面ID(5901刨肃;5902)
攻擊方式:
爆破:弱口令
認證口令繞過:
拒絕服務攻擊:(CVE-2015-5239)
權限提升:(CVE-2013-6886)
案例分享:
Pcanywhere服務
PyAnywhere服務:一款遠控工具古拴,有點類似vnc的功能;這個服務在以前很多黑客發(fā)的視頻里面都有真友,利用pcanywhere來進行提權黄痪;
默認端口:5632
攻擊方式:
提權控制服務:
拒絕服務攻擊:
代碼執(zhí)行:請參考
案例分享:
黑龍江物價局多處安全漏洞可能導致服務器淪陷(pcAnywhere提權+密碼突破)
Web應用服務端口滲透
HTTP服務:對于http服務其實是我們目前這幾年比較常見的攻擊入口,所以這里會針對http服務進行一個詳細的詳解盔然;
注:這個板塊的所有攻擊方式桅打,如果涉及到常規(guī)的web漏洞不會提出來,除非是特定的服務器才會產生的漏洞愈案;
IIS服務
默認端口:80/81/443
攻擊方式:
IIS
PUT寫文件:利用IIS漏洞挺尾,put方法直接將文件放置到服務器上
短文件名泄漏:這種一般沒啥影響
解析漏洞:詳細見apache服務
案例分享:
用友軟件IIS寫權限(PUT)導致可獲取webshell控制服務器
Apache/Tomcat/Nginx/Axis2
默認端口:80/8080
攻擊方式:
爆破:弱口令(爆破manager后臺)
HTTP慢速攻擊:可以把服務器打死,對一些大型的網站有影響刻帚;
解析漏洞:請參考
案例分享:
安卓開發(fā)平臺存在上傳漏洞和Apache解析漏洞,成功獲取webshell
WebLogic
默認端口:7001
攻擊方式:
爆破:弱口令 4組:用戶名密碼均一致:system weblogic(密碼可能weblogic123) portaladmin guest
Congsole后臺部署webshell:
Java反序列化:
泄漏源代碼/列目錄:這個太老了潦嘶,估計網上都沒有了吧涩嚣!
SSRF窺探內網:央視網SSRF可窺探內網
案列分享:
Jboss
默認端口8080崇众;其他端口1098/1099/4444/4445/8080/8009/8083/8093
攻擊方式:
爆破:弱口令(爆破jboss系統(tǒng)后臺)
遠程代碼執(zhí)行:由于配置不當造成
Java反序列化:
案例分享
Websphere
默認端口:908*掂僵;第一個應用就是9080,第二個就是9081顷歌;控制臺9090
攻擊方式:
爆破:弱口令(控制臺)
任意文件泄漏:(CVE-2014-0823)
Java反序列化
案例分享:
中國電信某通用型業(yè)務系統(tǒng)(Websphere)GetShell漏洞
大漢網絡有限公司遠程命令執(zhí)行漏洞(WebSphere案例)
GlassFish
默認端口:http 8080锰蓬;IIOP 3700;控制臺4848
攻擊方式:
爆破:弱口令(對于控制臺)
任意文件讀让袖觥:
認證繞過:
案例分享:
Jenkins
默認端口:8080芹扭、8089
攻擊方式:
爆破:弱口令(默認管理員)
未授權訪問:
反序列化:
案例分享:
酷6Jenkins系統(tǒng)未授權訪問可執(zhí)行系統(tǒng)命令
Resin
默認端口:8080
攻擊方式:
目錄遍歷
遠程文件讀取
案例分享:
Resin漏洞利用案例之目錄遍歷/以金蝶某系統(tǒng)為例
Jetty
默認端口:8080
攻擊方式:
Lotus
影響的都是一些大型的企業(yè),特別需要注意赦抖,經過以前的測試發(fā)現弱口令這個問題經常都存在舱卡,可能是很多管理員不知道如何去修改(不要打我)。
默認端口:1352
攻擊方式:
爆破:弱口令(admin password)控制臺
信息泄露
跨站腳本攻擊
案例分享:
中電投集團某系統(tǒng)弱口令直達內網涉及/OA系統(tǒng)/內部郵箱/財務系統(tǒng)/人力資源系統(tǒng)
中國某大型金融機構地方業(yè)務弱口令導致數萬商戶信息泄露&訪問Lotus Domino后臺
數據庫服務端口滲透
針對所有的數據庫攻擊方式都存在SQL注入队萤,這里先提出來在下面就不一一寫了免得大家說我占篇幅轮锥;當然不同的數據庫注入技巧可能不一樣,特別是NoSQL與傳統(tǒng)的SQL數據庫不太一樣要尔。但是這不是本文需要介紹的重點舍杜,后面有時間會寫一篇不同數據庫的滲透技巧。
MySQL數據庫
默認端口:3306
攻擊方式:
爆破:弱口令
身份認證漏洞:CVE-2012-2122
拒絕服務攻擊:利用sql語句是服務器進行死循環(huán)打死服務器
Phpmyadmin萬能密碼繞過:用戶名:‘localhost’@’@”? 密碼任意
案例分享:
MSSQL數據庫
默認端口:1433(Server 數據庫服務)赵辕、1434(Monitor 數據庫監(jiān)控)
攻擊方式:
爆破:弱口令/使用系統(tǒng)用戶
案例分享:
從攻擊MSSQL到提權: 使用msf針對mssql的一次完整滲透
Oracle數據庫
默認端口:1521(數據庫端口)既绩、1158(Oracle EMCTL端口)、8080(Oracle XDB數據庫)还惠、210(Oracle XDB FTP服務)
攻擊方式:
爆破:弱口令
注入攻擊饲握;
漏洞攻擊;
案例分享:
PostgreSQL數據庫
PostgreSQL是一種特性非常齊全的自由軟件的對象–關系型數據庫管理系統(tǒng)吸重,可以說是目前世界上最先進互拾,功能最強大的自由數據庫管理系統(tǒng)。包括我們kali系統(tǒng)中msf也使用這個數據庫嚎幸;淺談postgresql數據庫攻擊技術大部分關于它的攻擊依舊是sql注入颜矿,所以注入才是數據庫不變的話題。
默認端口:5432
攻擊方式:
爆破:弱口令:postgres postgres
緩沖區(qū)溢出:CVE-2014-2669
案例分享:
MongoDB數據庫
MongoDB:NoSQL數據庫嫉晶;攻擊方法與其他數據庫類似骑疆;關于它的安全講解:請參考
默認端口:27017
攻擊方式:
爆破:弱口令
未授權訪問;github有攻擊代碼替废;請點擊
案例分享:
Redis數據庫
redis:是一個開源的使用c語言寫的箍铭,支持網絡、可基于內存亦可持久化的日志型椎镣、key-value數據庫诈火。關于這個數據庫這兩年還是很火的,暴露出來的問題也很多状答。特別是前段時間暴露的未授權訪問冷守。Exp:https://yunpan.cn/cYjzHxawFpyVt? 訪問密碼 e547
默認端口:6379
攻擊方式:
爆破:弱口令
未授權訪問+配合ssh key提權刀崖;
案例分享:
SysBase數據庫
默認端口:服務端口5000;監(jiān)聽端口4100拍摇;備份端口:4200
攻擊方式:
爆破:弱口令
命令注入:
案例分享:
DB2數據庫
默認端口:5000
攻擊方式:
安全限制繞過:成功后可執(zhí)行未授權操作(CVE-2015-1922)
案例分享:
總結一下:對于數據庫亮钦,我們得知端口很多時候可以幫助我們去滲透,比如得知mysql的 數據庫充活,我們就可以使用SQL注入進行mof蜂莉、udf等方式提權;如果是mssql我們就可以使用xp_cmdshell來進行提權混卵;如果是其它的數據 庫映穗,我們也可以采用對應的方式;比如各大數據庫對應它們的默認口令幕随,版本對應的漏洞男公!
順便提一下:很多時候銀行企業(yè)采用的都是oracle、db2等大型數據庫合陵;
郵件服務端口滲透
SMTP協議
smtp:郵件協議枢赔,在linux中默認開啟這個服務,可以向對方發(fā)送釣魚郵件拥知!
