端口渗透

 

端口渗透总结

0x00 背景

 

端口渗透过程遭到我们要关爱几只问题:

1、  端口的banner信息

2、  端口上运行的服务

3、  常见应用的默认端口

自对地方这些消息的取得,我们发各种各样的计,最为普遍的应有就是nmap了咔嚓!我们啊得组成其他的端口扫描工具,比如专门的3389、1433之类的端口扫描工具;

服务默认端口

公认端口(Well Known Ports):0-1023,他们紧紧绑定了一部分劳务;

注册端口(Registered Ports):1024-49151,他们松散之绑定了有些劳务;

动态/私有:49152-65535,不为服务分配这些端口;

理所当然这些端口还好通过改来达成诈骗攻击者的目的,但是及时就算安全了吧?攻击者又足以用啊攻击方式来攻击这些端口呢?

还欲注明的某些是:很多木马工具为起特定的端口,本文并从未关联到这块的情,大家可以友善去采访收集!

有关爆破的我见

每当针对这些端口进行实战讲解时,我得先阐述一下本人本着爆破这个措施的有的意见;

炸:技术最好简单易行,需要的艺能力基本为0,工作效率与网络、硬件等连锁,在我看来爆破其实是极度强劲的攻击方式,特别是构成一些特制的字典,结合社工我们可于老紧缺的岁月上最充分的效应,只不过因为咱们的pc或者字典不够强大,所以广大时咱们无克开展相同次于美的爆破攻击;当然现在游人如织web应用和劳动端口还限制了暴力破解;对于这种做了限的我们也许就是得采用到本文提到的任何攻击了!

享受一个组织sai总结的字典:请点击

扬言:本文总结的还是濒临两年之大漏洞,以前的老版漏洞和危害性不酷之狐狸尾巴没有下结论,望大家谅解!

0x01 实战测试

文件共享服务端口渗透

ftp服务

FTP服务:ftp服务自分为两种植状态,第一种是运系统软件来安排,比如IIS中之FTP文件共享或Linux中的默认服务软件;第二种是经第三在软件来配置,比如Serv-U还时有发生一部分网上勾的简便ftp服务器等;

默认端口:20(数据端口);21(控制端口);69(tftp小型文件传输协议)

攻击方式:

炸:ftp的爆破工具有众多,这里自己推荐owasp的Bruter 以及msf中ftp爆破模块;

匿名访问:用户称:anonymous  密码:为空或擅自邮箱

用户名:FTP            密码:FTP或为空

用户名:USET         密码:pass

当然还有无待用户名密码直接访问的,一般出现于局域网中;

必发娱乐最新官方网址 1

嗅探:ftp使用公开传输技术(但是嗅探给予局域网并需要哄或监听网关)

必发娱乐最新官方网址 2

后门技术:在linux的vsftp某平版被,存在正在一个后门程序,只要以用户称背后长
就会当6200达开辟一个监听Shell,我们好运用telnet直接连接;详细请点击

远程溢起纰漏:6.10.1 IIS FTP远程溢起漏洞,在IIS
FTP服务器中NLST命令存在一个缓冲区溢起纰漏,这个漏洞或是攻击者在服务器运行一长条地下命令。

跳转攻击:(Bounce
Attacks)攻击者发送一个FTP”PORT”命令于目标FTP服务器,其中蕴含该主机的网络地址和被口诛笔伐的劳动之端口号。这样,客户端就会一声令下FTP服务器发一个文本给受攻击的劳动。这个文件或者连根为攻击的劳务有关的吩咐(如SMTP,NNTP等)。由于是命令第三着去老是至均等栽服务,而不是直接连接,就使跟踪攻击者变得紧,并且还逃了基于网络地址的访限制。(注:此种植情景小白并从未遇上了,只是总结一下,欢迎大牛指教)

案例分享:

山东电信Serv-U
Web客户端弱口令

长虹ftp弱口令导致全网数据外泄

NFS服务

nfs:网络文件系统,允许网络被的处理器通过TCP/IP网络共享资源。基于Linux系统,配置方面颇简单,详细布置请参见案例分享。在nfs配置中,有无举行其他限制的,有限量用户,有限量IP,以及以本子2.x中我们还足以采用证书来说明用户。当然不同的克好行使的攻击方式也非雷同;就目前而言网上关于nfs的抨击或者比较少之!

