澳门新萄京官方网站-www.8455.com-澳门新萄京赌场网址

端口渗透,网站渗透思路全方面总结

2019-08-10 作者:数据库网络   |   浏览(110)

一个网站的渗透测试思路,流程(给你一个网站,怎么做?)

       1)信息收集

       a. 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等)
              b. 网站指纹识别(包括,cms,cdn,证书等),dns记录
              c. whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等)
              d. 子域名收集,旁站查询(有授权可渗透),C段等
              e. google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等
              f. 扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄漏等
              i. 传输协议,通用漏洞,exp,github源码等

       2)漏洞挖掘

      1> 浏览网站,看看网站规模,功能,特点等

              2> 端口,弱口令,目录等扫描
              3> XSS,SQL注入,命令注入,CSRF,cookie安全检测,敏感信息,通信数据传输,暴力破解,任意文件上传,越权访问,未授权访问,目录遍历,文件 包含,重放攻击(短信轰炸),服务器漏洞检测,最后使用漏扫工具等

3)漏洞利用 | 权限提升

              a) mysql提权,serv-u提权,linux内核版本提权等

4)清除测试数据 | 输出报告

              i 日志、测试数据的清理
              ii 总结,输出渗透测试报告,附修复方案

5)复测

              验证并发现是否有新漏洞,输出报告,归档

针对新手写一点渗透的小思路、小技巧,主要讲的是思路,所有不会太详细。

针对新手写一点渗透的小思路、小技巧,主要讲的是思路,所有不会太详细。经常逛一些好的博客或者门户站,坚持下来,每天学一点思路,你会积累到很多东西,记住:技术需要时间沉淀。黑客协会创始人花无涯微博可以看看。

0x00 背景
在前段时间的渗透中,我发现通过端口来进行渗透有时会提升我们的效率,所以才有了这篇文章的诞生;
首先分享一份关于端口及他们对应的服务文件:https://yunpan.cn/cYyNXEpZNYvxQ 访问密码 983e
这里再分享一篇我曾经在百度文库提交的端口渗透文章:请点我
再次看这篇文章发现写的很简单,也只描述了几个常见的端口渗透;而且一般我们都是可以修 改默认端口的,所以平时在渗透过程中,对端口信息的收集就是一个很重要的过程;然后对症下药就可以更快的渗透进入我们需要的服务器;接下来就详细通过渗透 实战对端口的渗透进行更加深入的剖析;
端口渗透过程中我们需要关注几个问题:
1、 端口的banner信息
2、 端口上运行的服务
3、 常见应用的默认端口
当然对于上面这些信息的获取,我们有各式各样的方法,最为常见的应该就是nmap了吧!我们也可以结合其他的端口扫描工具,比如专门的3389、1433等等的端口扫描工具;

 

经常逛一些好的博客或者门户站,坚持下来,每天学一点思路,你会积累到很多东西,记住:技术需要时间沉淀。

(一)针对网站程序,不考虑服务器。

服务默认端口
公认端口(Well Known Ports):0-1023,他们紧密绑定了一些服务;
注册端口(Registered Ports):1024-49151,他们松散的绑定了一些服务;
动态/私有:49152-65535,不为服务分配这些端口;
当然这些端口都可以通过修改来达到欺骗攻击者的目的,但是这就安全了吗?攻击者又可以使用什么攻击方式来攻击这些端口呢?
还需要注明的一点是:很多木马工具也有特定的端口,本文并没有涉及到这块的内容,大家可以自己去收集收集!

端口渗透总结

(一)针对网站程序,不考虑服务器。

图片 1

关于爆破之我见
在对这些端口进行实战讲解时,我需要先阐述一下我对爆破这个方式的一些看法;
爆破:技术最简单,需要的技术能力基本为0,工作效率与网络、硬件等相关,在我看来爆破其实是最强大的攻击方式,特别是结合一些特制的字典,结合社工我们可以在很短的时间达到最大的效果,只不过因为我们的pc或者字典不够强大,所以很多时候我们不能进行一次优秀的爆破攻击;当然现在很多web应用以及服务端口都限制了暴力破解;对于这种做了限制的我们可能就需要利用到本文提到的其他攻击了!
分享一个团队sai总结的字典:请点击
声明:本文总结的都是近两年的常见漏洞,以前的老版漏洞以及危害性不大的漏洞没有总结,望大家谅解!

0x00 背景

 

端口渗透过程中我们需要关注几个问题:

1、  端口的banner信息

2、  端口上运行的服务

3、  常见应用的默认端口

当然对于上面这些信息的获取,我们有各式各样的方法,最为常见的应该就是nmap了吧!我们也可以结合其他的端口扫描工具,比如专门的3389、1433等等的端口扫描工具;

一、查找注入,注意数据库用户权限和站库是否同服。

一、查找注入,注意数据库用户权限和站库是否同服。

0x01 实战测试
文件共享服务端口渗透
ftp服务
FTP服务:ftp服务我分为两种情况,第一种是使用系统软件来配置,比如IIS中的FTP文件共享或Linux中的默认服务软件;第二种是通过第三方软件来配置,比如Serv-U还有一些网上写的简易ftp服务器等;
默认端口:20(数据端口);21(控制端口);69(tftp小型文件传输协议)
攻击方式:
爆破:ftp的爆破工具有很多,这里我推荐owasp的Bruter 以及msf中ftp爆破模块;
匿名访问:用户名:anonymous 密码:为空或任意邮箱
用户名:FTP 密码:FTP或为空
用户名:USET 密码:pass
当然还有不需要用户名密码直接访问的,一般出现在局域网中;

服务默认端口

公认端口(Well Known Ports):0-1023,他们紧密绑定了一些服务;

注册端口(Registered Ports):1024-49151,他们松散的绑定了一些服务;

动态/私有:49152-65535,不为服务分配这些端口;

当然这些端口都可以通过修改来达到欺骗攻击者的目的,但是这就安全了吗?攻击者又可以使用什么攻击方式来攻击这些端口呢?

还需要注明的一点是:很多木马工具也有特定的端口,本文并没有涉及到这块的内容,大家可以自己去收集收集!

二、查找XSS,最近盲打很流行,不管怎样我们的目的是进入后台。

二、查找XSS,最近盲打很流行,不管怎样我们的目的是进入后台。

关于爆破之我见

在对这些端口进行实战讲解时,我需要先阐述一下我对爆破这个方式的一些看法;

爆破:技术最简单,需要的技术能力基本为0,工作效率与网络、硬件等相关,在我看来爆破其实是最强大的攻击方式,特别是结合一些特制的字典,结合社工我们可以在很短的时间达到最大的效果,只不过因为我们的pc或者字典不够强大,所以很多时候我们不能进行一次优秀的爆破攻击;当然现在很多web应用以及服务端口都限制了暴力破解;对于这种做了限制的我们可能就需要利用到本文提到的其他攻击了!

分享一个团队sai总结的字典:请点击

声明:本文总结的都是近两年的常见漏洞,以前的老版漏洞以及危害性不大的漏洞没有总结,望大家谅解!

三、查找上传,一些能上传的页面,比如申请友链、会员头像、和一些敏感页面等等,注意查看验证方式是否能绕过,注意结合服务器的解析特性,比如典型的IIS6.0、阿帕奇等。

三、查找上传,一些能上传的页面,比如申请友链、会员头像、和一些敏感页面等等,注意查看验证方式是否能绕过,注意结合服务器的解析特性,比如典型的IIS6.0、阿帕奇等。

端口渗透总结 - 303Donatello - 303Donatello

0x01 实战测试

四、查找编辑器,比较典型的ewebeditor、fckeditor等等。

四、查找编辑器,比较典型的ewebeditor、fckeditor等等。

嗅探:ftp使用明文传输技术(但是嗅探给予局域网并需要欺骗或监听网关)

文件共享服务端口渗透

五、查找phpmyadmin等管理程序,可以尝试弱口令,或者寻找其漏洞。

五、查找phpmyadmin等管理程序,可以尝试弱口令,或者寻找其漏洞。

端口渗透总结 - 303Donatello - 303Donatello

ftp服务

FTP服务:ftp服务我分为两种情况,第一种是使用系统软件来配置,比如IIS中的FTP文件共享或Linux中的默认服务软件;第二种是通过第三方软件来配置,比如Serv-U还有一些网上写的简易ftp服务器等;

默认端口:20(数据端口);21(控制端口);69(tftp小型文件传输协议)

攻击方式:

爆破:ftp的爆破工具有很多,这里我推荐owasp的Bruter 以及msf中ftp爆破模块;

匿名访问:用户名:anonymous  密码:为空或任意邮箱

用户名:FTP            密码:FTP或为空

用户名:USET         密码:pass

当然还有不需要用户名密码直接访问的,一般出现在局域网中;

图片 2

嗅探:ftp使用明文传输技术(但是嗅探给予局域网并需要欺骗或监听网关)

图片 3

后门技术:在linux的vsftp某一版本中,存在着一个后门程序,只要在用户名后面加上 就会在6200上打开一个监听Shell,我们可以使用telnet直接连接;详细请点击

远程溢出漏洞:6.10.1 IIS FTP远程溢出漏洞,在IIS FTP服务器中NLST命令存在一个缓冲区溢出漏洞,这个漏洞可能是攻击者在服务器运行一条非法命令。

跳转攻击:(Bounce Attacks)攻击者发送一个FTP”PORT”命令给目标FTP服务器,其中包含该主机的网络地址和被攻击的服务的端口号。这样,客户端就能命令FTP服务器发一个文件给被攻击的服务。这个文件可能包括根被攻击的服务有关的命令(如SMTP,NNTP等)。由于是命令第三方去连接到一种服务,而不是直接连接,就使得跟踪攻击者变得困难,并且还避开了基于网络地址的访问限制。(注:此种情况小白并没有遇到过,只是总结一下,欢迎大牛指教)

案例分享:

山东电信Serv-U Web客户端弱口令

长虹ftp弱口令导致全网数据泄漏

六、百度、谷歌搜索程序公开漏洞。

六、百度、谷歌搜索程序公开漏洞。

后门技术:在linux的vsftp某一版本中,存在着一个后门程序,只要在用户名后面加上 就会在6200上打开一个监听Shell,我们可以使用telnet直接连接;详细请点击
远程溢出漏洞:6.10.1 IIS FTP远程溢出漏洞,在IIS FTP服务器中NLST命令存在一个缓冲区溢出漏洞,这个漏洞可能是攻击者在服务器运行一条非法命令。
跳转攻击:(Bounce Attacks)攻击者发送一个FTP”PORT”命令给目标FTP服务器,其中包含该主机的网络地址和被攻击的服务的端口号。这样,客户端就能命令FTP服务器发一个文件给被攻击的服务。这个文件可能包括根被攻击的服务有关的命令(如SMTP,NNTP等)。由于是命令第三方去连接到一种服务,而不是直接连接,就使得跟踪攻击者变得困难,并且还避开了基于网络地址的访问限制。(注:此种情况小白并没有遇到过,只是总结一下,欢迎大牛指教)
案例分享:
山东电信Serv-U Web客户端弱口令
长虹ftp弱口令导致全网数据泄漏

NFS服务

nfs:网络文件系统,允许网络中的计算机通过TCP/IP网络共享资源。基于Linux系统,配置方面很简单,详细配置请参考案例分享。在nfs配置中,有不做任何限制的,有限制用户,有限制IP,以及在版本2.x中我们还可以使用证书来验证用户。当然不同的限制可以采用的攻击方式也不一样;就目前而言网上关于nfs的攻击还是比较少的!

默认端口:2049

攻击方式:

未授权访问:未限制IP以及用户权限设置错误

案例分享:

Nfs配置不当导致被入侵

NFS服务全攻略

七、猜解文件,如知道某文件为admin_login.php,我们可尝试admin_add.php、admin_upload.php文件是否存在,也可以谷歌搜索site:exehack.net inurl:edit等等,很多时候可以找到一些敏感文件,接着看是否验证权限或能否绕过验证。

七、猜解文件,如知道某文件为admin_login.php,我们可尝试admin_add.php、admin_upload.php文件是否存在,也可以谷歌搜索site:exehack.net inurl:edit等等,很多时候可以找到一些敏感文件,接着看是否验证权限或能否绕过验证。

NFS服务
nfs:网络文件系统,允许网络中的计算机通过TCP/IP网络共享资源。基于Linux系统,配置方面很简单,详细配置请参考案例分享。在nfs配置中,有不做任何限制的,有限制用户,有限制IP,以及在版本2.x中我们还可以使用证书来验证用户。当然不同的限制可以采用的攻击方式也不一样;就目前而言网上关于nfs的攻击还是比较少的!
默认端口:2049
攻击方式:
未授权访问:未限制IP以及用户权限设置错误
案例分享:
Nfs配置不当导致被入侵
NFS服务全攻略

Samba服务

Samba服务:对于这个可以在windows与Linux之间进行共享文件的服务同样是我们攻击的关注点;samba登录分为两种方式,一种是需要用户名口令;另一种是不需要用户名口令。在很多时候不光是pc机,还有一些服务器,网络设备都开放着此服务,方便进行文件共享,但是同时也给攻击者提供了便利。

默认端口:137(主要用户NetBIOS Name Service;NetBIOS名称服务)、139(NetBIOS Session Service,主要提供samba服务)

攻击方式:

爆破:弱口令(爆破工具采用hydra)hydra -l username -P
PassFile IP smb

未授权访问:给予public用户高权限

远程代码执行漏洞:CVE-2015-0240等等

案例分享:

Samba远程代码执行漏洞

未授权访问文件系统漏洞

八、会员注册、修改、删除、评论等一切需要操作数据库的地方记得加单引号之类查看是否存在insert、update等类型注入。

八、会员注册、修改、删除、评论等一切需要操作数据库的地方记得加单引号之类查看是否存在insert、update等类型注入。

Samba服务
Samba服务:对于这个可以在windows与Linux之间进行共享文件的服务同样是我们攻击的关注点;samba登录分为两种方式,一种是需要用户名口令;另一种是不需要用户名口令。在很多时候不光是pc机,还有一些服务器,网络设备都开放着此服务,方便进行文件共享,但是同时也给攻击者提供了便利。
默认端口:137(主要用户NetBIOS Name Service;NetBIOS名称服务)、139(NetBIOS Session Service,主要提供samba服务)
攻击方式:
爆破:弱口令(爆破工具采用hydra)hydra -l username -PPassFile IP smb
未授权访问:给予public用户高权限
远程代码执行漏洞:CVE-2015-0240等等
案例分享:
Samba远程代码执行漏洞
未授权访问文件系统漏洞

LDAP协议

ldap:轻量级目录访问协议,最近几年随着ldap的广泛使用被发现的漏洞也越来越多。但是毕竟主流的攻击方式仍旧是那些,比如注入,未授权等等;这些问题的出现也都是因为配置不当而造成的。

默认端口:389

攻击方式:

注入攻击:盲注

未授权访问:

爆破:弱口令

案例分享:

LDAP注入与防御剖析

欧朋LDAP服务匿名访问

使用LDAP查询快速提升域权限

九、会员或低权限管理登陆后可抓包分析,尝试修改超级管理员密码,权限提升。

九、会员或低权限管理登陆后可抓包分析,尝试修改超级管理员密码,权限提升。

LDAP协议
ldap:轻量级目录访问协议,最近几年随着ldap的广泛使用被发现的漏洞也越来越多。但是毕竟主流的攻击方式仍旧是那些,比如注入,未授权等等;这些问题的出现也都是因为配置不当而造成的。
默认端口:389
攻击方式:
注入攻击:盲注
未授权访问:
爆破:弱口令
案例分享:
LDAP注入与防御剖析
欧朋LDAP服务匿名访问
使用LDAP查询快速提升域权限

远程连接服务端口渗透

十、通常有下载功能的站我们可以尝试修改下URL文件名,看能否下载站点敏感文件,如数据库配置文件等,数据库不可外连情况下可以尝试数据库密码登陆后台,也可下载上传、登陆验证等文件进行代码审计。

十、通常有下载功能的站我们可以尝试修改下URL文件名,看能否下载站点敏感文件,如数据库配置文件等,数据库不可外连情况下可以尝试数据库密码登陆后台,也可下载上传、登陆验证等文件进行代码审计。

远程连接服务端口渗透
SSH服务
SSH服务:这个服务基本会出现在我们的Linux服务器,网络设备,安全设备等设备上,而且很多时候这个服务的配置都是默认的;对于SSH服务我们可能使用爆破攻击方式较多。
默认端口:22
攻击方式
爆破:弱口令、
漏洞:28退格漏洞、OpenSSL漏洞
案例分享:
安宇创新科技ssh弱口令
宜信贷某站存在OpenSSL漏洞

SSH服务

SSH服务:这个服务基本会出现在我们的Linux服务器,网络设备,安全设备等设备上,而且很多时候这个服务的配置都是默认的;对于SSH服务我们可能使用爆破攻击方式较多。

默认端口:22

攻击方式

爆破:弱口令、

漏洞:28退格漏洞、OpenSSL漏洞

案例分享:

安宇创新科技ssh弱口令

宜信贷某站存在OpenSSL漏洞

十一、备份文件和后门,某些主站子目录存在分站,比如www.exehack.net/software,我们可以尝试www.exehack.net/software.zip/zip等压缩文件是否存在,可能就是子站的源码。也有一些站类似这样www.exehack.net/old/,一般都是以前的老站,通常老站会比较容易拿。

十一、备份文件和后门,某些主站子目录存在分站,比如www.2cto.com/software,我们可以尝试www.2cto.com/software.zip/zip等压缩文件是否存在,可能就是子站的源码。也有一些站类似这样www.2cto.com/old/,一般都是以前的老站,通常老站会比较容易拿。还有就是数据库备份、前人的后门等,具体这些目录上的东西就要看你的字典了。

Telnet服务
Telnet服务:在SSH服务崛起的今天我们已经很难见到使用telnet的服务器,但是在很多设备上同样还是有这个服务的;比如cisco、华三,深信服等厂商的设备;我就有很多次通过telnet弱口令控制这些设备;
默认端口:23
攻击方式
爆破:弱口令
嗅探:此种情况一般发生在局域网;
案例分享:
大量惠普打印机远程telnet可被查看和操作

Telnet服务

Telnet服务:在SSH服务崛起的今天我们已经很难见到使用telnet的服务器,但是在很多设备上同样还是有这个服务的;比如cisco、华三,深信服等厂商的设备;我就有很多次通过telnet弱口令控制这些设备;

默认端口:23

攻击方式

爆破:弱口令

嗅探:此种情况一般发生在局域网;

案例分享:

大量惠普打印机远程telnet可被查看和操作

还有就是数据库备份、前人的后门等,具体这些目录上的东西就要看你的字典了。

十二、0day漏洞,不管是别人给你的,还是自己挖的,总之好使就行。

Windows远程连接
远程桌面连接:作为windows上进行远程连接的端口,很多时候我们在得到系统为windows的shell的时候我们总是希望可以登录3389实际操作对方电脑;这个时候我们一般的情况分为两种。一种是内网,需要先将目标机3389端口反弹到外网;另一种就是外网,我们可以直接访问;当然这两种情况我们利用起来可能需要很苛刻的条件,比如找到登录密码等等;
默认端口:3389
攻击方式:
爆破:3389端口爆破工具就有点多了
Shift粘滞键后门:5次shift后门
3389漏洞攻击:利用ms12-020攻击3389端口,导致服务器关机;请参考

Windows远程连接

远程桌面连接:作为windows上进行远程连接的端口,很多时候我们在得到系统为windows的shell的时候我们总是希望可以登录3389实际操作对方电脑;这个时候我们一般的情况分为两种。一种是内网,需要先将目标机3389端口反弹到外网;另一种就是外网,我们可以直接访问;当然这两种情况我们利用起来可能需要很苛刻的条件,比如找到登录密码等等;

默认端口:3389

攻击方式:

爆破:3389端口爆破工具就有点多了

Shift粘滞键后门:5次shift后门

3389漏洞攻击:利用ms12-020攻击3389端口,导致服务器关机;请参考

十二、0day漏洞,不管是别人给你的,还是自己挖的,总之好使就行。

十三、。。。(二)针对服务器一、通常先扫下服务器开放的端口,再考虑对策。

VNC服务
VNC:一款优秀的远控工具,常用语类UNIX系统上,简单功能强大;也
默认端口:5900 桌面ID(5901;5902)
攻击方式:
爆破:弱口令
认证口令绕过:
拒绝服务攻击:(CVE-2015-5239)
权限提升:(CVE-2013-6886)
案例分享:
广西电信客服服务器使用VNC存在弱口令可直接控制

VNC服务

VNC:一款优秀的远控工具,常用语类UNIX系统上,简单功能强大;也

默认端口:5900 桌面ID(5901;5902)

攻击方式:

爆破:弱口令

认证口令绕过:

拒绝服务攻击:(CVE-2015-5239)

权限提升:(CVE-2013-6886)

案例分享:

广西电信客服服务器使用VNC存在弱口令可直接控制

十三、。。。

二、比较常见的解析漏洞,比如IIS6.0、阿帕奇、nginx/IIS7.0(php-fpm)解析漏洞等,还有就是cer、asa之类的解析,.htaccess文件解析配置等。

Pcanywhere服务
PyAnywhere服务:一款远控工具,有点类似vnc的功能;这个服务在以前很多黑客发的视频里面都有,利用pcanywhere来进行提权;
默认端口:5632
攻击方式:
提权控制服务:
拒绝服务攻击:
代码执行:请参考
案例分享:
黑龙江物价局多处安全漏洞可能导致服务器沦陷(pcAnywhere提权 密码突破)

Pcanywhere服务

PyAnywhere服务:一款远控工具,有点类似vnc的功能;这个服务在以前很多黑客发的视频里面都有,利用pcanywhere来进行提权;

默认端口:5632

攻击方式:

提权控制服务:

拒绝服务攻击:

代码执行:请参考

案例分享:

黑龙江物价局多处安全漏洞可能导致服务器沦陷(pcAnywhere提权 密码突破)

(二)针对服务器

三、弱口令和everyone权限,先扫描服务器开放的端口,比如21对应的FTP、1433对应的MSSQL、3306对应的MYSQL、3389对应的远程桌面、1521对应的Oracle等等,平时可以多搜集下字典,有时候效果也是不错的(通常在cain嗅探的时候,经常能嗅到别人不停的扫…很蛋疼)。

Web应用服务端口渗透
HTTP服务:对于http服务其实是我们目前这几年比较常见的攻击入口,所以这里会针对http服务进行一个详细的详解;
注:这个板块的所有攻击方式,如果涉及到常规的web漏洞不会提出来,除非是特定的服务器才会产生的漏洞;

Web应用服务端口渗透

HTTP服务:对于http服务其实是我们目前这几年比较常见的攻击入口,所以这里会针对http服务进行一个详细的详解;

注:这个板块的所有攻击方式,如果涉及到常规的web漏洞不会提出来,除非是特定的服务器才会产生的漏洞;

一、通常先扫下服务器开放的端口,再考虑对策。

四、溢出,这点要看系统补丁和服务器使用的软件等等,比如FTP等工具,这里不详解。

IIS服务
默认端口:80/81/443
攻击方式:
IISPUT写文件:利用IIS漏洞,put方法直接将文件放置到服务器上
短文件名泄漏:这种一般没啥影响
解析漏洞:详细见apache服务
案例分享:
徐州市教育系统大量IIS PUT漏洞
用友软件IIS写权限(PUT)导致可获取webshell控制服务器
国家电网某分站存在iis短文件名漏洞

IIS服务

默认端口:80/81/443

攻击方式:

IIS
PUT写文件:利用IIS漏洞,put方法直接将文件放置到服务器上

短文件名泄漏:这种一般没啥影响

解析漏洞:详细见apache服务

案例分享:

徐州市教育系统大量IIS PUT漏洞

用友软件IIS写权限(PUT)导致可获取webshell控制服务器

国家电网某分站存在iis短文件名漏洞

二、比较常见的解析漏洞,比如IIS6.0、阿帕奇、nginx/IIS7.0(php-fpm)解析漏洞等,还有就是cer、asa之类的解析,.htaccess文件解析配置等。

五、针对一些服务器管理程序,比如tomcat、jboss等等,这种比较常见于大中型的站点服务器。

Apache/Tomcat/Nginx/Axis2
默认端口:80/8080
攻击方式:
爆破:弱口令(爆破manager后台)
HTTP慢速攻击:可以把服务器打死,对一些大型的网站有影响;
解析漏洞:请参考
案例分享:
安卓开发平台存在上传漏洞和Apache解析漏洞,成功获取webshell
腾讯分站 Apache 漏洞

Apache/Tomcat/Nginx/Axis2

默认端口:80/8080

攻击方式:

爆破:弱口令(爆破manager后台)

HTTP慢速攻击:可以把服务器打死,对一些大型的网站有影响;

解析漏洞:请参考

案例分享:

安卓开发平台存在上传漏洞和Apache解析漏洞,成功获取webshell

腾讯分站 Apache 漏洞

三、弱口令和everyone权限,先扫描服务器开放的端口,比如21对应的FTP、1433对应的MSSQL、3306对应的MYSQL、3389对应的远程桌面、1521对应的Oracle等等,平时可以多搜集下字典,有时候效果也是不错的(通常在cain嗅探的时候,经常能嗅到别人不停的扫…很蛋疼)。

六、IIS、apache等各种漏洞,这个要平时多关注。

WebLogic
默认端口:7001
攻击方式:
爆破:弱口令 4组:用户名密码均一致:system weblogic(密码可能weblogic123) portaladmin guest
Congsole后台部署webshell:
Java反序列化:
泄漏源代码/列目录:这个太老了,估计网上都没有了吧!
SSRF窥探内网:央视网SSRF可窥探内网
案列分享:
福建省人力资源和社会保障厅下属某WEBLOGIC弱口令
利用Weblogic进行入侵的一些总结

WebLogic

默认端口:7001

攻击方式:

爆破:弱口令 4组:用户名密码均一致:system weblogic(密码可能weblogic123) portaladmin guest

Congsole后台部署webshell:

Java反序列化:

泄漏源代码/列目录:这个太老了,估计网上都没有了吧!

SSRF窥探内网:央视网SSRF可窥探内网

案列分享:

福建省人力资源和社会保障厅下属某WEBLOGIC弱口令

利用Weblogic进行入侵的一些总结

四、溢出,这点要看系统补丁和服务器使用的软件等等,比如FTP等工具,这里不详解。

七、目录浏览,服务器配置不当,可直接浏览目录。

Jboss
默认端口8080;其他端口1098/1099/4444/4445/8080/8009/8083/8093
攻击方式:
爆破:弱口令(爆破jboss系统后台)
远程代码执行:由于配置不当造成
Java反序列化:
案例分享
中华人民共和国民政部JBoss配置不当
JBOSS安全问题总结
中国科学院某处jboss应用漏洞

Jboss

默认端口8080;其他端口1098/1099/4444/4445/8080/8009/8083/8093

攻击方式:

爆破:弱口令(爆破jboss系统后台)

远程代码执行:由于配置不当造成

Java反序列化:

案例分享

中华人民共和国民政部JBoss配置不当

JBOSS安全问题总结

中国科学院某处jboss应用漏洞

五、针对一些服务器管理程序,比如tomcat、jboss等等,这种比较常见于大中型的站点服务器。

八、共享…

Websphere
默认端口:908*;第一个应用就是9080,第二个就是9081;控制台9090
攻击方式:
爆破:弱口令(控制台)
任意文件泄漏:(CVE-2014-0823)
Java反序列化
案例分享:
中国电信某通用型业务系统(Websphere)GetShell漏洞
大汉网络有限公司远程命令执行漏洞(WebSphere案例)

Websphere

默认端口:908*;第一个应用就是9080,第二个就是9081;控制台9090

攻击方式:

爆破:弱口令(控制台)

任意文件泄漏:(CVE-2014-0823)

Java反序列化

案例分享:

中国电信某通用型业务系统(Websphere)GetShell漏洞

大汉网络有限公司远程命令执行漏洞(WebSphere案例)

六、IIS、apache等各种漏洞,这个要平时多关注。

(三)针对人,社工社工在渗透中通常能起到惊人的效果,主要还是利用人的弱点,博大精深,这里不详细讨论,注意平时多看一些社工文章,学习一些思路、技巧。

GlassFish
默认端口:http 8080;IIOP 3700;控制台4848
攻击方式:
爆破:弱口令(对于控制台)
任意文件读取:
认证绕过:
案例分享:
应用服务器glassfish存在通用任意文件读取漏洞
Oracle GlassFish Server认证绕过

GlassFish

默认端口:http 8080;IIOP 3700;控制台4848

攻击方式:

爆破:弱口令(对于控制台)

任意文件读取:

认证绕过:

案例分享:

应用服务器glassfish存在通用任意文件读取漏洞

Oracle GlassFish Server认证绕过

七、目录浏览,服务器配置不当,可直接浏览目录。

你是否曾幻想,畅游网络之间,指尖在键盘之上游走,思维在代码之中穿梭,弹指间,尽显英雄本色?你是否曾幻想,藏身于黑暗之中,凌驾于众人之上,在网络世界来去无踪,惩恶扬善?你是否曾幻想,以鼠标为长剑,以技术为功法,以代码为招式,谈笑间,网络世界早已风起云涌?你不是在做梦,这是一场网络黑白之间的指尖盛宴,不要放弃幻想,因为,这一切,你都可以做到!黑客技术入门攻防书籍《网络黑白》某宝有售。

Jenkins
默认端口:8080、8089
攻击方式:
爆破:弱口令(默认管理员)
未授权访问:
反序列化:
案例分享:
酷6Jenkins系统未授权访问可执行系统命令

Jenkins

默认端口:8080、8089

攻击方式:

爆破:弱口令(默认管理员)

未授权访问:

反序列化:

案例分享:

酷6Jenkins系统未授权访问可执行系统命令

八、共享…
九、。。。

每一本武功秘籍的现世,都预示着一场武林纷争,都引领着一场腥风血雨,每一把绝世好剑的铸成,都象征着一次血染长河,都伴随着众多英雄泣血。然而武侠的时代早已过去,黑客的时代正在到来。很幸运,你没有生在一个怀璧其罪的年代,相反,你处在一个充满机遇的时代,你处在一个提倡共享的大数据时代。

Resin
默认端口:8080
攻击方式:
目录遍历
远程文件读取
案例分享:
爱奇艺Resin配置漏洞
Resin漏洞利用案例之目录遍历/以金蝶某系统为例

Resin

默认端口:8080

攻击方式:

目录遍历

远程文件读取

案例分享:

爱奇艺Resin配置漏洞

Resin漏洞利用案例之目录遍历/以金蝶某系统为例

 

(四)迂回战术,旁注和C段一、旁注,针对旁站,我们可以运用到上面说到的方法,这里不多说。二、C段,基本想到C段就会想到cain,针对C段的站点和服务器,结合上面说的针对目标站、服务器、人、旁站的思路,一个道理,当然如果你的目的仅仅是黑站的话,不妨试试NetFuke之类。三、…

Jetty
默认端口:8080
攻击方式:
远程共享缓冲区溢出

Jetty

默认端口:8080

攻击方式:

远程共享缓冲区溢出

(三)针对人,社工

(五)提权常用手段一、使用系统溢出提权EXP,这类在提权中最常用,使用的方法大都一致,比如比较常见的巴西烤肉、pr等等,溢出提权通常在Linux上也利用的比较多,注意多收集EXP。

Lotus
影响的都是一些大型的企业,特别需要注意,经过以前的测试发现弱口令这个问题经常都存在,可能是很多管理员不知道如何去修改(不要打我)。
默认端口:1352
攻击方式:
爆破:弱口令(admin password)控制台
信息泄露
跨站脚本攻击
案例分享:
Lotus Domino WebMail一处越权访问
中电投集团某系统弱口令直达内网涉及/OA系统/内部邮箱/财务系统/人力资源系统
中国某大型金融机构地方业务弱口令导致数万商户信息泄露&访问Lotus Domino后台

Lotus

影响的都是一些大型的企业,特别需要注意,经过以前的测试发现弱口令这个问题经常都存在,可能是很多管理员不知道如何去修改(不要打我)。

默认端口:1352

攻击方式:

爆破:弱口令(admin password)控制台

信息泄露

跨站脚本攻击

案例分享:

Lotus Domino WebMail一处越权访问

中电投集团某系统弱口令直达内网涉及/OA系统/内部邮箱/财务系统/人力资源系统

中国某大型金融机构地方业务弱口令导致数万商户信息泄露&访问Lotus Domino后台

社工在渗透中通常能起到惊人的效果,主要还是利用人的弱点,博大精深,这里不详细讨论,注意平时多看一些社工文章,学习一些思路、技巧。

二、第三方软件提权,主要还是利用服务器上安装的第三方软件拥有比较高的权限,或者软件的溢出漏洞,比如典型的mssql、mysql、serv-u等等,还有各种远程控制软件,比如pcanywhere、Radmin这类。

数据库服务端口渗透
针对所有的数据库攻击方式都存在SQL注入,这里先提出来在下面就不一一写了免得大家说我占篇幅;当然不同的数据库注入技巧可能不一样,特别是NoSQL与传统的SQL数据库不太一样。但是这不是本文需要介绍的重点,后面有时间会写一篇不同数据库的渗透技巧。

数据库服务端口渗透

针对所有的数据库攻击方式都存在SQL注入,这里先提出来在下面就不一一写了免得大家说我占篇幅;当然不同的数据库注入技巧可能不一样,特别是NoSQL与传统的SQL数据库不太一样。但是这不是本文需要介绍的重点,后面有时间会写一篇不同数据库的渗透技巧。

(四)迂回战术,旁注和C段

三、劫持提权,说到这个,想必肯定会想到lpk.dll这类工具,有时候在蛋疼怎么都加不上账户的时候,可以试试劫持shift、添加开机启动等等思路。

MySQL数据库
默认端口:3306
攻击方式:
爆破:弱口令
身份认证漏洞:CVE-2012-2122
拒绝服务攻击:利用sql语句是服务器进行死循环打死服务器
Phpmyadmin万能密码绕过:用户名:‘localhost’@’@” 密码任意
案例分享:
漏洞分享
端口渗透,网站渗透思路全方面总结。和讯网某站点存在mysql注入漏洞
MySQL提权总结

MySQL数据库

默认端口:3306

攻击方式:

爆破:弱口令

身份认证漏洞:CVE-2012-2122

拒绝服务攻击:利用sql语句是服务器进行死循环打死服务器

Phpmyadmin万能密码绕过:用户名:‘localhost’@’@”  密码任意

案例分享:

漏洞分享

和讯网某站点存在mysql注入漏洞

MySQL提权总结

一、旁注,针对旁站,我们可以运用到上面说到的方法,这里不多说。

四、弱口令技巧,我们可以看看有木有什么hack、或者隐藏账户之类的,一般这种用户密码都比较简单,可以尝试下弱口令,还有之前说过的各种数据库、远程控制软件、FTP软件的弱口令,没办法的时候就去扫扫碰碰运气吧。

MSSQL数据库
默认端口:1433(Server 数据库服务)、1434(Monitor 数据库监控)
攻击方式:
爆破:弱口令/使用系统用户
案例分享:
MSSQL注射总结
上海安脉综合管理系统mssql注射漏洞
解密MSSQL连接数据库密码
从攻击MSSQL到提权: 使用msf针对mssql的一次完整渗透

MSSQL数据库

默认端口:1433(Server 数据库服务)、1434(Monitor 数据库监控)

攻击方式:

爆破:弱口令/使用系统用户

案例分享:

MSSQL注射总结

上海安脉综合管理系统mssql注射漏洞

解密MSSQL连接数据库密码

从攻击MSSQL到提权: 使用msf针对mssql的一次完整渗透

二、C段,基本想到C段就会想到cain,针对C段的站点和服务器,结合上面说的针对目标站、服务器、人、旁站的思路,一个道理,当然如果你的目的仅仅是黑站的话,不妨试试NetFuke之类。

五、信息收集,注意翻下硬盘各种文档,说不定各种密码就在里面。在内网渗透时,信息收集是非常重要的,记得拿下服务器了GET一下明文密码,德国那个mimikatz不错,还有就是域、ARP。。。貌似扯多跑题了。

Oracle数据库
默认端口:1521(数据库端口)、1158(Oracle EMCTL端口)、8080(Oracle XDB数据库)、210(Oracle XDB FTP服务)
攻击方式:
爆破:弱口令
注入攻击;
漏洞攻击;
案例分享:
Oracle盲注结合XXE漏洞远程获取数据

Oracle数据库

默认端口:1521(数据库端口)、1158(Oracle EMCTL端口)、8080(Oracle XDB数据库)、210(Oracle XDB FTP服务)

攻击方式:

爆破:弱口令

注入攻击;

漏洞攻击;

案例分享:

Oracle盲注结合XXE漏洞远程获取数据

三、…
(五)提权常用手段

​六、社工…不多说。暂时总结到这里,渗透博大精深,不是这么几段字就能说清楚的,具体还是要看具体情形,随机应变。一定要养成在渗透过程中信息收集的好习惯,特别是针对大中型站点,注意收集子站域名、目录、密码等等敏感信息,这对于我们后面的渗透非常有用,内网经常弱口令,同密码比较多。很多时候,或许一个主站就死在子站的一个小漏洞上。

PostgreSQL数据库
PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统,可以说是目前世界上最先进,功能最强大的自由数据库管理系统。包括我们kali系统中msf也使用这个数据库;浅谈postgresql数据库攻击技术 大部分关于它的攻击依旧是sql注入,所以注入才是数据库不变的话题。
默认端口:5432
攻击方式:
爆破:弱口令:postgres postgres
缓冲区溢出:CVE-2014-2669
案例分享:
Hacking postgresql
关于postgresql的那些事

PostgreSQL数据库

PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统,可以说是目前世界上最先进,功能最强大的自由数据库管理系统。包括我们kali系统中msf也使用这个数据库;浅谈postgresql数据库攻击技术  大部分关于它的攻击依旧是sql注入,所以注入才是数据库不变的话题。

默认端口:5432

攻击方式:

爆破:弱口令:postgres postgres

缓冲区溢出:CVE-2014-2669

案例分享:

Hacking postgresql

关于postgresql的那些事

一、使用系统溢出提权EXP,这类在提权中最常用,使用的方法大都一致,比如比较常见的巴西烤肉、pr等等,溢出提权通常在Linux上也利用的比较多,注意多收集EXP。

MongoDB数据库
MongoDB:NoSQL数据库;攻击方法与其他数据库类似;关于它的安全讲解:请参考
默认端口:27017
攻击方式:
爆破:弱口令
未授权访问;github有攻击代码;请点击
案例分享:
MongoDB phpMoAdmin远程代码执行
搜狐MongoDB未授权访问
新浪微米未授权访问
解决MongoDB各种隐患问题

MongoDB数据库

MongoDB:NoSQL数据库;攻击方法与其他数据库类似;关于它的安全讲解:请参考

默认端口:27017

攻击方式:

爆破:弱口令

未授权访问;github有攻击代码;请点击

案例分享:

MongoDB phpMoAdmin远程代码执行

搜狐MongoDB未授权访问

新浪微米未授权访问

解决MongoDB各种隐患问题

二、第三方软件提权,主要还是利用服务器上安装的第三方软件拥有比较高的权限,或者软件的溢出漏洞,比如典型的mssql、mysql、serv-u等等,还有各种远程控制软件,比如pcanywhere、Radmin这类。

Redis数据库
redis:是一个开源的使用c语言写的,支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年还是很火的,暴露出来的问题也很多。特别是前段时间暴露的未授权访问。Exp:https://yunpan.cn/cYjzHxawFpyVt 访问密码 e547
默认端口:6379
攻击方式:
爆破:弱口令
未授权访问 配合ssh key提权;
案例分享:
中国铁建网redis ssh-keygen免认证登录

Redis数据库

redis:是一个开源的使用c语言写的,支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年还是很火的,暴露出来的问题也很多。特别是前段时间暴露的未授权访问。Exp:  访问密码 e547

默认端口:6379

攻击方式:

爆破:弱口令

未授权访问 配合ssh key提权;

案例分享:

中国铁建网redis ssh-keygen免认证登录

三、劫持提权,说到这个,想必肯定会想到lpk.dll这类工具,有时候在蛋疼怎么都加不上账户的时候,可以试试劫持shift、添加开机启动等等思路。

SysBase数据库
默认端口:服务端口5000;监听端口4100;备份端口:4200
攻击方式:
爆破:弱口令
命令注入:
案例分享:
广西自考信息系统Sybase数据库注入
Sybase EAServer命令注入漏洞

SysBase数据库

默认端口:服务端口5000;监听端口4100;备份端口:4200

攻击方式:

爆破:弱口令

命令注入:

案例分享:

广西自考信息系统Sybase数据库注入

Sybase EAServer命令注入漏洞

四、弱口令技巧,我们可以看看有木有什么hack、或者隐藏账户之类的,一般这种用户密码都比较简单,可以尝试下弱口令,还有之前说过的各种数据库、远程控制软件、FTP软件的弱口令,没办法的时候就去扫扫碰碰运气吧。

DB2数据库
默认端口:5000
攻击方式:
安全限制绕过:成功后可执行未授权操作(CVE-2015-1922)
案例分享:
哈尔滨银行主站DB2注入
总结一下:对于数据库,我们得知端口很多时候可以帮助我们去渗透,比如得知mysql的 数据库,我们就可以使用SQL注入进行mof、udf等方式提权;如果是mssql我们就可以使用xp_cmdshell来进行提权;如果是其它的数据 库,我们也可以采用对应的方式;比如各大数据库对应它们的默认口令,版本对应的漏洞!
顺便提一下:很多时候银行企业采用的都是oracle、db2等大型数据库;

DB2数据库

默认端口:5000

攻击方式:

安全限制绕过:成功后可执行未授权操作(CVE-2015-1922)

案例分享:

哈尔滨银行主站DB2注入

总结一下:对于数据库,我们得知端口很多时候可以帮助我们去渗透,比如得知mysql的 数据库,我们就可以使用SQL注入进行mof、udf等方式提权;如果是mssql我们就可以使用xp_cmdshell来进行提权;如果是其它的数据 库,我们也可以采用对应的方式;比如各大数据库对应它们的默认口令,版本对应的漏洞!