默認端口:25(smtp)踏拜、465(smtps)
攻擊方式:
爆破:弱口令
未授權訪問
案例分享:
POP3協議
默認端口:109(POP2)低剔、110(POP3)速梗、995(POP3S)
攻擊方式:
爆破;弱口令
未授權訪問襟齿;
案例分享:
中國聯通沃郵箱等部分Android客戶端免密碼登陸(可獲取任意聯通用戶pop3密碼)
中航信郵箱密碼泄漏及VPN賬號和大量郵箱弱口令導致可內網漫游拿到域控
IMAP協議
默認端口:143(imap)姻锁、993(imaps)
攻擊方式:
爆破:弱口令
配置不當
案例分享:
網絡常見協議端口滲透
DNS服務
默認端口:53
攻擊方式:
區(qū)域傳輸漏洞
見2中的總結
案例分享:
全球Top1000Websites中存在DNS區(qū)域傳送漏洞的網站列表
DHCP服務
默認端口:67&68、546(DHCP Failover做雙機熱備的)
攻擊方式:
DHCP劫持猜欺;
見2中總結
案例分享:
SNMP協議
默認端口:161
攻擊方式:
爆破:弱口令
案例分享:
其他端口滲透
Hadoop文件服務
默認端口:請參考
案例分享:
Zookeeper服務
zookeeper:分布式的位隶,開放源碼的分布式應用程序協調服務;提供功能包括:配置維護开皿、域名服務涧黄、分布式同步、組服務等赋荆。詳情請參考百度百科
默認端口:2181
攻擊方式:
未授權訪問笋妥;
案例分享:
網上關于這方面的案例暫時不多,但是對于大數據逐漸泛濫的今天窄潭,這些漏洞未來會在烏云上出現一大波耕拷!
Zabbix服務
zabbix:基于Web界面的提供分布式系統(tǒng)監(jiān)視以及網絡監(jiān)視功能的企業(yè)級的開源解決方案擎宝。監(jiān)視各種網絡參數,保證服務器系統(tǒng)的安全運營。
默認端口:8069
攻擊方式:
遠程命令執(zhí)行:
案例分享:
網易zabbix運維不當运敢,導致任意命令執(zhí)行。(可提權、可內網滲透)
elasticsearch服務
elasticsearch:請百度(因為我覺得我解釋不清楚)
默認端口:9200()、9300()
攻擊方式:
未授權訪問;
遠程命令執(zhí)行油挥;
文件遍歷潦蝇;
低版本webshell植入;
案例分享:
memcache服務
默認端口:11211
案例分享:
Linux R服務
R服務:TCP端口512,513和514為著名的rlogin提供服務深寥。在系統(tǒng)中被錯誤配置從而允許遠程訪問者從任何地方訪問(標準的攘乒,rhosts + +)。
默認端口:512(remote process execution)惋鹅;513(remote login a la
telnet)则酝;514(cmd)
攻擊方式:
使用rlogin直接登錄對方系統(tǒng);
RMI
RMI:我們使用這兩個端口很少的原因是因為必須是java闰集,而且rmi穿越防火墻并不好穿越沽讹;這里我不會去涉及其他的東西,這里提出RMI只是因為在前段時間的java反序列化中武鲁,我們的小伙伴Bird寫過一個weblogic利用工具爽雄,里面涉及到了RMI的一些東西,在有的時候使用socket不能成功時沐鼠,我們可以使用RMI方式來進行利用挚瘟;
默認端口:1090()、1099()
攻擊方式:
遠程命令執(zhí)行(java反序列化饲梭,調用rmi方式執(zhí)行命令)
這就是RMI的魅力了乘盖!
工具下載:請點我
Rsync服務
Rsync:類UNIX系統(tǒng)下的數據備份工具(remote sync),屬于增量備份憔涉;關于它的功能订框,大家自行百度百科吧,其實上面很多大家也看到了說是端口滲透兜叨,其實就是端口對應服務的滲透布蔗,服務一般出錯就在配置或者版本問題上,rsync也不例外浪腐。Rsync默認允許匿名訪問纵揍,如果在配置文件中沒有相關的用戶認證以及文件授權,就會觸發(fā)隱患议街。
默認端口:873
攻擊方式:
未授權訪問泽谨;
本地提權:rsync默認以root運行,利用rsync上傳一個文件,只要這個文件具有s權限吧雹,我們執(zhí)行我們的攻擊腳本就可以具有root權限骨杂。詳細請參考和參考二
案例分享:
Socket代理
默認端口:1080
Socket代理針對代理來說沒有什么漏洞,一般只是在滲透過程中作為我們的代理雄卷,進入內網搓蚪,或者滲透域和林的時候有幫助。這里不做過多描述丁鹉,但是可以嘗試爆破一下代理的用戶名和密碼妒潭,萬一運氣好能登錄,不也~~~~
案例分享: