公家号:白帽子左一领取配套练手靶场、平安全套课程及东西...
0x00 布景在前段时间的渗入中,我发现通过端口来停止渗入有时会提拔我们的效率,所以才有了那篇文章的降生;
端口渗入过程中我们需要存眷几个问题:
1、 端口的banner信息
2、 端口上运行的办事
3、 常见利用的默认端口
当然关于上面那些信息的获取,我们有形形色色的办法,最为常见的应该就是nmap了吧!
我们也能够连系其他的端口扫描东西,好比专门的3389、1433等等的端口扫描东西;
办事默认端口公认端口(Well Known Ports):0-1023,他们密切绑定了一些办事;
注册端口(Registered Ports):1024-49151,他们松懈的绑定了一些办事;
动态/私有:49152-65535,不为办事分配那些端口;
当然那些端口都能够通过修改来到达哄骗进攻者的目标,但是那就平安了吗?
进攻者又能够利用什么进攻体例来进攻那些端口呢?
还需要说明的一点是:良多木马东西也有特定的端口,本文并没有涉及到那块的内容,各人能够本身往搜集搜集!
爆破在对那些端口停止实战讲解时,我需要先论述一下我对爆破那个体例的一些观点;
爆破:手艺最简单,需要的手艺才能根本为0,工做效率与收集、硬件等相关,在我看来爆破其实是最强大的进攻体例,特殊是连系一些特造的字典,连系社工我们能够在很短的时间到达更大的效果,只不外因为我们的pc或者字典不敷强大,所以良多时候我们不克不及停止一次优良的爆破进攻;
当然如今良多web利用以及办事端口都限造了暴力破解;
关于那种做了限造的我们可能就需要操纵到本文提到的其他进攻了!
0x01 实战测试文件共享办事端口渗入
ftp办事
FTP办事:ftp办事我分为两种情状,第一种是利用系统软件来设置装备摆设,好比IIS中的FTP文件共享或Linux中的默认办事软件;
第二种是通过第三方软件来设置装备摆设,好比Serv-U还有一些网上写的简易ftp办事器等;
默认端口:
20(数据端口);
21(掌握端口);
69(tftp小型文件传输协议)
进攻体例:
爆破:ftp的爆破东西有良多,那里我选举owasp的
Bruter:/
以及msf中ftp爆破模块;
匿名拜候:用户名:anonymous 密码:为空或肆意邮箱
用户名:FTP 密码:FTP或为空
用户名:USET 密码:pass
当然还有不需要用户名密码间接拜候的,一般呈现在局域网中;
嗅探:ftp利用明文传输手艺(但是嗅探赐与局域网并需要哄骗或监听网关)
后门手艺:在linux的vsftp某一版本中,存在着一个后门法式,只要在用户名后面加上 就会在6200上翻开一个监听Shell
我们能够利用telnet间接毗连;
长途溢露马脚:6.10.1 IIS FTP长途溢露马脚,在IIS FTP办事器中NLST号令存在一个缓冲区溢露马脚,那个破绽可能是进攻者在办事器运行一条不法号令。
跳转进攻:(Bounce Attacks)进攻者发送一个FTP”PORT”号令给目标FTP办事器,此中包罗该主机的收集地址和被进攻的办事的端标语。如许,客户端就能号令FTP办事器发一个文件给被进攻的办事。
那个文件可能包罗根被进攻的办事有关的号令(如SMTP,NNTP等)。
因为是号令第三方往毗连到一种办事,而不是间接毗连,就使得跟踪进攻者变得困难,而且还避开了基于收集地址的拜候限造。
(注:此种情状并没有碰着过,只是总结一下)
NFS办事
nfs:收集文件系统,容许收集中的计算机通过TCP/IP收集共享资本。
基于Linux系统,设置装备摆设方面很简单。
在nfs设置装备摆设中,有不做任何限造的,有限造用户,有限造IP,以及在版本2.x中我们还能够利用证书来验证用户。
当然差别的限造能够摘用的进攻体例也纷歧样;就目前而言网上关于nfs的进攻仍是比力少的!
默认端口:2049
进攻体例:
未受权拜候:未限造IP以及用户权限设置错误
Samba办事
Samba办事:关于那个能够在windows与Linux之间停止共享文件的办事同样是我们进攻的存眷点;
samba登录分为两种体例,一种是需要用户名口令;
另一种是不需要用户名口令。
在良多时候不但是pc机,还有一些办事器,收集设备都开放着此办事,便利停止文件共享,但是同时也给进攻者供给了便当。
默认端口:137(次要用户NetBIOS Name Service;NetBIOS名称办事)、139(NetBIOS Session Service,次要供给samba办事)
进攻体例:
爆破:弱口令(爆破东西摘用hydra)hydra -l username -P
PassFile IP smb
未受权拜候:赐与public用户高权限
长途代码施行破绽:CVE-2019-0240等等
LDAP协议
ldap:轻量级目次拜候协议,比来几年跟着ldap的普遍利用被发现的破绽也越来越多。但是事实支流的进攻体例仍然是那些,好比注进,未受权等等;那些问题的呈现也都是因为设置装备摆设不妥而形成的。
默认端口:389
进攻体例:
注进进攻:盲注
未受权拜候:
爆破:弱口令
长途毗连办事端口渗入SSH办事
SSH办事:那个办事根本会呈现在我们的Linux办事器,收集设备,平安设备等设备上,并且良多时候那个办事的设置装备摆设都是默认的;
关于SSH办事我们可能利用爆破进攻体例较多。
默认端口:22
进攻体例
爆破:弱口令、
破绽:28退格破绽、OpenSSL破绽
Telnet办事
Telnet办事:在SSH办事兴起的今天我们已经很难见到利用telnet的办事器,但是在良多设备上同样仍是有那个办事的;
好比cisco、华三,深心服等厂商的设备;我就有良多次通过telnet弱口令掌握那些设备;
默认端口:23
进攻体例
爆破:弱口令
嗅探:此种情状一般发作在局域网;
Windows长途毗连
长途桌面毗连:做为windows长进行长途毗连的端口,良多时候我们在得到系统为windows的shell的时候我们老是期看能够登录3389现实操做对方电脑;
那个时候我们一般的情状分为两种。
一种是内网,需要先将目标机3389端口反弹到外网;
另一种就是外网,我们能够间接拜候;当然那两种情状我们操纵起来可能需要很苛刻的前提,好比找到登录密码等等;
默认端口:3389
进攻体例:
爆破:3389端口爆破东西就有点多了
Shift粘滞键后门:5次shift后门
3389破绽进攻:操纵ms12-020进攻3389端口,招致办事器关机;
VNC办事
VNC:一款优良的远控东西,常用语类UNIX系统上,简单功用强大;也
默认端口:5900+桌面ID(5901;5902)
进攻体例:
爆破:弱口令
认证口令绕过:
回绝办事进攻:(CVE-2015-5239)
权限提拔:(CVE-2013-6886)
Pcanywhere办事
PyAnywhere办事:一款远控东西,有点类似vnc的功用;那个办事在以前良多黑客发的视频里面都有,操纵pcanywhere来停止提权;
默认端口:5632
进攻体例:
提权掌握办事:
回绝办事进攻:
Web利用办事端口渗入办事停止一个详尽的详解;
注:那个板块的所有进攻体例,假设涉及到常规的web破绽不会提出来,除非是特定的办事器才会产生的破绽;
IIS办事
默认端口:80/81/443
进攻体例:
IIS
PUT写文件:操纵IIS破绽,put办法间接将文件放置到办事器上
短文件名泄露:那种一般没啥影响
解析破绽:详尽见apache办事
Apache/Tomcat/Nginx/Axis2
默认端口:80/8080
进攻体例:
爆破:弱口令(爆破manager后台)
HTTP慢速进攻:能够把办事器打死,对一些大型的网站有影响;
WebLogic
默认端口:7001
进攻体例:
爆破:弱口令 4组:用户名密码均一致:system weblogic(密码可能weblogic123) portaladmin guest
Congsole后台摆设webshell:
Java反序列化:
泄露源代码/列目次:那个太老了,估量网上都没有了吧!
SSRF窥探内网:央视网SSRF可窥探内网
Jboss
默认端口8080;其他端口1098/1099/4444/4445/8080/8009/8083/8093
进攻体例:
爆破:弱口令(爆破jboss系统后台)
长途代码施行:因为设置装备摆设不妥形成
Java反序列化:
Websphere
默认端口:908*;第一个利用就是9080,第二个就是9081;掌握台9090
进攻体例:
爆破:弱口令(掌握台)
肆意文件泄露:(CVE-2014-0823)
Java反序列化
GlassFish
默认端口:
进攻体例:
爆破:弱口令(关于掌握台)
肆意文件读取:
认证绕过:
Jenkins
默认端口:8080、8089
进攻体例:
爆破:弱口令(默认治理员)
未受权拜候:
反序列化:
Resin
默认端口:8080
进攻体例:
目次遍历
长途文件读取
Jetty
默认端口:8080
进攻体例:
长途共享缓冲区溢出
Lotus
影响的都是一些大型的企业,特殊需要重视,颠末以前的测试发现弱口令那个问题经常都存在,可能是良多治理员不晓得若何往修改(不要打我)。
默认端口:1352
进攻体例:
爆破:弱口令(admin password)掌握台
信息泄露
跨站脚本进攻
数据库办事端口渗入针对所有的数据库进攻体例都存在SQL注进,那里先提出来鄙人面就纷歧一写了免得各人说我占篇幅;当然差别的数据库注进身手可能纷歧样,特殊是NoSQL与传统的SQL数据库不太一样。
MySQL数据库
默认端口:3306
进攻体例:
爆破:弱口令
身份认证破绽:CVE-2012-2122
回绝办事进攻:操纵sql语句是办事器停止死轮回打死办事器
Phpmyadmin全能密码绕过:用户名:‘localhost’@’@” 密码肆意
MSSQL数据库
默认端口:1433(Server 数据库办事)、1434(Monitor 数据库监控)
进攻体例:
爆破:弱口令/利用系统用户
Oracle数据库
默认端口:1521(数据库端口)、1158(Oracle EMCTL端口)、8080(Oracle XDB数据库)、210(Oracle XDB FTP办事)
进攻体例:
爆破:弱口令
注进进攻;
破绽进攻;
PostgreSQL数据库
PostgreSQL是一种特征十分齐全的自在软件的对象–关系型数据库治理系统,能够说是目宿世界上更先进,功用最强大的自在数据库治理系统。包罗我们kali系统中msf也利用那个数据库;浅谈postgresql数据库进攻手艺 大部门关于它的进攻照旧是sql注进,所以注进才是数据库稳定的话题。
默认端口:5432
进攻体例:
爆破:弱口令:postgres postgres
缓冲区溢出:CVE-2014-2669
MongoDB数据库
MongoDB:NoSQL数据库;进攻办法与其他数据库类似;
默认端口:27017
进攻体例:
爆破:弱口令
未受权拜候;github有进攻代码
Redis数据库
redis:是一个开源的利用c语言写的,撑持收集、可基于内存亦可耐久化的日记型、key-value数据库。
关于那个数据库那两年仍是很火的,表露出来的问题也良多。特殊是前段时间表露的未受权拜候。
Exp:
默认端口:6379
进攻体例:
爆破:弱口令
未受权拜候+共同ssh key提权;
SysBase数据库
默认端口:办事端口5000;监听端口4100;备份端口:4200
进攻体例:
爆破:弱口令
号令注进:
DB2数据库
默认端口:5000
进攻体例:
平安限造绕过:胜利后可施行未受权操做(CVE-2015-1922)
邮件办事端口渗入SMTP协议
smtp:邮件协议,在linux中默认开启那个办事,能够向对方发送垂钓邮件!
默认端口:25(smtp)、465(smtps)
进攻体例:
爆破:弱口令
未受权拜候
POP3协议
默认端口:109(POP2)、110(POP3)、995(POP3S)
进攻体例:
爆破;弱口令
未受权拜候;
IMAP协议
默认端口:143(imap)、993(imaps)
进攻体例:
爆破:弱口令
设置装备摆设不妥
收集常见协议端口渗入DNS办事
默认端口:53
进攻体例:
区域传输破绽
见2中的总结
DHCP办事
默认端口:67&68、546(DHCP Failover做双机热备的)
进攻体例:
DHCP劫持;
SNMP协议
默认端口:161
进攻体例:
爆破:弱口令
其他端口渗入Zookeeper办事
zookeeper:散布式的,开放源码的散布式利用法式协调办事;供给功用包罗:设置装备摆设庇护、域名办事、散布式同步、组办事等。详情请参考百度百科
默认端口:2181
进攻体例:
未受权拜候;
Zabbix办事
zabbix:基于Web界面的供给散布式系统监视以及收集监视功用的企业级的开源处理计划。监视各类收集参数,包管办事器系统的平安运营。
默认端口:8069
进攻体例:
长途号令施行:
elasticsearch办事
elasticsearch:请百度(因为我觉得我阐明不清晰)
默认端口:9200()、9300()
进攻体例:
未受权拜候;
长途号令施行;
文件遍历;
低版本webshell植进;
Linux R办事
R办事:TCP端口512,513和514为闻名的rlogin供给办事。
在系统中被错误设置装备摆设从而容许长途拜候者从任何处所拜候(原则的,rhosts + +)。
默认端口:512(remote process execution);513(remote login a la
telnet);514(cmd)
进攻体例:
利用rlogin间接登录对方系统;
RMI
RMI:我们利用那两个端口很少的原因是因为必需是java,并且rmi穿越防火墙其实不好穿越;那里我不会往涉及其他的工具,那里提出RMI只是因为在前段时间的java反序列化中,我们的小伙伴Bird写过一个weblogic操纵东西,里面涉及到了RMI的一些工具,在有的时候利用socket不克不及胜利时,我们能够利用RMI体例来停止操纵;
默认端口:1090()、1099()
进攻体例:
长途号令施行(java反序列化,挪用rmi体例施行号令)
那就是RMI的魅力了!
Rsync办事
Rsync:类UNIX系统下的数据备份东西(remote sync),属于增量备份;关于它的功用,各人自行百度百科吧,其实上面良多各人也看到了说是端口渗入,其实就是端口对应办事的渗入,办事一般出错就在设置装备摆设或者版本问题上,rsync也不破例。
Rsync默认容许匿名拜候,假设在设置装备摆设文件中没有相关的用户认证以及文件受权,就会触发隐患。
默认端口:873
进攻体例:
未受权拜候;
当地提权:rsync默认以root运行,操纵rsync上传一个文件,只要那个文件具有s权限,我们施行我们的进攻脚本就能够具有root权限。
Socket代办署理
默认端口:1080
Socket代办署理针对代办署理来说没有什么破绽,一般只是在渗入过程中做为我们的代办署理,进进内网,或者渗入域和林的时候有搀扶帮助。那里不做过多描述,但是能够测验考试爆破一下代办署理的用户名和密码,万一命运好能登录,不也~~~~
0x02 总结两句图解端口渗入
原文地址: