端口渗透总计

0x00 背景
在此之前段时间的渗透着,我意识经过端口来举办渗透有时会升级咱们的频率,所以才出了那篇稿子的出世;
率先分享同份有关端口和他们相应的劳务文件:https://yunpan.cn/cYyNXEpZNYvxQ
访问密码 983e
此更享受同首我已当百度文库提交的端口渗透著作:请点我
再也看这篇作品发现写的不得了简单,也只是描述了三只周边的端口渗透;而且貌似我们仍旧好修
改默认端口之,所以平常在渗透过程中,对端口信息之采访就是一个百般要紧的进程;然后对症下药就得又快之渗漏进来我们需要的服务器;接下去就是详细经过渗透
实战对端口的渗透举办更加刻骨铭心的解析;
端口渗透过程中我们用关爱几独问题:
1、 端口的banner信息
2、 端口上运行的服务
3、 常见下的默认端口
当对地点这一个音信之博,我们来充分多彩的方,最为普遍的相应就nmap了吧!我们也可以结合其他的端口扫描工具,比如专门的3389、1433等等的端口扫描工具;

劳动默认端口
公认端口(Well Known Ports):0-1023,他们牢牢绑定了一些服务;
注册端口(Registered Ports):1024-49151,他们松散的绑定了有的服务;
动态/私有:49152-65535,不呢服务分配那么些端口;
当然那几个端口还好通过改动来达成诈骗攻击者的目标,可是及时尽管安全了啊?攻击者又足以用啊攻击形式来抨击这个端口呢?
还索要注脚的某些是:很多木马工具也来特定的端口,本文并不曾关联到这块的情节,我们可协调失去收集收集!

有关爆破的我见
在针对这多少个端口举行实战讲解时,我要事先讲演一下自对爆破这么些模式的一部分见;
炸:技术最好简便,需要的技能能力基本为0,工作功能与网络、硬件等相关,在我看来爆破其实是无比劲的攻击形式,特别是做一些特制的字典,结合社工我们可以当挺缺少的日及极端深的力量,只不过因为咱们的pc或者字典不够有力,所以众多时节大家无可以拓展同样破雅观的爆破攻击;当然现在众多web应用与劳动端口还限制了暴力破解;对于这种做了限的大家或就需利用到本文提到的此外攻击了!
享受一个团sai总计的字典:请点击
宣示:本文总计的都是走近两年之广阔漏洞,以前的老版漏洞和危害性不酷之狐狸尾巴没有下结论,望我们谅解!

0x01 实战测试
文件共享服务端口渗透
ftp服务
FTP服务:ftp服务本身分为两栽状态,第一种植是动系统软件来部署,比如IIS中的FTP文件共享或Linux中之默认服务软件;第二栽是经第三正在软件来配置,比如Serv-U还生有网上勾的大概ftp服务器等;
默认端口:20(数据端口);21(控制端口);69(tftp小型文件传输协议)
攻击模式:
爆破:ftp的爆破工具有许多,这里我引进owasp的Bruter
以及msf中ftp爆破模块;
匿名访问:用户称:anonymous 密码:为空或自由邮箱
用户名:FTP 密码:FTP或为空
用户名:USET 密码:pass
自然还有无需用户名密码直接访问的,一般出现于局域网中;

端口渗透总结 – 303Donatello – 303Donatello

嗅探:ftp使用公开传输技术(不过嗅探给予局域网并欲哄或监听网关)

端口渗透总括 – 303Donatello – 303Donatello

后门技术:在linux的vsftp某同版本被,存在正在一个后门程序,只要在用户称后长
就会合以6200达成打开一个监听Shell,大家得使用telnet直接连接;详细请点击
远程溢起漏洞:6.10.1 IIS FTP远程溢起漏洞,在IIS
FTP服务器中NLST命令存在一个缓冲区溢起漏洞,这多少个漏洞或是攻击者在服务器运行一长长的地下命令。
跳转攻击:(Bounce
Attacks)攻击者发送一个FTP”PORT”命令于目的FTP服务器,其中饱含该主机的网络地址和于口诛笔伐的劳务之捧口号。这样,客户端就会令FTP服务器发一个文书给吃口诛笔伐的劳务。那一个文件或者连根被口诛笔伐的劳动有关的指令(如SMTP,NNTP等)。由于是令第三正值去老是到同种植服务,而非是一贯连接,就令跟踪攻击者变得紧巴巴,并且还逃了因网络地址的顾限制。(注:此种情形小白并没遇上过,只是总计一下,欢迎大牛指教)
案例分享:
广东电信Serv-U
Web客户端弱口令

长虹ftp弱口令导致全网数据外泄

NFS服务
nfs:网络文件系统,允许网络被的微机通过TCP/IP网络共享资源。基于Linux系统,配置方面特别简单,详细部署请参见案例分享。在nfs配置中,有非做任何限制的,有限制用户,有限制IP,以及当本子2.x面临我们尚可采纳证书来表明用户。当然不同的限量好应用的攻击格局也非同等;就当下而言网上关于nfs的口诛笔伐或者比少之!
默认端口:2049
攻击形式:
非授权访问:未克IP以及用户权限设置错误
案例分享:
Nfs配置失当造成被侵略
NFS服务均攻略

Samba服务
山姆(Sam)ba服务:对于这可以在windows与Linux之间展开共享文件之劳动同是我们攻击的关注点;samba登录分为二种艺术,一栽是内需用户名口令;另一样种植是勿需要用户名口令。在众时段不仅是pc机,还有局部服务器,网络设施还放在是服务,方便开展文件共享,可是同时为吃攻击者提供了方便。
默认端口:137(重要用户NetBIOS Name
Service(Service);NetBIOS名称服务)、139(NetBIOS Session
瑟维斯(Service),首要提供samba服务)
攻击情势:
炸:弱口令(爆破工具接纳hydra)hydra -l username -PPassFile IP smb
未授权访问:给予public用户大权力
远程代码执行漏洞:CVE-2015-0240等等
案例分享:
萨姆(Sam)ba远程代码执行漏洞
非授权访问文件系统漏洞

LDAP协议
ldap:轻量级目录访问协议,如今几年就ldap的广泛使用被察觉的纰漏也越加多。不过究竟主流的攻击模式如故是那个,比如注入,未授权等等;那些题材的出现吧仍旧坐安排失当而致的。
默认端口:389
攻击模式:
流入攻击:盲注
免授权访问:
爆破:弱口令
案例分享:
LDAP注入和防卫剖析
欧朋LDAP服务匿名访问
应用LDAP查询迅速进步域权限

长距离连接服务端口渗透
SSH服务
SSH服务:这些服务基本会出现在大家的Linux服务器,网络设施,安全设备等设备上,而且许多时节是服务之布置都是默认的;对于SSH服务我们或许行使爆破攻击模式较多。
默认端口:22
攻击情势
爆破:弱口令、
漏洞:28退格漏洞、OpenSSL漏洞
案例分享:
安宇立异科技ssh弱口令
恰当信贷某站存在OpenSSL漏洞

Telnet服务
Telnet服务:在SSH服务崛起此前日我们既生麻烦看出以telnet的服务器,但是当诸多配备及一样仍然暴发夫服务的;比如cisco、华三,深信服等厂商的设施;我虽起老频繁通过telnet弱口叫控制这个装备;
默认端口:23
攻击方式
爆破:弱口令
嗅探:此种植情景一般有在局域网;
案例分享:
大气Alienware打印机远程telnet可叫翻开和操作

Windows远程连接
远程桌面连接:作为windows上拓展远程连接的端口,很多时分大家当得系统为windows的shell的上大家总是期待得以登录3389实际操作对方电脑;这么些时候大家一般的情分为二种。一栽是内网,需要先拿目标机3389端口反弹至外网;另一样种植就是外网,我们得间接访问;当然这简单栽状态咱采用起来也许用好严刻的尺码,比如找到登录密码等等;
默认端口:3389
攻击情势:
炸:3389端口爆破工具就是暴发硌多矣
Shift粘滞键后门:5软shift后门
3389漏洞攻击:利用ms12-020抨击3389端口,导致服务器关机;请参考

VNC服务
VNC:一缓缓不错的远控工具,常用语类UNIX系统及,简单意义强;也
默认端口:5900+桌面ID(5901;5902)
攻击格局:
爆破:弱口令
证口令绕了:
拒绝服务攻击:(CVE-2015-5239
权进步:(CVE-2013-6886)
案例分享:
广西电信客服服务器使用VNC存在弱口令而一贯决定

Pcanywhere服务
PyAnywhere服务:一款远控工具,有硌类似vnc的效率;那么些服务以从前很多黑客发的视频里还暴发,利用pcanywhere来进展提权;
默认端口:5632
攻击模式:
提权控打败务:
拒绝服务攻击:
代码执行:请参考
案例分享:
长江物价局多高居安全漏洞可能造成服务器沦陷(pcAnywhere提权+密码突破)

Web应用服务端口渗透
HTTP服务:对于http服务实在是大家脚下立几乎年较泛的攻击入口,所以这里会见对http服务开展一个缕的详解;
流淌:这么些板块的有所攻击模式,即使涉及到正规的web漏洞不会合提取出来,除非是特定的服务器才汇合生的纰漏;

IIS服务
默认端口:80/81/443
攻击情势:
IISPUT写文件:利用IIS漏洞,put方法间接拿文件放置到服务器上
短文件名泄漏:这种一般没啥影响
剖析漏洞:详细见apache服务
案例分享:
扬州市带领系统大气IIS
PUT漏洞

用友软件IIS写权限(PUT)导致可得到webshell控打败务器
国家电网某分站在iis短文件称漏洞

Apache/Tomcat/Nginx/Axis2
默认端口:80/8080
攻击格局:
爆破:弱口令(爆破manager后台)
HTTP慢速攻击:可以将服务器打死,对一部分巨型的网站来影响;
解析漏洞:请参考
案例分享:
安卓开发平台是上传漏洞和Apache解析漏洞,成功赢得webshell
腾讯分站 Apache
漏洞

WebLogic
默认端口:7001
攻击情势:
炸:弱口令 4组:用户名密码均一致:system
weblogic(密码或weblogic123) portaladmin guest
Congsole后高部署webshell:
Java反体系化:
泄漏源代码/列目录:这些万分老矣,揣测网上还没有了咔嚓!
SSRF窥探内网:央视网SSRF可窥探内网
案列分享:
湖南省人力资源以及社会保障厅下属某WEBLOGIC弱口令
使用Weblogic进行侵犯的有总

Jboss
默认端口8080;其他端口1098/1099/4444/4445/8080/8009/8083/8093
攻击模式:
炸:弱口令(爆破jboss系统后台)
远程代码执行:出于配备不当造成
Java反连串化:
案例分享
中华人民共和国民政部JBoss配置失当
JBOSS安全题材总结
中国科高校某处jboss应用漏洞

Websphere
默认端口:908*;第一只以即是9080,第二独就是是9081;控制台9090
攻击格局:
爆破:弱口令(控制台)
随机文件泄漏:(CVE-2014-0823)
Java反体系化
案例分享:
中国电信某通用型业务系列(Websphere)GetShell漏洞
大汉网络有限公司远程命令执行漏洞(WebSphere案例)

GlassFish
默认端口:http 8080;IIOP 3700;控制台4848
攻击模式:
炸:弱口令(对于控制台)
轻易文件读取:
声明绕了:
案例分享:
应用服务器glassfish存在通用任意文件读博漏洞
Oracle GlassFish
Server认证绕了

Jenkins
默认端口:8080、8089
攻击情势:
爆破:弱口令(默认管理员)
非授权访问:
反系列化:
案例分享:
酷6Jenkins系统未授权访问可尽系统命令

Resin
默认端口:8080
攻击格局:
目录遍历
远程文件读取
案例分享:
轻奇艺Resin配置漏洞
Resin漏洞以案例之目录遍历/以金蝶某网吧条例

Jetty
默认端口:8080
攻击模式:
长距离共享缓冲区溢出

Lotus
影响的且是有特大型的局,特别要注意,经过往日的测试发现弱口令这问题时常都设有,可能是群管理员不亮堂什么样错过窜(不要打自己)。
默认端口:1352
攻击模式:
爆破:弱口令(admin password)控制台
信外泄
越站下论攻击
案例分享:
Lotus Domino
WebMail一介乎越权访问

中电投公司有网弱口令及内网涉及/OA系统/内部邮箱/财务系统/人力资源系统
中华有大型金融机构地方事务弱口令导致数万生意人音信泄露&访问Lotus
Domino后台

数据库服务端口渗透
针对富有的数据库攻击形式都留存SQL注入,这里先领出来在脚就不一一写了免于大家说我占篇幅;当然不同之数据库注入技巧可能未相同,特别是NoSQL与俗的SQL数据库不绝雷同。可是及时不是本文需要介绍的要紧,前面来工夫会刻画一首不同数据库的渗透技巧。

MySQL数据库
默认端口:3306
攻击形式:
爆破:弱口令
地方验证漏洞:CVE-2012-2122
拒绝服务攻击:利用sql语句是服务器举行死循环打怪服务器
Phpmyadmin万能密码绕了:用户称:‘localhost’@’@” 密码任意
案例分享:
漏洞分享
暨讯网某站点有mysql注入漏洞
MySQL提权总计

MSSQL数据库
默认端口:1433(Server 数据库服务)、1434(Monitor 数据库监控)
攻击模式:
炸:弱口令/使用系统用户
案例分享:
MSSQL注射统计
法国首都安脉综管理网mssql注射漏洞
解密MSSQL连接数据库密码
从攻击MSSQL到提权:
使用msf针对mssql的平不良完整渗透

Oracle数据库
默认端口:1521(数据库端口)、1158(Oracle EMCTL端口)、8080(Oracle
XDB数据库)、210(Oracle XDB FTP服务)
攻击情势:
爆破:弱口令
流入攻击;
漏洞攻击;
案例分享:
Oracle盲注结合XXE漏洞远程获取数据

PostgreSQL数据库
PostgreSQL是平等栽特性十分齐全的自由软件的对象–关系项目数据库管理连串,能够说凡是当下世界上无与伦比先进,效率最好有力的妄动数据库管理连串。包括我们kali系统中msf也使是数据库;泛泛谈postgresql数据库攻击技术
大部分有关其的攻击如故是sql注入,所以注入才是数据库不变换的话题。
默认端口:5432
攻击模式:
爆破:弱口令:postgres postgres
缓冲区漫起:CVE-2014-2669
案例分享:
Hacking
postgresql

有关postgresql的那个从

MongoDB数据库
MongoDB:NoSQL数据库;攻击格局及其他数据库类似;关于她的淮北讲解:请参考
默认端口:27017
攻击格局:
爆破:弱口令
切莫授权访问;github有攻击代码;请点击
案例分享:
MongoDB
phpMoAdmin远程代码执行

新浪MongoDB未授权访问
初浪微米未授权访问
解决MongoDB各类隐患问题

Redis数据库
redis:是一个开源之应用c语言写的,帮忙网络、可因内存亦可持久化的日志型、key-value数据库。关于那些数据库及时有限年依旧死生气的,暴露出来的问题也颇多。特别是前段时间显露的免授权访问。Exp:https://yunpan.cn/cYjzHxawFpyVt
访问密码 e547
默认端口:6379
攻击模式:
爆破:弱口令
匪授权访问+配合ssh key提权;
案例分享:
中国铁建网redis+ssh-keygen免认证登录

SysBase数据库
默认端口:服务端口5000;监听端口4100;备份端口:4200
攻击格局:
爆破:弱口令
命注入:
案例分享:
广西自考新闻连串Sybase数据库注入
Sybase
EAServer命令注入漏洞

DB2数据库
默认端口:5000
攻击格局:
康宁限制绕了:成功后只是举办不授权操作(CVE-2015-1922)
案例分享:
金沙萨银行主站DB2注入
小结一下:对于数据库,大家深知端口很多上可拉我们失去渗透,比如得知mysql的
数据库,大家就是得利用SQL注入举办mof、udf等艺术提权;假如是mssql我们就可以行使xp_cmdshell来举办提权;尽管是其它的数码
库,我们啊可以使用对应之不二法门;比如每大数据库对应它们的默认口令,版本对应之狐狸尾巴!
顺手取一下:很多时银行集团用的依然oracle、db2等大型数据库;

邮件服务端口渗透
SMTP协议
smtp:邮件协议,在linux中默认开启这一个服务,可以于对方发送钓鱼邮件!
默认端口:25(smtp)、465(smtps)
攻击模式:
爆破:弱口令
免授权访问
案例分享:
腾讯邮箱smtp注册时限定绕了漏洞
邮件伪造详解
qq邮箱伪造发件地址,容易受钓鱼利用
广大厂商邮件系统配置不当可充邮件人

POP3协议
默认端口:109(POP2)、110(POP3)、995(POP3S)
攻击形式:
爆破;弱口令
无授权访问;
案例分享:
华联通沃邮箱等片段Android客户端免密码登陆(可落任意联通用户pop3密码)
中航信邮箱密码泄露和VPN账号和大度邮箱弱口令导致可内网漫游拿到域控

IMAP协议
默认端口:143(imap)、993(imaps)
攻击情势:
爆破:弱口令
布局失当
案例分享:
163邮箱二破验证饶过缺陷
南方周末邮件服务器任意文件读博漏洞

纱大面积协议端口渗透
DNS服务
默认端口:53
攻击模式:
区域传输漏洞
见2中之下结论
案例分享:
世界Top1000Websites中是DNS区域传送漏洞的网站列表
团购王某站DNS域传送漏洞
DNS泛解析及情投毒

DHCP服务
默认端口:67&68、546(DHCP Failover举办双机热备的)
攻击格局:
DHCP劫持;
见2中总结
案例分享:
流氓DHCP服务器内网攻击测试

SNMP协议
默认端口:161
攻击情势:
爆破:弱口令
案例分享:
snmp弱口令引起的音信泄露
按照snmp的反光攻击的论争及其实现
小米某服务器SNMP弱口令

旁端口渗透
Hadoop文件服务
默认端口:请参考
案例分享:
Apache
Hadoop远程命令执行

初浪漏洞系列第六弹–大量hadoop应用对外访问

Zookeeper服务
zookeeper:分布式的,开放源码的分布式应用程序协调服务;提供效能包括:配置维护、域名服务、分布式同步、组服务等。详情请参考百度百科
默认端口:2181
攻击格局:
非授权访问;
案例分享:
zookeeper未授权访问漏洞
网上关于这地方的案例少不多,可是对大数量逐步泛滥此前天,那多少个纰漏将来会见于乌云上起同很是波!

Zabbix服务
zabbix:基于Web界面的提供分布式系统监视以及台网监视功效的铺面级的开源解决方案。监视各类网络参数,保证服务器系统的平安运营。
默认端口:8069
攻击模式:
远程命令执行:
案例分享:
当渗透境遇zabbix–小谈zabbix安全
Zabbix的前台SQL注射漏洞以
网易zabbix运维不当,导致肆意命令执行。(可提权、可内网渗透)

elasticsearch服务
elasticsearch:请百度(因为我以为自身讲不了解)
默认端口:9200()、9300()
攻击形式:
免授权访问;
长距离命令执行;
文件遍历;
低版本webshell植入;
案例分享:
ElasticSearch
远程代码执行漏洞

elasticsearch
漏洞以工具

memcache服务
默认端口:11211
案例分享:
Memcache安全配置
memcache
未授权访问漏洞

Linux R服务
R服务:TCP端口512,513以及514吗资深的rlogin提供劳动。在系受受张冠李戴配置从而允许远程访问者从另外地点看(标准的,rhosts

  • +)。
    默认端口:512(remote process execution);513(remote login a
    latelnet);514(cmd)
    攻击情势:
    运rlogin直接登录对方系统;

RMI
RMI:我们下就有限个端口很少之原因是坐必须是java,而且rmi穿越防火墙并不佳通过;这里自己弗会晤去干任何的东西,这里提出RMI只是以在前段时间的java反系列化中,大家的后生伴Bird写了一个weblogic利用工具,里面涉及到了RMI的片段事物,在有上使用socket不克不负众望时,我们得行使RMI情势来展开动;
默认端口:1090()、1099()
攻击模式:
长距离命令执行(java反序列化,调用rmi形式执行命令)
旋即就是是RMI的魅力了!
工具下载:请点我

Rsync服务
Rsync:类UNIX系统下的数据备份工具(remote
sync),属于增量备份;关于它的成效,我们自行百度百科吧,其实下面很多大家为看看了即端口渗透,其实就是端口对应服务的渗透,服务一般出错就于布局或者本问题上,rsync也无差。Rsync默认允许匿名访问,假诺在配置文件中没相关的用户征与文件授权,就谋面触发隐患。
默认端口:873
攻击格局:
非授权访问;
地面提权:rsync默认以root运行,利用rsync上传一个文件,只要这个文件具有s权限,大家实践大家的口诛笔伐脚本就好具备root权限。详细请参考

参考二
案例分享:
果壳网几处于rsync未授权访问

Socket代理
默认端口:1080
Socket代理针对代理来说没有什么漏洞,一般只是以渗透过程遭到作大家的代理,进入内网,或者渗透域和苑的时节发帮。这里不举办过多描述,然而好品味爆破一下代理的用户称以及密码,万一运气好能登录,不也~~~~
案例分享:
拔取php
socket5代理渗透内网

0x02 总括两句
贪图解端口渗透
端口号
端口表达
攻击技巧

21/22/69
ftp/tftp:文件传输协议
爆破
嗅探
溢出;后门

22
ssh:远程连接
爆破
OpenSSH;28个退格

23
telnet:远程连接
爆破
嗅探

25
smtp:邮件服务
邮件伪造

53
DNS:域名连串
DNS区域传输
DNS劫持
DNS缓存投毒
DNS欺骗
深度应用:利用DNS隧道技术刺透防火墙

67/68
dhcp
劫持
欺骗

110
pop3
爆破

139
samba
爆破
免授权访问
长距离代码执行

143
imap
爆破

161
snmp
爆破

389
ldap
流入攻击
匪授权访问

512/513/514
linux r
直白行使rlogin

873
rsync
勿授权访问

1080
socket
炸:举行内网渗透

1352
lotus
爆破:弱口令
音讯泄露:源代码

1433
mssql
爆破:使用系统用户登录
流入攻击

1521
oracle
爆破:TNS
流入攻击

2049
nfs
配备失当

2181
zookeeper
不授权访问

3306
mysql
爆破
拒绝服务
注入

3389
rdp
爆破
Shift后门

4848
glassfish
炸:控制高弱口令
证实绕了

5000
sybase/DB2
爆破
注入

5432
postgresql
缓冲区漫
流入攻击
爆破:弱口令

5632
pcanywhere
拒绝服务
代码执行

5900
vnc
爆破:弱口令
证绕了

6379
redis
未授权访问
爆破:弱口令

7001
weblogic
Java反系列化
操纵高弱口令
支配高部署webshell

80/443/8080
web
常见web攻击
控制台爆破
对诺服务器版本漏洞

8069
zabbix
远程命令执行

9090
websphere控制台
爆破:控制高弱口令
Java反序列

9200/9300
elasticsearch
长途代码执行

11211
memcacache
匪授权访问

27017
mongodb
爆破
无授权访问

原文作者:【via@Hurricane
Security

发表评论

电子邮件地址不会被公开。 必填项已用*标注