顺便提一下:很多时候银行企业采用的都是oracle、db2等大型数据库;

五、信息收集,注意翻下硬盘各种文档,说不定各种密码就在里面。在内网渗透时,信息收集是非常重要的,记得拿下服务器了GET一下明文密码,德国那个mimikatz不错,还有就是域、ARP。。。貌似扯多跑题了。

邮件服务端口渗透
SMTP协议
smtp:邮件协议,在linux中默认开启这个服务,可以向对方发送钓鱼邮件!
默认端口:25(smtp)、465(smtps)
攻击方式:
爆破:弱口令
未授权访问
案例分享:
腾讯邮箱smtp注册时间限制绕过漏洞
邮件伪造详解
qq邮箱伪造发件地址,容易被钓鱼利用
众多厂商邮件系统配置不当可伪造邮件人

邮件服务端口渗透

六、社工…不多说。

POP3协议
默认端口:109(POP2)、110(POP3)、995(POP3S)
攻击方式:
爆破;弱口令
未授权访问;
案例分享:
中国联通沃邮箱等部分Android客户端免密码登陆(可获取任意联通用户pop3密码)
中航信邮箱密码泄漏及VPN账号和大量邮箱弱口令导致可内网漫游拿到域控

SMTP协议

smtp:邮件协议,在linux中默认开启这个服务,可以向对方发送钓鱼邮件!

默认端口:25(smtp)、465(smtps)

攻击方式:

爆破:弱口令

未授权访问

案例分享:

腾讯邮箱smtp注册时间限制绕过漏洞

邮件伪造详解

qq邮箱伪造发件地址,容易被钓鱼利用

众多厂商邮件系统配置不当可伪造邮件人

暂时总结到这里,渗透博大精深,不是这么几段字就能说清楚的,具体还是要看具体情形,随机应变。

IMAP协议
默认端口:143(imap)、993(imaps)
攻击方式:
爆破:弱口令
配置不当
案例分享:
163邮箱二次验证饶过缺陷
南方周末邮件服务器任意文件读取漏洞

POP3协议

默认端口:109(POP2)、110(POP3)、995(POP3S)

攻击方式:

爆破;弱口令

未授权访问;

案例分享:

中国联通沃邮箱等部分Android客户端免密码登陆(可获取任意联通用户pop3密码)

中航信邮箱密码泄漏及VPN账号和大量邮箱弱口令导致可内网漫游拿到域控

一定要养成在渗透过程中信息收集的好习惯,特别是针对大中型站点,注意收集子站域名、目录、密码等等敏感信息,这对于我们后面的渗透非常有用,内网经常弱口令,同密码比较多。很多时候,或许一个主站就死在子站的一个小漏洞上

网络常见协议端口渗透
DNS服务
默认端口:53
攻击方式:
区域传输漏洞
见2中的总结
案例分享:
全球Top1000Websites中存在DNS区域传送漏洞的网站列表
团购王某站DNS域传送漏洞
DNS泛解析与内容投毒

IMAP协议

默认端口:143(imap)、993(imaps)

攻击方式:

爆破:弱口令

配置不当

案例分享:

163邮箱二次验证饶过缺陷

南方周末邮件服务器任意文件读取漏洞

DHCP服务
默认端口:67&68、546(DHCP Failover做双机热备的)
攻击方式:
DHCP劫持;
见2中总结
案例分享:
流氓DHCP服务器内网攻击测试

网络常见协议端口渗透

SNMP协议
默认端口:161
攻击方式:
爆破:弱口令
案例分享:
snmp弱口令引起的信息泄漏
基于snmp的反射攻击的理论及其实现
华为某服务器SNMP弱口令

DNS服务

默认端口:53

攻击方式:

区域传输漏洞

见2中的总结

案例分享:

全球Top1000Websites中存在DNS区域传送漏洞的网站列表

团购王某站DNS域传送漏洞

DNS泛解析与内容投毒

其他端口渗透
Hadoop文件服务
默认端口:请参考
案例分享:
Apache Hadoop远程命令执行
新浪漏洞系列第六弹–大量hadoop应用对外访问

DHCP服务

默认端口:67&68、546(DHCP Failover做双机热备的)

攻击方式:

DHCP劫持;

见2中总结

案例分享:

流氓DHCP服务器内网攻击测试

Zookeeper服务
zookeeper:分布式的,开放源码的分布式应用程序协调服务;提供功能包括:配置维护、域名服务、分布式同步、组服务等。详情请参考百度百科
默认端口:2181
攻击方式:
未授权访问;
案例分享:
zookeeper未授权访问漏洞
网上关于这方面的案例暂时不多,但是对于大数据逐渐泛滥的今天,这些漏洞未来会在乌云上出现一大波!

SNMP协议

默认端口:161

攻击方式:

爆破:弱口令

案例分享:

snmp弱口令引起的信息泄漏

基于snmp的反射攻击的理论及其实现

华为某服务器SNMP弱口令

Zabbix服务
zabbix:基于Web界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。监视各种网络参数,保证服务器系统的安全运营。
默认端口:8069
攻击方式:
远程命令执行:
案例分享:
当渗透遇到zabbix–小谈zabbix安全
Zabbix的前台SQL注射漏洞利用
网易zabbix运维不当,导致任意命令执行。(可提权、可内网渗透)

其他端口渗透

elasticsearch服务
elasticsearch:请百度(因为我觉得我解释不清楚)
默认端口:9200()、9300()
攻击方式:
未授权访问;
远程命令执行;
文件遍历;
低版本webshell植入;
案例分享:
ElasticSearch 远程代码执行漏洞
elasticsearch 漏洞利用工具

Hadoop文件服务

默认端口:请参考

案例分享:

Apache Hadoop远程命令执行

新浪漏洞系列第六弹–大量hadoop应用对外访问

memcache服务
默认端口:11211
案例分享:
Memcache安全配置
memcache 未授权访问漏洞

Zookeeper服务

zookeeper:分布式的,开放源码的分布式应用程序协调服务;提供功能包括:配置维护、域名服务、分布式同步、组服务等。详情请参考百度百科

默认端口:2181

攻击方式:

未授权访问;

案例分享:

zookeeper未授权访问漏洞

网上关于这方面的案例暂时不多,但是对于大数据逐渐泛滥的今天,这些漏洞未来会在乌云上出现一大波!

Linux R服务
R服务:TCP端口512,513和514为著名的rlogin提供服务。在系统中被错误配置从而允许远程访问者从任何地方访问(标准的,rhosts

Zabbix服务

zabbix:基于Web界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。监视各种网络参数,保证服务器系统的安全运营。

默认端口:8069

攻击方式:

远程命令执行:

案例分享:

当渗透遇到zabbix–小谈zabbix安全

Zabbix的前台SQL注射漏洞利用

网易zabbix运维不当,导致任意命令执行。(可提权、可内网渗透)

  • )。
    默认端口:512(remote process execution);513(remote login a latelnet);514(cmd)
    攻击方式:
    使用rlogin直接登录对方系统;

elasticsearch服务

elasticsearch:请百度(因为我觉得我解释不清楚)

默认端口:9200()、9300()

攻击方式:

未授权访问;

远程命令执行;

文件遍历;

低版本webshell植入;

案例分享:

ElasticSearch 远程代码执行漏洞

elasticsearch 漏洞利用工具

RMI
RMI:我们使用这两个端口很少的原因是因为必须是java,而且rmi穿越防火墙并不好穿越;这里我不会去涉及其他的东西,这里提出RMI只是因为在前段时间的java反序列化中,我们的小伙伴Bird写过一个weblogic利用工具,里面涉及到了RMI的一些东西,在有的时候使用socket不能成功时,我们可以使用RMI方式来进行利用;
默认端口:1090()、1099()
攻击方式:
远程命令执行(java反序列化,调用rmi方式执行命令)
这就是RMI的魅力了!
工具下载:请点我

memcache服务

默认端口:11211

案例分享:

Memcache安全配置

memcache 未授权访问漏洞

Rsync服务
Rsync:类UNIX系统下的数据备份工具(remote sync),属于增量备份;关于它的功能,大家自行百度百科吧,其实上面很多大家也看到了说是端口渗透,其实就是端口对应服务的渗透,服务一般出错就在配置或者版本问题上,rsync也不例外。Rsync默认允许匿名访问,如果在配置文件中没有相关的用户认证以及文件授权,就会触发隐患。
默认端口:873
攻击方式:
未授权访问;
本地提权:rsync默认以root运行,利用rsync上传一个文件,只要这个文件具有s权限,我们执行我们的攻击脚本就可以具有root权限。详细请参考 和 参考二
案例分享:
搜狐几处rsync未授权访问

Linux R服务

R服务:TCP端口512,513和514为著名的rlogin提供服务。在系统中被错误配置从而允许远程访问者从任何地方访问(标准的,rhosts

  • )。

默认端口:512(remote process execution);513(remote login a la
telnet);514(cmd)

攻击方式:

使用rlogin直接登录对方系统;

Socket代理
默认端口:1080
Socket代理针对代理来说没有什么漏洞,一般只是在渗透过程中作为我们的代理,进入内网,或者渗透域和林的时候有帮助。这里不做过多描述,但是可以尝试爆破一下代理的用户名和密码,万一运气好能登录,不也~~~~
案例分享:
利用php socket5代理渗透内网

RMI

RMI:我们使用这两个端口很少的原因是因为必须是java,而且rmi穿越防火墙并不好穿越;这里我不会去涉及其他的东西,这里提出RMI只是因为在前段时间的java反序列化中,我们的小伙伴Bird写过一个weblogic利用工具,里面涉及到了RMI的一些东西,在有的时候使用socket不能成功时,我们可以使用RMI方式来进行利用;

默认端口:1090()、1099()

攻击方式:

远程命令执行(java反序列化,调用rmi方式执行命令)

这就是RMI的魅力了!

工具下载:请点我

0x02 总结两句
图解端口渗透
端口号
端口说明
攻击技巧

Rsync服务

Rsync:类UNIX系统下的数据备份工具(remote sync),属于增量备份;关于它的功能,大家自行百度百科吧,其实上面很多大家也看到了说是端口渗透,其实就是端口对应服务的渗透,服务一般出错就在配置或者版本问题上,rsync也不例外。Rsync默认允许匿名访问,如果在配置文件中没有相关的用户认证以及文件授权,就会触发隐患。

默认端口:873

攻击方式:

未授权访问;

本地提权:rsync默认以root运行,利用rsync上传一个文件,只要这个文件具有s权限,我们执行我们的攻击脚本就可以具有root权限。详细请参考 和 参考二

案例分享:

搜狐几处rsync未授权访问

21/22/69
ftp/tftp:文件传输协议
爆破
嗅探
溢出;后门

Socket代理

默认端口:1080

Socket代理针对代理来说没有什么漏洞,一般只是在渗透过程中作为我们的代理,进入内网,或者渗透域和林的时候有帮助。这里不做过多描述,但是可以尝试爆破一下代理的用户名和密码,万一运气好能登录,不也~~~~

案例分享:

利用php socket5代理渗透内网

22
ssh:远程连接
爆破
OpenSSH;28个退格

0x02 总结两句

23
telnet:远程连接
爆破
嗅探

图解端口渗透

端口号 端口说明 攻击技巧
21/22/69 ftp/tftp:文件传输协议 爆破

 

嗅探

溢出;后门

22 ssh:远程连接 爆破

 

OpenSSH;28个退格

23 telnet:远程连接 爆破

 

嗅探

25 smtp:邮件服务 邮件伪造
53 DNS:域名系统 DNS区域传输

 

DNS劫持

DNS缓存投毒

DNS欺骗

深度利用:利用DNS隧道技术刺透防火墙

67/68 dhcp 劫持

 

欺骗

110 pop3 爆破
139 samba 爆破

 

未授权访问

远程代码执行

143 imap 爆破
161 snmp 爆破
389 ldap 注入攻击

 

未授权访问

512/513/514 linux r 直接使用rlogin
873 rsync 未授权访问
1080 socket 爆破:进行内网渗透
1352 lotus 爆破:弱口令

 

信息泄漏:源代码

1433 mssql 爆破:使用系统用户登录

 

注入攻击

1521 oracle 爆破:TNS

 

注入攻击

2049 nfs 配置不当
2181 zookeeper 未授权访问
3306 mysql 爆破

 

拒绝服务

注入

3389 rdp 爆破

 

Shift后门

4848 glassfish 爆破:控制台弱口令

 

认证绕过

5000 sybase/DB2 爆破

 

注入

5432 postgresql 缓冲区溢出

 

注入攻击

爆破:弱口令

5632 pcanywhere 拒绝服务

 

代码执行

5900 vnc 爆破:弱口令

 

认证绕过

6379 redis 未授权访问

 

爆破:弱口令

7001 weblogic Java反序列化

 

控制台弱口令

控制台部署webshell

80/443/8080 web 常见web攻击

 

控制台爆破

对应服务器版本漏洞

8069 zabbix 远程命令执行
9090 websphere控制台 爆破:控制台弱口令

 

Java反序列

9200/9300 elasticsearch 远程代码执行
11211 memcacache 未授权访问
27017 mongodb 爆破

 

未授权访问

• 2016/03/21 from:Hurricane Security

25
smtp:邮件服务
邮件伪造

53
DNS:域名系统
DNS区域传输
DNS劫持
DNS缓存投毒
DNS欺骗
深度利用:利用DNS隧道技术刺透防火墙

67/68
dhcp
劫持
欺骗

110
pop3
爆破

139
samba
爆破
未授权访问
远程代码执行

143
imap
爆破

161
snmp
爆破

389
ldap
注入攻击
未授权访问

512/513/514
linux r
直接使用rlogin

873
rsync
未授权访问

1080
socket
爆破:进行内网渗透

1352
lotus
爆破:弱口令
信息泄漏:源代码

1433
mssql
爆破:使用系统用户登录
注入攻击

1521
oracle
爆破:TNS
注入攻击

2049
nfs
配置不当

2181
zookeeper
未授权访问

3306
mysql
爆破
拒绝服务
注入

3389
rdp
爆破
Shift后门

4848
glassfish
爆破:控制台弱口令
认证绕过

5000
sybase/DB2
爆破
注入

5432
postgresql
缓冲区溢出
注入攻击
爆破:弱口令

5632
pcanywhere
拒绝服务
代码执行

5900
vnc
爆破:弱口令
认证绕过

6379
redis
未授权访问
爆破:弱口令

7001
weblogic
Java反序列化
控制台弱口令
控制台部署webshell

80/443/8080
web
常见web攻击
控制台爆破
对应服务器版本漏洞

8069
zabbix
远程命令执行

9090
websphere控制台
爆破:控制台弱口令
Java反序列

9200/9300
elasticsearch
远程代码执行

11211
memcacache
未授权访问

27017
mongodb
爆破
未授权访问

原文作者:【via@Hurricane Security】

本文由澳门新萄京官方网站发布于数据库网络,转载请注明出处:端口渗透,网站渗透思路全方面总结

关键词: