|
|
|
联系客服020-83701501

端口渗透总结

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
端口渗透总结

0x00 配景

在前段工夫的渗透中,我发明经过端口来进行渗透无意会提拔咱们的恪守,所以才有了这篇文章的诞生;

首先分享一份关于端口及他们对应的服务文件:https://yunpan.cn/cYyNXEpZNYvxQ ?会晤造访暗码 983e

这里再分享一篇我曾经在百度文库提交的端口渗透文章:请点我

再次看这篇文章发明写的很简单,也只描述了几个思空见贯的端口渗透;而且个别咱们但凡也许修 改默认端口的,所以寻常在渗透过程中,对端口消息的搜集便是一个很垂危的过程;然后对症下药就也许更快的渗透进入咱们需要的服务器;接上去就具体经过渗透 实战对端口的渗透进行更加深刻的阐发;

端口渗透过程中咱们需要关注几个题目:

1、? 端口的banner消息

2、? 端口上运转的服务

3、? 思空见贯垄断的默认端口

尽管对于上面这些消息的获取,咱们有林林总总的体式花样,最为思空见贯的理应便是nmap了吧!咱们也也许分离别的的端口扫描器材,比方特意的3389、1433等等的端口扫描器材;

服务默认端口

公认端口(Well Known Ports):0-1023,他们缜密绑定了一些服务;

注册端口(Registered Ports):1024-49151,他们荟萃的绑定了一些服务;

消息/公有:49152-65535,不为服务调配这些端口;

尽管这些端口都也许经过修改来抵达欺骗进击者的目的,然而这就平安了吗?进击者又也许独霸甚么进击门径来进击这些端口呢?

还需要注白的一点是:许多木马器材也有特定的端口,本文并无涉及到这块的内容,本身也许本身去搜集收集!

关于爆破之我见

在对这些端口进行实战解说时,我需要先阐述一下我对爆破这个门径的一些见地;

爆破:技能最简单,需要的技能才智底子为0,使命恪守与网络、硬件等干系,在我看来爆破实际上是最强大的进击门径,异常是分离一些特制的字典,分离社工咱们也许在很短的工夫抵达最大的成效,只不外因为咱们的pc大概字典不够强大,所以许多时辰咱们不克不及进行一次精良的爆破进击;尽管当初许多网站垄断以及服务端口都限定了暴力破解;对于这种做了限定的咱们大概就需要操纵到本文提到的别的进击了!

分享一个团队sai总结的字典:请点击

声名:本文总结的但凡近两年的思空见贯裂痕,过来的老版裂痕以及侵吞性不大的裂痕不有总结,望本身谅解!

0x01 实战测试

文件共享服务端口渗透

ftp服务

FTP服务:ftp服务我分为两种情况,第一种是独霸琐细软件来配置,比方IIS中的FTP文件共享或Linux中的默认服务软件;第二种是经过第三方软件来配置,比方Serv-U另有一些网上写的简易ftp服务器等;

默认端口:20(数据端口);21(管束端口);69(tftp小型文件传输协议)

进击门径:

爆破:ftp的爆破工存在许多,这里我保举owasp的Bruter 以及msf中ftp爆破模块;

匿名会晤造访:用户名:anonymous? 暗码:为空或苟且邮箱

用户名:FTP??????????? 暗码:FTP或为空

用户名:USET???????? 暗码:pass

尽管另有不需要用户名暗码间接会晤造访的,个别呈当初局域网中;

0

嗅探:ftp独霸明文传输技能(然而嗅探给予局域网并需要欺骗或监听网关)

01

后门技能:在linux的vsftp某一版本中,具备着一个后门步调,只要在用户名后面加之 就会在6200上打开一个监听Shell,咱们也许独霸telnet直连续接;具体请点击

远程溢出裂痕:6.10.1 IIS FTP远程溢出裂痕,在IIS FTP服务器中NLST号令具备一个缓冲区溢出裂痕,这个裂痕大概是进击者在服务器运转一条犯警号令。