默认端口:2049

攻击方式:

不授权访问:未限定IP以及用户权限设置错误

案例分享:

Nfs配置失当造成受侵犯

NFS服务均攻略

Samba服务

Samba服务:对于这个好当windows与Linux之间开展共享文件之服务均等是咱们攻击的关注点;samba登录分为两种植办法,一种是待用户名口令;另一样栽是未需要用户名口令。在众多时光不仅是pc机,还有有服务器,网络设施还放在是服务,方便开展文件共享,但是同时为叫攻击者提供了方便。

默认端口:137(主要用户NetBIOS Name
Service;NetBIOS名称服务)、139(NetBIOS Session
Service,主要提供samba服务)

攻击方式:

炸:弱口令(爆破工具采用hydra)hydra -l username -P
PassFile IP smb

切莫授权访问:给予public用户大权力

长途代码执行漏洞:CVE-2015-0240等等

案例分享:

Samba远程代码执行漏洞

无授权访问文件系统漏洞

LDAP协议

ldap:轻量级目录访问协议,最近几乎年就ldap的常见采用被察觉的纰漏呢尤为多。但是究竟主流的攻击方式仍旧是那些,比如注入,未授权等等;这些题目之起吧都是坐安排失当而致的。

默认端口:389

攻击方式:

流入攻击:盲注

切莫授权访问:

爆破:弱口令

案例分享:

LDAP注入及防卫剖析

欧朋LDAP服务匿名访问

用LDAP查询快捷提升域权限

长途连接服务端口渗透

SSH服务

SSH服务:这个服务基本会出现于咱们的Linux服务器,网络设施,安全设备等装置及,而且多时候这服务的布置都是默认的;对于SSH服务我们也许采用爆破攻击方式较多。

默认端口:22

攻击方式

爆破:弱口令、

漏洞:28退格漏洞、OpenSSL漏洞

案例分享:

安宇创新科技ssh弱口令

妥信贷某站存在OpenSSL漏洞

Telnet服务

Telnet服务:在SSH服务崛起之今天咱们已不行麻烦顾以telnet的服务器,但是于许多装置上同一还是来是服务之;比如cisco、华三,深信服等厂商的装备;我便出甚频繁由此telnet弱口叫控制这些装备;

默认端口:23

攻击方式

爆破:弱口令

嗅探:此种植状况一般生在局域网;

案例分享:

大量惠普打印机远程telnet可吃查和操作

Windows远程连接

远程桌面连接:作为windows上进展长途连接的端口,很多下咱们以赢得系统也windows的shell的当儿我们连想得以登录3389实际操作对方电脑;这个时刻我们一般的状分为两种植。一种植是内网,需要先以目标机3389端口反弹至外网;另一样种植就是是外网,我们得以一直看;当然这片栽状况我们用起来或要很严苛的尺度,比如找到登录密码等等;

默认端口:3389

攻击方式:

爆破:3389端口爆破工具就产生接触多了

Shift粘滞键后门:5蹩脚shift后门

3389漏洞攻击:利用ms12-020抨击3389端口,导致服务器关机;请参考

VNC服务

VNC:一慢慢悠悠可以之远控工具,常用语类UNIX系统上,简单意义强;也

默认端口:5900+桌面ID(5901;5902)

攻击方式:

爆破:弱口令

说明口令绕了:

拒绝服务攻击:(CVE-2015-5239)

权提升:(CVE-2013-6886)

案例分享:

广西电信客服服务器使用VNC存在弱口令而径直控制

Pcanywhere服务

PyAnywhere服务:一慢性远控工具,有接触类似vnc的机能;这个服务以以前很多黑客发的视频中还起,利用pcanywhere来展开提权;

默认端口:5632

攻击方式:

提权控制服务:

拒绝服务攻击:

代码执行:请参考

案例分享:

黑龙江物价局多地处安全漏洞可能造成服务器沦陷(pcAnywhere提权+密码突破)

Web应用服务端口渗透

HTTP服务:对于http服务实际是咱们当下立马几乎年较泛的攻击入口,所以这里会见对http服务开展一个详实的详解;

流淌:这个板块的有攻击方式,如果提到到正规的web漏洞不会见提取出来,除非是特定的服务器才会发的尾巴;

IIS服务

默认端口:80/81/443

攻击方式:

IIS
PUT写文件:利用IIS漏洞,put方法直接用文件放置到服务器上

短文件名泄漏:这种一般没啥影响

剖析漏洞:详细见apache服务

案例分享:

徐州市育体系大气IIS
PUT漏洞

用友软件IIS写权限(PUT)导致可落webshell控制服务器

国家电网某分站在iis短文件称漏洞

Apache/Tomcat/Nginx/Axis2

默认端口:80/8080

攻击方式:

爆破:弱口令(爆破manager后台)

HTTP慢速攻击:可以管服务器打死,对部分特大型的网站来震慑;

分析漏洞:请参考

案例分享:

安卓开发平台是上传漏洞和Apache解析漏洞,成功落webshell

腾讯分站 Apache 漏洞

WebLogic

默认端口:7001

攻击方式:

爆破:弱口令 4组:用户名密码均一致:system
weblogic(密码或weblogic123) portaladmin guest

Congsole后令部署webshell:

Java反序列化:

泄漏源代码/列目录:这个最老了,估计网上都没了吧!

SSRF窥探内网:央视网SSRF可窥探内网

案列分享:

福建省人工资源与社会保障厅下属某WEBLOGIC弱口令

动Weblogic进行入侵之有的总结

Jboss

默认端口8080;其他端口1098/1099/4444/4445/8080/8009/8083/8093

攻击方式:

炸:弱口令(爆破jboss系统后台)

长途代码执行:出于配备不当造成

Java反序列化:

案例分享

中华人民共和国民政部JBoss配置失当

JBOSS安全题材总结

中国科学院某处jboss应用漏洞

Websphere

默认端口:908*;第一只使用即是9080,第二只就是是9081;控制台9090

攻击方式:

爆破:弱口令(控制台)

轻易文件泄漏:(CVE-2014-0823)

Java反序列化

案例分享:

中国电信某部通用型业务系统(Websphere)GetShell漏洞

大汉网络有限公司长途命令执行漏洞(WebSphere案例)

GlassFish

默认端口:http 8080;IIOP 3700;控制台4848

攻击方式:

炸:弱口令(对于控制台)

随机文件读取:

证实绕了:

案例分享:

应用服务器glassfish存在通用任意文件读博漏洞

Oracle GlassFish
Server认证绕了

Jenkins

默认端口:8080、8089

攻击方式:

炸:弱口令(默认管理员)

免授权访问:

反序列化:

案例分享:

酷6Jenkins系统非授权访问可实施系统命令

Resin

默认端口:8080

攻击方式:

目遍历

远程文件读取

案例分享:

爱奇艺Resin配置漏洞

Resin漏洞使用案例的目录遍历/以金蝶某系也例

Jetty

默认端口:8080

攻击方式:

远程共享缓冲区溢出

Lotus

潜移默化之还是部分大型的企业,特别要留意,经过以前的测试发现弱口令之题材时都是,可能是众多总指挥不知情如何错过窜(不要打我)。

默认端口:1352

攻击方式:

爆破:弱口令(admin password)控制台

信息外泄

跨越站下论攻击

案例分享:

Lotus Domino
WebMail一处于越权访问

中电投集团之一网弱口令及内网涉及/OA系统/内部邮箱/财务系统/人力资源系统

中华某某大型金融机构地方工作弱口令导致数万经纪人信息泄露&访问Lotus
Domino后台

数据库服务端口渗透

本着有的数据库攻击方式都有SQL注入,这里先领出来在底下就是不一一写了免于大家说自占篇幅;当然不同的数据库注入技巧可能不雷同,特别是NoSQL与习俗的SQL数据库不太一样。但是及时不是本文需要介绍的机要,后面有时空会刻画一篇不同数据库的渗透技巧。

MySQL数据库

默认端口:3306

攻击方式:

爆破:弱口令

位认证漏洞:CVE-2012-2122

拒绝服务攻击:利用sql语句是服务器进行死循环打大服务器

Phpmyadmin万能密码绕了:用户称:‘localhost’@’@”  密码轻易

案例分享:

漏洞分享

与讯网某站点在mysql注入漏洞

MySQL提权总结

MSSQL数据库

默认端口:1433(Server 数据库服务)、1434(Monitor 数据库监控)

攻击方式:

炸:弱口令/使用系统用户

案例分享:

MSSQL注射总结

上海安脉综管理体系mssql注射漏洞

解密MSSQL连接数据库密码

从攻击MSSQL到提权:
使用msf针对mssql的一样潮完整渗透

Oracle数据库

默认端口:1521(数据库端口)、1158(Oracle EMCTL端口)、8080(Oracle
XDB数据库)、210(Oracle XDB FTP服务)

攻击方式:

爆破:弱口令

流入攻击;

漏洞攻击;

案例分享:

Oracle盲注结合XXE漏洞远程获取数据

PostgreSQL数据库

PostgreSQL是均等种植特色非常齐全的自由软件的目标–关系项目数据库管理网,可以说凡是当下世界上极度先进,功能最好强劲的擅自数据库管理体系。包括我们kali系统中msf也采用是数据库;泛泛谈postgresql数据库攻击技术 
大部分有关它的攻击仍旧是sql注入,所以注入才是数据库不转换的话题。

默认端口:5432

攻击方式:

爆破:弱口令:postgres postgres

缓冲区溢出起:CVE-2014-2669

案例分享:

Hacking postgresql

至于postgresql的那些从事

MongoDB数据库

MongoDB:NoSQL数据库;攻击方式与其它数据库类似;关于其的安讲解:请参考

默认端口:27017

攻击方式:

爆破:弱口令

免授权访问;github有攻击代码;请点击

案例分享:

MongoDB
phpMoAdmin远程代码执行

搜狐MongoDB未授权访问

乍浪微米未授权访问

釜底抽薪MongoDB各种隐患问题

Redis数据库

redis:是一个开源之采取c语言写的,支持网络、可因内存亦可持久化的日志型、key-value数据库。关于这个数据库及时点儿年还是老大生气之,暴露出来的问题吗特别多。特别是前段时间暴露的莫授权访问。Exp:https://yunpan.cn/cYjzHxawFpyVt 
访问密码 e547

默认端口:6379

攻击方式:

爆破:弱口令

莫授权访问+配合ssh key提权;

案例分享:

中国铁建网redis+ssh-keygen免认证登录

SysBase数据库

默认端口:服务端口5000;监听端口4100;备份端口:4200

攻击方式:

爆破:弱口令

一声令下注入:

案例分享:

广西自考信息体系Sybase数据库注入

Sybase
EAServer命令注入漏洞

DB2数据库

默认端口:5000

攻击方式:

安范围绕了:成功后而尽不授权操作(CVE-2015-1922)

案例分享:

哈尔滨银行主站DB2注入

总结一下:对于数据库,我们深知端口很多时段可助我们错过渗透,比如得知mysql的
数据库,我们虽得采用SQL注入进行mof、udf等艺术提权;如果是mssql我们就算可行使xp_cmdshell来进展提权;如果是别的数额
库,我们啊足以以对应之点子;比如各级大数据库对应它们的默认口令,版本对应的狐狸尾巴!

顺便取一下:很多时段银行柜应用的都是oracle、db2等大型数据库;

邮件服务端口渗透

SMTP协议

smtp:邮件协议,在linux中默认开启这服务,可以通往对方发送钓鱼邮件!

默认端口:25(smtp)、465(smtps)

攻击方式:

爆破:弱口令

勿授权访问

案例分享:

腾讯邮箱smtp注册时间限定绕了漏洞

邮件伪造详解

qq邮箱伪造发件地址,容易被钓鱼利用

重重厂商邮件系统配置不当可充邮件人

POP3协议

默认端口:109(POP2)、110(POP3)、995(POP3S)

攻击方式:

爆破;弱口令

勿授权访问;

案例分享:

中原联通沃邮箱等有Android客户端免密码登陆(可落任意联通用户pop3密码)

中航信邮箱密码泄露和VPN账号和大量信箱弱口令导致可内网漫游拿到域控

IMAP协议

默认端口:143(imap)、993(imaps)

攻击方式:

爆破:弱口令

配备失当

案例分享:

163邮箱二不善验证饶过缺陷

南方周末邮件服务器任意文件读博漏洞

纱大协议端口渗透

DNS服务

默认端口:53

攻击方式:

区域传输漏洞

见2中的总

案例分享:

举世Top1000Websites中留存DNS区域传送漏洞的网站列表

团购王某站DNS域传送漏洞

DNS泛解析和情投毒

DHCP服务

默认端口:67&68、546(DHCP Failover举行双机热备的)

攻击方式:

DHCP劫持;

见2中总结

案例分享:

流氓DHCP服务器内网攻击测试

SNMP协议

默认端口:161

攻击方式:

爆破:弱口令

案例分享:

snmp弱口令引起的音信泄露

依据snmp的照攻击的说理及其实现

华为某服务器SNMP弱口令

另端口渗透

Hadoop文件服务

默认端口:请参考

案例分享:

Apache
Hadoop远程命令执行

新浪漏洞系列第六弹–大量hadoop应用对外访问

Zookeeper服务

zookeeper:分布式的,开放源码的分布式应用程序协调服务;提供功能包括:配置维护、域名服务、分布式同步、组服务等。详情请参考百度百科

默认端口:2181

攻击方式:

切莫授权访问;

案例分享:

zookeeper未授权访问漏洞

网上关于这方面的案例少无多,但是对老数额逐渐泛滥的今日,这些纰漏未来会晤以乌云上面世相同死波!

Zabbix服务

zabbix:基于Web界面的提供分布式系统监视及台网监视功能的铺面级的开源解决方案。监视各种网络参数,保证服务器系统的平安运营。

默认端口:8069

攻击方式:

长距离命令执行:

案例分享:

当渗透遇到zabbix–小谈zabbix安全

Zabbix的前台SQL注射漏洞使用

网易zabbix运维不当,导致肆意命令执行。(可提权、可内网渗透)

elasticsearch服务

elasticsearch:请百度(因为我认为自身讲不知情)

默认端口:9200()、9300()

攻击方式:

莫授权访问;

远程命令执行;

文件遍历;

低版本webshell植入;

案例分享:

ElasticSearch
远程代码执行漏洞

elasticsearch 漏洞使用工具

memcache服务

默认端口:11211

案例分享:

Memcache安全配置

memcache
未授权访问漏洞

Linux R服务

R服务:TCP端口512,513跟514啊有名的rlogin提供劳务。在系统受到让误配置从而允许远程访问者从任何地方看(标准的,rhosts

  • +)。

默认端口:512(remote process execution);513(remote login a la
telnet);514(cmd)

攻击方式:

利用rlogin直接登录对方系统;

RMI

RMI:我们以即时半个端口很少的因由是为要是java,而且rmi穿越防火墙并不好通过;这里自己不见面错过干任何的物,这里提出RMI只是因在前段时间的java反序列化中,我们的弟子伴Bird写过一个weblogic利用工具,里面涉及到了RMI的一部分东西,在局部时候下socket不能够打响时,我们可以应用RMI方式来进展利用;

默认端口:1090()、1099()

攻击方式:

长途命令执行(java反序列化,调用rmi方式执行命令)

当时就算是RMI的魅力了!

工具下载:请点我

Rsync服务

Rsync:类UNIX系统下之数据备份工具(remote
sync),属于增量备份;关于她的效用,大家自行百度百科吧,其实上面很多大家为观看了即端口渗透,其实就算是端口对应服务的渗透,服务一般出错就于安排或者本问题上,rsync也无差。Rsync默认允许匿名访问,如果当布局文件被从不相关的用户征和文件授权,就见面触发隐患。

默认端口:873

攻击方式:

非授权访问;

地方提权:rsync默认以root运行,利用rsync上污染一个文本,只要是文件具有s权限,我们实施我们的攻击脚本就得具有root权限。详细请参考 和 参考二

案例分享:

搜狐几远在rsync未授权访问

Socket代理

默认端口:1080

Socket代理针对代理来说没有啊漏洞,一般只是以渗透过程遭到作咱们的代办,进入内网,或者渗透域和苑的时节发出协助。这里不做过多描述,但是好尝尝爆破一下摄的用户称和密码,万一运气好能登录,不也~~~~

案例分享:

利用php socket5代理渗透内网必发娱乐最新官方网址

0x02 总结两句

祈求解端口渗透

端口号 端口说明 攻击技巧
21/22/69 ftp/tftp:文件传输协议 爆破

 

嗅探

溢出;后门

22 ssh:远程连接 爆破

 

OpenSSH;28个退格

23 telnet:远程连接 爆破

 

嗅探

25 smtp:邮件服务 邮件伪造
53 DNS:域名系统 DNS区域传输

 

DNS劫持

DNS缓存投毒

DNS欺骗

深度利用:利用DNS隧道技术刺透防火墙

67/68 dhcp 劫持

 

欺骗

110 pop3 爆破
139 samba 爆破

 

未授权访问

远程代码执行

143 imap 爆破
161 snmp 爆破
389 ldap 注入攻击

 

未授权访问

512/513/514 linux r 直接使用rlogin
873 rsync 未授权访问
1080 socket 爆破:进行内网渗透
1352 lotus 爆破:弱口令

 

信息泄漏:源代码

1433 mssql 爆破:使用系统用户登录

 

注入攻击

1521 oracle 爆破:TNS

 

注入攻击

2049 nfs 配置不当
2181 zookeeper 未授权访问
3306 mysql 爆破

 

拒绝服务

注入

3389 rdp 爆破

 

Shift后门

4848 glassfish 爆破:控制台弱口令

 

认证绕过

5000 sybase/DB2 爆破

 

注入

5432 postgresql 缓冲区溢出

 

注入攻击

爆破:弱口令

5632 pcanywhere 拒绝服务

 

代码执行

5900 vnc 爆破:弱口令

 

认证绕过

6379 redis 未授权访问

 

爆破:弱口令

7001 weblogic Java反序列化

 

控制台弱口令

控制台部署webshell

80/443/8080 web 常见web攻击

 

控制台爆破

对应服务器版本漏洞

8069 zabbix 远程命令执行
9090 websphere控制台 爆破:控制台弱口令

 

Java反序列

9200/9300 elasticsearch 远程代码执行
11211 memcacache 未授权访问
27017 mongodb 爆破

 

未授权访问

• 2016/03/21 from:Hurricane Security

发表评论

电子邮件地址不会被公开。 必填项已用*标注