跳转进击:(Bounce Attacks)进击者发送一个FTP”PORT”号令给目标FTP服务器,其中收罗该主机的网络地址和被进击的服务的端口号。多么,客户端就能号令FTP服务器发一个文件给被进击的服务。这个文件大概包含根被进击的服务有关的号令(如SMTP,NNTP等)。由因而号令第三方去连接到一种服务,而不是直连续接,就使得跟踪进击者变得艰难,而且还避开了基于网络地址的会晤造访限定。(注:此种情况小白并无碰着过,只是总结一下,欢迎大牛指教)

案例分享:

山东电信Serv-U Web客户端弱口令

长虹ftp弱口令导致全网数据走漏

NFS服务

nfs:网络文件琐细,答应网络中的计较机经过TCP/IP网络共享成本。基于Linux琐细,配置方面很简单,具体配置请参考案例分享。在nfs配置中,有不做任何限定的,有限定用户,有限定IP,以及在版本2.x中咱们还也许独霸证书来验证用户。尽管不同的限定也许采纳的进击门径也纷歧样;就目前而言网上关于nfs的进击照常对照少的!

默认端口:2049

进击门径:

未受权会晤造访:未限定IP以及用户权限设置差池

案例分享:

Nfs配置不当导致被入侵

NFS服务全攻略

Samba服务

Samba服务:对于这个也许在windows与Linux之间进行共享文件的服务同样是咱们进击的关注点;samba登录分为两种门径,一种是需要用户名口令;另一种是不需要用户名口令。在许多时辰不然而pc机,另有一些服务器,网络配备都雕残着此服务,随意敷衍进行文件共享,然而同时也给进击者供应了便当。

默认端口:137(主要用户NetBIOS Name Service;NetBIOS名称服务)、139(NetBIOS Session Service,主要供应samba服务)

进击门径:

爆破:弱口令(爆破器材采纳hydra)hydra -l username -P
PassFile IP smb

未受权会晤造访:给予public用户高权限

远程代码实验裂痕:CVE-2015-0240等等

案例分享:

Samba远程代码实验裂痕

未受权会晤造访文件琐细裂痕

LDAP协议

ldap:轻量级目录会晤造访协议,比来几年随着ldap的普及独霸被发明的裂痕也愈来愈多。然而到底了局主流的进击门径仍旧是那些,比方注入,未受权等等;这些题目的呈现也但凡因为配置不当而形成的。

默认端口:389

进击门径:

注入进击:盲注

未受权会晤造访:

爆破:弱口令

案例分享:

LDAP注入与防范阐发

欧朋LDAP服务匿名会晤造访

独霸LDAP盘诘快速提拔域权限

远程连接服务端口渗透

SSH服务

SSH服务:这个服务底子会呈当初咱们的Linux服务器,网络配备,平安配备等配备上,而且许多时辰这个服务的配置但凡默认的;对于SSH服务咱们大概独霸爆破进击门径较多。

默认端口:22

进击门径

爆破:弱口令、

裂痕:28退格裂痕、OpenSSL裂痕

案例分享:

安宇创新科技ssh弱口令

宜信贷某站具备OpenSSL裂痕

Telnet服务

Telnet服务:在SSH服务崛起的今天不日咱们已经很难见到独霸telnet的服务器,然而在许多配备上同样照常有这个服务的;比方cisco、华三,笃信服等厂商的配备;我就有很屡次经过telnet弱口令管束这些配备;

默认端口:23

进击门径

爆破:弱口令

嗅探:此种情况个别发生在局域网;

案例分享:

大量惠普打印机远程telnet可被查抄和操纵

Windows远程连接

远程桌面连接:作为windows出路行远程连接的端口,许多时辰咱们在获取琐细为windows的shell的时辰咱们总是盼愿也许登录3389实际操纵对方电脑;这个时辰咱们个别的情况分为两种。一种是内网,需要先将目标机3389端口反弹到外网;另一种便是外网,咱们也许间接会晤造访;尽管这两种情况咱们操纵起来大概需要很刻薄的条件,比方找到登录暗码等等;

默认端口:3389

进击门径:

爆破:3389端口爆破器材就有点多了

Shift粘滞键后门:5次shift后门

3389裂痕进击:操纵ms12-020进击3389端口,导致服务器关机;请参考

VNC服务

VNC:一款精良的远控器材,罕用语类UNIX琐细上,简单功能强大;也

默认端口:5900+桌面ID(5901;5902)

进击门径:

爆破:弱口令

认证口令绕过:

拒绝服务进击:(CVE-2015-5239)

权限提拔:(CVE-2013-6886)

案例分享:

广西电信客服服务器独霸VNC具备弱口令可间接收束

Pcanywhere服务

PyAnywhere服务:一款远控器材,有点不异vnc的功能;这个服务在过来许多黑客发的视频外面都有,操纵pcanywhere来进行提权;

默认端口:5632

进击门径:

提权管束服务:

拒绝服务进击:

代码实验:请参考

案例分享:

黑龙江物价局多处平安裂痕大概导致服务器沦亡(pcAnywhere提权+暗码冲破)

Web垄断服务端口渗透

HTTP服务:对于http服务实际上是咱们目前这几年对照思空见贯的进击出口,所以这里会针对http服务进行一个具体的详解;

注:这个板块的全部进击门径,假设涉及到旧规的网站裂痕不会提出来,除非是特定的服务器才会产生的裂痕;

IIS服务

默认端口:80/81/443

进击门径:

IIS
PUT写文件:操纵IIS裂痕,put体式花样间接将文件安置到服务器上

漫笔件名走漏:这种个别没啥影响

阐发裂痕:具体见apache服务

案例分享:

徐州市辅导琐细大量IIS PUT裂痕

用友软件IIS写权限(PUT)导致可获取网站shell管束服务器

国家电网某分站具备iis漫笔件名裂痕

Apache/Tomcat/Nginx/Axis2

默认端口:80/8080

进击门径:

爆破:弱口令(爆破manager布景)

HTTP慢速进击:也许把服务器打死,对一些大型的网站有影响;

阐发裂痕:请参考

案例分享:

安卓开发平台具备上传裂痕和Apache阐发裂痕,得胜获取网站shell

腾讯分站 Apache 裂痕

WebLogic

默认端口:7001

进击门径:

爆破:弱口令 4组:用户名暗码均分歧:system 网站logic(暗码大概网站logic123) portaladmin guest

Congsole布景安放网站shell:

Java反序列化:

走漏源代码/列目录:这个太老了,约莫网上都不有了吧!

SSRF窥伺内网:央视网SSRF可窥伺内网

案列分享:

福建省人力成本和社会包管厅属下某WEBLOGIC弱口令

操纵Weblogic进行入侵的一些总结

Jboss

默认端口8080;别的端口1098/1099/4444/4445/8080/8009/8083/8093

进击门径:

爆破:弱口令(爆破jboss琐细布景)

远程代码实验:由于配置不当形成

Java反序列化:

案例分享

中华群众共和国民政部JBoss配置不当

JBOSS平安题目总结

中国科学院某处jboss垄断裂痕

Websphere

默认端口:908*;第一个垄断便是9080,第二个便是9081;管束台9090

进击门径:

爆破:弱口令(管束台)

苟且文件走漏:(CVE-2014-0823)

Java反序列化

案例分享:

中国电信某通用型业务琐细(Websphere)GetShell裂痕

大汉网络有限公司远程号令实验裂痕(WebSphere案例)

GlassFish

默认端口:http 8080;IIOP 3700;管束台4848

进击门径:

爆破:弱口令(对于管束台)

苟且文件读取:

认证绕过:

案例分享:

垄断服务器glassfish具备通用苟且文件读取裂痕

Oracle GlassFish Server认证绕过

Jenkins

默认端口:8080、8089

进击门径:

爆破:弱口令(默认打点员)

未受权会晤造访:

反序列化:

案例分享:

酷6Jenkins琐细未受权会晤造访可实验琐细号令

Resin

默认端口:8080

进击门径:

目录遍历

远程文件读取

案例分享:

爱奇艺Resin配置裂痕

Resin裂痕操纵案例之目录遍历/以金蝶某琐细为例

Jetty

默认端口:8080

进击门径:

远程共享缓冲区溢出

Lotus

影响的但凡一些大型的企业,异常需要留意,经过过程过来的测试发明弱口令这个题目往往都具备,大概是许多打点员不知道如何去修改(不要打我)。

默认端口:1352

进击门径:

爆破:弱口令(admin password)管束台

消息透露

跨站剧本进击

案例分享:

Lotus Domino WebMail一处越权会晤造访

中电投个人某琐细弱口令直达内网涉及/OA琐细/内部邮箱/财政琐细/人力成本琐细

中国某大型金融机构地方业务弱口令导致数万商户消息透露&会晤造访Lotus Domino布景

数据库服务端口渗透

针对全部的数据库进击门径都具备SQL注入,这里先提出来在上面就纷歧一写了以免本身说我占篇幅;尽管不同的数据库注入本领大概纷歧样,异常是NoSQL与传统的SQL数据库不太一样。然而这不是本文需要介绍的重点,后面有工夫会写一篇不同数据库的渗透本领。

MySQL数据库

默认端口:3306

进击门径:

爆破:弱口令

身份认证裂痕:CVE-2012-2122

拒绝服务进击:操纵sql语句是服务器进行死循环打死服务器

Phpmyadmin万能暗码绕过:用户名:‘localhost’@’@”? 暗码苟且

案例分享:

裂痕分享

和讯网某站点具备mysql注入裂痕

MySQL提权总结

MSSQL数据库

默认端口:1433(Server 数据库服务)、1434(Monitor 数据库监控)

进击门径:

爆破:弱口令/独霸琐细用户

案例分享:

MSSQL打针总结

上海安脉剖析打点琐细mssql打针裂痕

解密MSSQL连接数据库暗码

从进击MSSQL到提权: 独霸msf针对mssql的一次残缺渗透

Oracle数据库

默认端口:1521(数据库端口)、1158(Oracle EMCTL端口)、8080(Oracle XDB数据库)、210(Oracle XDB FTP服务)

进击门径:

爆破:弱口令

注入进击;

裂痕进击;

案例分享:

Oracle盲注分离XXE裂痕远程获取数据

PostgreSQL数据库

PostgreSQL是一种本色异常齐全的从容软件的货色–干系型数据库打点琐细,也许说是目前天下上最儿女,功能最强大的从容数据库打点琐细。包含咱们kali琐细中msf也独霸这个数据库;浅谈postgresql数据库进击技能? 大全部关于它的进击仿照照旧是sql注入,所以注入才是数据库稳定的话题。

默认端口:5432

进击门径:

爆破:弱口令:postgres postgres

缓冲区溢出:CVE-2014-2669

案例分享:

Hacking postgresql

关于postgresql的那些事

MongoDB数据库

MongoDB:NoSQL数据库;进击体式花样与别的数据库不异;关于它的平安解说:请参考

默认端口:27017

进击门径:

爆破:弱口令

未受权会晤造访;github有进击代码;请点击

案例分享:

MongoDB phpMoAdmin远程代码实验

搜狐MongoDB未受权会晤造访

新浪微米未受权会晤造访

筹算MongoDB各类隐患题目

Redis数据库

redis:是一个开源的独霸c语言写的,否决网络、可基于内存亦可历久化的日记型、key-value数据库。关于这个数据库这两年照常很火的,袒暴露来的题目也许多。异常是前段工夫袒露的未受权会晤造访。Exp:https://yunpan.cn/cYjzHxawFpyVt? 会晤造访暗码 e547

默认端口:6379

进击门径:

爆破:弱口令

未受权会晤造访+配合ssh key提权;

案例分享:

中国铁建网redis+ssh-keygen免认证登录

SysBase数据库

默认端口:服务端口5000;监听端口4100;备份端口:4200

进击门径:

爆破:弱口令

号令注入:

案例分享:

广西自考消息琐细Sybase数据库注入

Sybase EAServer号令注入裂痕

DB2数据库

默认端口:5000

进击门径:

平安限定绕过:得胜后可实验未受权操纵(CVE-2015-1922)

案例分享:

哈尔滨银行主站DB2注入

总结一下:对于数据库,咱们得悉端口许多时辰也许扶直咱们去渗透,比方得悉mysql的 数据库,咱们就也许独霸SQL注入进行mof、udf等门径提权;假设是mssql咱们就也许独霸xp_cmdshell来进行提权;假设是此外的数据 库,咱们也也许采纳对应的门径;比方各大数据库对应它们的默认口令,版本对应的裂痕!

专程提一下:许多时辰银行企业采纳的但凡oracle、db2等大型数据库;

邮件服务端口渗透

SMTP协议

smtp:邮件协议,在linux中默认封锁这个服务,也许向对方发送钓鱼邮件!

默认端口:25(smtp)、465(smtps)

进击门径:

爆破:弱口令

未受权会晤造访

案例分享:

腾讯邮箱smtp注册工夫限定绕过裂痕

邮件虚构详解

qq邮箱虚构发件地址,繁冗被钓鱼操纵

众多厂商邮件琐细配置不当可虚构邮件人

POP3协议

默认端口:109(POP2)、110(POP3)、995(POP3S)

进击门径:

爆破;弱口令

未受权会晤造访;

案例分享:

中国联通沃邮箱等全部Android客户端免暗码登陆(可获取苟且联通用户pop3暗码)

中航信邮箱暗码走漏及VPN账号和大量邮箱弱口令导致可内网漫游拿到域控

IMAP协议

默认端口:143(imap)、993(imaps)

进击门径:

爆破:弱口令

配置不当

案例分享:

163邮箱二次验证饶过坏处

南边周末邮件服务器苟且文件读取裂痕

网络思空见贯协议端口渗透

DNS服务

默认端口:53

进击门径:

区域传输裂痕

见2中的总结

案例分享:

环球Top1000Websites中具备DNS区域传递裂痕的网站列表

团购王某站DNS域传递裂痕

DNS泛阐发与内容投毒

DHCP服务

默认端口:67&68、546(DHCP FaiLOVEr做双机热备的)

进击门径:

DHCP挟制;

见2中总结

案例分享:

流氓DHCP服务器内网进击测试

SNMP协议

默认端口:161

进击门径:

爆破:弱口令

案例分享:

snmp弱口令惹起的消息走漏

基于snmp的反射进击的实践及实在现

华为某服务器SNMP弱口令

别的端口渗透

Hadoop文件服务

默认端口:请参考

案例分享:

Apache Hadoop远程号令实验

新浪裂痕系列第六弹–大量hadoop垄断对外会晤造访

Zookeeper服务

zookeeper:散布式的,雕残源码的散布式垄断步调谐和服务;供应功能包含:配置爱护、域名服务、散布式同步、组服务等。皮相请参考百度百科

默认端口:2181

进击门径:

未受权会晤造访;

案例分享:

zookeeper未受权会晤造访裂痕

网上关于这方面的案例短暂未几,然而对于大数据逐渐泛滥的今天不日,这些裂痕未来会在乌云上呈现一大波!

Zabbix服务

zabbix:基于Web界面的供应散布式琐细监督以及网络监督功能的企业级的开源筹算打点。监督各类网络参数,包管服务器琐细的平安运营。

默认端口:8069

进击门径:

远程号令实验:

案例分享:

当渗透碰着zabbix–小谈zabbix平安

Zabbix的前台SQL打针裂痕操纵

网易zabbix运维不当,导致苟且号令实验。(可提权、可内网渗透)

elasticsearch服务

elasticsearch:请百度(因为我感想我解释不显著)

默认端口:9200()、9300()

进击门径:

未受权会晤造访;

远程号令实验;

文件遍历;

低版本网站shell植入;

案例分享:

ElasticSearch 远程代码实验裂痕

elasticsearch 裂痕操纵器材

memcache服务

默认端口:11211

案例分享:

Memcache平安配置

memcache 未受权会晤造访裂痕

Linux R服务

R服务:TCP端口512,513和514为驰誉的rlogin供应服务。在琐细中被差池配置从而答应远程会晤造访者从任何地方会晤造访(标准的,rhosts + +)。

默认端口:512(remote process execution);513(remote login a la
telnet);514(cmd)

进击门径:

独霸rlogin间接登录对方琐细;

RMI

RMI:咱们独霸这两个端口很少的原由是因为必需是java,而且rmi穿越防火墙并不好穿越;这里我不会去涉及别的的器材,这里提出RMI只是因为在前段工夫的java反序列化中,咱们的小搭档Bird写过一个网站logic操纵器材,外面涉及到了RMI的一些器材,在有的时辰独霸socket不克不及得胜时,咱们也许独霸RMI门径来进行操纵;

默认端口:1090()、1099()

进击门径:

远程号令实验(java反序列化,调用rmi门径实验号令)

这便是RMI的魅力了!

器材下载:请点我

Rsync服务

Rsync:类UNIX琐细下的数据备份器材(remote sync),属于增量备份;关于它的功能,本身自行百度百科吧,实在上面许多本身也看到了说是端口渗透,实在便是端口对应服务的渗透,服务个别堕落就在配置大概版本题目上,rsync也不破例。Rsync默认答应匿名会晤造访,假设在配置文件中不有干系的用户认证以及文件受权,就会触发隐患。

默认端口:873

进击门径:

未受权会晤造访;

外地提权:rsync默认以root运转,操纵rsync上传一个文件,只要这个文件存在s权限,咱们实验咱们的进击剧本就也许存在root权限。具体请参考 和 参考二

案例分享:

搜狐几处rsync未受权会晤造访

Socket署理

默认端口:1080

Socket署理针对署理来说不有甚么裂痕,个别只是在渗透过程中作为咱们的署理,进入内网,大概渗透域和林的时辰有扶直。这里不做适量描述,然而也许测验考试爆破一下署理的用户名和暗码,万一运气好能登录,不也~~~~

案例分享:

操纵php socket5署理渗透内网

0x02 总结两句

图解端口渗透

端口号 端口说明 进击本领
21/22/69 ftp/tftp:文件传输协议 爆破

嗅探

溢出;后门

22 ssh:远程连接 爆破

OpenSSH28个退格

23 telnet:远程连接 爆破

嗅探

25 smtp:邮件服务 邮件虚构
53 DNS:域名琐细 DNS区域传输

DNS挟制

DNS缓存投毒

DNS欺骗

深度操纵:操纵DNS单纯技能刺透防火墙

67/68 dhcp 挟制

欺骗

110 pop3 爆破
139 samba 爆破

未受权会晤造访

远程代码实验

143 imap 爆破
161 snmp 爆破
389 ldap 注入进击

未受权会晤造访

512/513/514 linux r 间接独霸rlogin
873 rsync 未受权会晤造访
1080 socket 爆破:进行内网渗透
1352 lotus 爆破:弱口令

消息走漏:源代码

1433 mssql 爆破:独霸琐细用户登录

注入进击

1521 oracle 爆破:TNS

注入进击

2049 nfs 配置不当
2181 zookeeper 未受权会晤造访
3306 mysql 爆破

拒绝服务

注入

3389 rdp 爆破

Shift后门

4848 glassfish 爆破:管束台弱口令

认证绕过

5000 sybase/DB2 爆破

注入

5432 postgresql 缓冲区溢出

注入进击

爆破:弱口令

5632 pcanywhere 拒绝服务

代码实验

5900 vnc 爆破:弱口令

认证绕过

6379 redis 未受权会晤造访

爆破:弱口令

7001 网站logic Java反序列化

管束台弱口令

管束台安放网站shell

80/443/8080 网站 思空见贯网站进击

管束台爆破

对应服务器版本裂痕

8069 zabbix 远程号令实验
9090 网站sphere管束台 爆破:管束台弱口令

Java反序列

9200/9300 elasticsearch 远程代码实验
11211 memcacache 未受权会晤造访
27017 mongodb 爆破

未受权会晤造访

【via@Hurricane Security】

数安新闻+更多

证书相关+更多