端口滲透總結

0x00 背景

在前段時間的滲透中,我發現通過端口來進行滲透有時會提升我們的效率,所以才有了這篇文章的誕生;

首先分享一份關于端口及他們對應的服務文件:https://yunpan.cn/cYyNXEpZNYvxQ ?訪問密碼 983e

這里再分享一篇我曾經在百度文庫提交的端口滲透文章:請點我

再次看這篇文章發現寫的很簡單,也只描述了幾個常見的端口滲透;而且一般我們都是可以修 改默認端口的,所以平時在滲透過程中,對端口信息的收集就是一個很重要的過程;然后對癥下藥就可以更快的滲透進入我們需要的服務器;接下來就詳細通過滲透 實戰對端口的滲透進行更加深入的剖析;

端口滲透過程中我們需要關注幾個問題:

1、? 端口的banner信息

2、? 端口上運行的服務

3、? 常見應用的默認端口

當然對于上面這些信息的獲取,我們有各式各樣的方法,最為常見的應該就是nmap了吧!我們也可以結合其他的端口掃描工具,比如專門的3389、1433等等的端口掃描工具;

服務默認端口

公認端口(Well Known Ports):0-1023,他們緊密綁定了一些服務;

注冊端口(Registered Ports):1024-49151,他們松散的綁定了一些服務;

動態/私有:49152-65535,不為服務分配這些端口;

當然這些端口都可以通過修改來達到欺騙攻擊者的目的,但是這就安全了嗎?攻擊者又可以使用什么攻擊方式來攻擊這些端口呢?

還需要注明的一點是:很多木馬工具也有特定的端口,本文并沒有涉及到這塊的內容,大家可以自己去收集收集!

關于爆破之我見

在對這些端口進行實戰講解時,我需要先闡述一下我對爆破這個方式的一些看法;

爆破:技術最簡單,需要的技術能力基本為0,工作效率與網絡、硬件等相關,在我看來爆破其實是最強大的攻擊方式,特別是結合一些特制的字典,結合社工我們可以在很短的時間達到最大的效果,只不過因為我們的pc或者字典不夠強大,所以很多時候我們不能進行一次優秀的爆破攻擊;當然現在很多web應用以及服務端口都限制了暴力破解;對于這種做了限制的我們可能就需要利用到本文提到的其他攻擊了!

分享一個團隊sai總結的字典:請點擊

聲明:本文總結的都是近兩年的常見漏洞,以前的老版漏洞以及危害性不大的漏洞沒有總結,望大家諒解!

0x01 實戰測試

文件共享服務端口滲透

ftp服務

FTP服務:ftp服務我分為兩種情況,第一種是使用系統軟件來配置,比如IIS中的FTP文件共享或Linux中的默認服務軟件;第二種是通過第三方軟件來配置,比如Serv-U還有一些網上寫的簡易ftp服務器等;

默認端口:20(數據端口);21(控制端口);69(tftp小型文件傳輸協議)

攻擊方式:

爆破:ftp的爆破工具有很多,這里我推薦owasp的Bruter 以及msf中ftp爆破模塊;

匿名訪問:用戶名:anonymous? 密碼:為空或任意郵箱

用戶名:FTP??????????? 密碼:FTP或為空

用戶名:USET???????? 密碼:pass

當然還有不需要用戶名密碼直接訪問的,一般出現在局域網中;

0

嗅探:ftp使用明文傳輸技術(但是嗅探給予局域網并需要欺騙或監聽網關)

01

后門技術:在linux的vsftp某一版本中,存在著一個后門程序,只要在用戶名后面加上 就會在6200上打開一個監聽Shell,我們可以使用telnet直接連接;詳細請點擊

遠程溢出漏洞:6.10.1 IIS FTP遠程溢出漏洞,在IIS FTP服務器中NLST命令存在一個緩沖區溢出漏洞,這個漏洞可能是攻擊者在服務器運行一條非法命令。

跳轉攻擊:(Bounce Attacks)攻擊者發送一個FTP”PORT”命令給目標FTP服務器,其中包含該主機的網絡地址和被攻擊的服務的端口號。這樣,客戶端就能命令FTP服務器發一個文件給被攻擊的服務。這個文件可能包括根被攻擊的服務有關的命令(如SMTP,NNTP等)。由于是命令第三方去連接到一種服務,而不是直接連接,就使得跟蹤攻擊者變得困難,并且還避開了基于網絡地址的訪問限制。(注:此種情況小白并沒有遇到過,只是總結一下,歡迎大牛指教)

案例分享:

山東電信Serv-U Web客戶端弱口令

長虹ftp弱口令導致全網數據泄漏

NFS服務

nfs:網絡文件系統,允許網絡中的計算機通過TCP/IP網絡共享資源。基于Linux系統,配置方面很簡單,詳細配置請參考案例分享。在nfs配置中,有不做任何限制的,有限制用戶,有限制IP,以及在版本2.x中我們還可以使用證書來驗證用戶。當然不同的限制可以采用的攻擊方式也不一樣;就目前而言網上關于nfs的攻擊還是比較少的!

默認端口:2049

攻擊方式:

未授權訪問:未限制IP以及用戶權限設置錯誤

案例分享:

Nfs配置不當導致被入侵

NFS服務全攻略

Samba服務

Samba服務:對于這個可以在windows與Linux之間進行共享文件的服務同樣是我們攻擊的關注點;samba登錄分為兩種方式,一種是需要用戶名口令;另一種是不需要用戶名口令。在很多時候不光是pc機,還有一些服務器,網絡設備都開放著此服務,方便進行文件共享,但是同時也給攻擊者提供了便利。

默認端口:137(主要用戶NetBIOS Name Service;NetBIOS名稱服務)、139(NetBIOS Session Service,主要提供samba服務)

攻擊方式:

爆破:弱口令(爆破工具采用hydra)hydra -l username -P
PassFile IP smb

未授權訪問:給予public用戶高權限

遠程代碼執行漏洞:CVE-2015-0240等等

案例分享:

Samba遠程代碼執行漏洞

未授權訪問文件系統漏洞

LDAP協議

ldap:輕量級目錄訪問協議,最近幾年隨著ldap的廣泛使用被發現的漏洞也越來越多。但是畢竟主流的攻擊方式仍舊是那些,比如注入,未授權等等;這些問題的出現也都是因為配置不當而造成的。

默認端口:389

攻擊方式:

注入攻擊:盲注

未授權訪問:

爆破:弱口令

案例分享:

LDAP注入與防御剖析

歐朋LDAP服務匿名訪問

使用LDAP查詢快速提升域權限

遠程連接服務端口滲透

SSH服務

SSH服務:這個服務基本會出現在我們的Linux服務器,網絡設備,安全設備等設備上,而且很多時候這個服務的配置都是默認的;對于SSH服務我們可能使用爆破攻擊方式較多。

默認端口:22

攻擊方式

爆破:弱口令、

漏洞:28退格漏洞、OpenSSL漏洞

案例分享:

安宇創新科技ssh弱口令

宜信貸某站存在OpenSSL漏洞

Telnet服務

Telnet服務:在SSH服務崛起的今天我們已經很難見到使用telnet的服務器,但是在很多設備上同樣還是有這個服務的;比如cisco、華三,深信服等廠商的設備;我就有很多次通過telnet弱口令控制這些設備;

默認端口:23

攻擊方式

爆破:弱口令

嗅探:此種情況一般發生在局域網;

案例分享:

大量惠普打印機遠程telnet可被查看和操作

Windows遠程連接

遠程桌面連接:作為windows上進行遠程連接的端口,很多時候我們在得到系統為windows的shell的時候我們總是希望可以登錄3389實際操作對方電腦;這個時候我們一般的情況分為兩種。一種是內網,需要先將目標機3389端口反彈到外網;另一種就是外網,我們可以直接訪問;當然這兩種情況我們利用起來可能需要很苛刻的條件,比如找到登錄密碼等等;

默認端口:3389

攻擊方式:

爆破:3389端口爆破工具就有點多了

Shift粘滯鍵后門:5次shift后門

3389漏洞攻擊:利用ms12-020攻擊3389端口,導致服務器關機;請參考

VNC服務

VNC:一款優秀的遠控工具,常用語類UNIX系統上,簡單功能強大;也

默認端口:5900+桌面ID(5901;5902)

攻擊方式:

爆破:弱口令

認證口令繞過:

拒絕服務攻擊:(CVE-2015-5239

權限提升:(CVE-2013-6886)

案例分享:

廣西電信客服服務器使用VNC存在弱口令可直接控制

Pcanywhere服務

PyAnywhere服務:一款遠控工具,有點類似vnc的功能;這個服務在以前很多黑客發的視頻里面都有,利用pcanywhere來進行提權;

默認端口:5632

攻擊方式:

提權控制服務:

拒絕服務攻擊:

代碼執行:請參考

案例分享:

黑龍江物價局多處安全漏洞可能導致服務器淪陷(pcAnywhere提權+密碼突破)

Web應用服務端口滲透

HTTP服務:對于http服務其實是我們目前這幾年比較常見的攻擊入口,所以這里會針對http服務進行一個詳細的詳解;

注:這個板塊的所有攻擊方式,如果涉及到常規的web漏洞不會提出來,除非是特定的服務器才會產生的漏洞;

IIS服務

默認端口:80/81/443

攻擊方式:

IIS
PUT寫文件:利用IIS漏洞,put方法直接將文件放置到服務器上

短文件名泄漏:這種一般沒啥影響

解析漏洞:詳細見apache服務

案例分享:

徐州市教育系統大量IIS PUT漏洞

用友軟件IIS寫權限(PUT)導致可獲取webshell控制服務器

國家電網某分站存在iis短文件名漏洞

Apache/Tomcat/Nginx/Axis2

默認端口:80/8080

攻擊方式:

爆破:弱口令(爆破manager后臺)

HTTP慢速攻擊:可以把服務器打死,對一些大型的網站有影響;

解析漏洞:請參考

案例分享:

安卓開發平臺存在上傳漏洞和Apache解析漏洞,成功獲取webshell

騰訊分站 Apache 漏洞

WebLogic

默認端口:7001

攻擊方式:

爆破:弱口令 4組:用戶名密碼均一致:system weblogic(密碼可能weblogic123) portaladmin guest

Congsole后臺部署webshell:

Java反序列化:

泄漏源代碼/列目錄:這個太老了,估計網上都沒有了吧!

SSRF窺探內網:央視網SSRF可窺探內網

案列分享:

福建省人力資源和社會保障廳下屬某WEBLOGIC弱口令

利用Weblogic進行入侵的一些總結

Jboss

默認端口8080;其他端口1098/1099/4444/4445/8080/8009/8083/8093

攻擊方式:

爆破:弱口令(爆破jboss系統后臺)

遠程代碼執行:由于配置不當造成

Java反序列化:

案例分享

中華人民共和國民政部JBoss配置不當

JBOSS安全問題總結

中國科學院某處jboss應用漏洞

Websphere

默認端口:908*;第一個應用就是9080,第二個就是9081;控制臺9090

攻擊方式:

爆破:弱口令(控制臺)

任意文件泄漏:(CVE-2014-0823)

Java反序列化

案例分享:

中國電信某通用型業務系統(Websphere)GetShell漏洞

大漢網絡有限公司遠程命令執行漏洞(WebSphere案例)

GlassFish

默認端口:http 8080;IIOP 3700;控制臺4848

攻擊方式:

爆破:弱口令(對于控制臺)

任意文件讀取:

認證繞過:

案例分享:

應用服務器glassfish存在通用任意文件讀取漏洞

Oracle GlassFish Server認證繞過

Jenkins

默認端口:8080、8089

攻擊方式:

爆破:弱口令(默認管理員)

未授權訪問:

反序列化:

案例分享:

酷6Jenkins系統未授權訪問可執行系統命令

Resin

默認端口:8080

攻擊方式:

目錄遍歷

遠程文件讀取

案例分享:

愛奇藝Resin配置漏洞

Resin漏洞利用案例之目錄遍歷/以金蝶某系統為例

Jetty

默認端口:8080

攻擊方式:

遠程共享緩沖區溢出

Lotus

影響的都是一些大型的企業,特別需要注意,經過以前的測試發現弱口令這個問題經常都存在,可能是很多管理員不知道如何去修改(不要打我)。

默認端口:1352

攻擊方式:

爆破:弱口令(admin password)控制臺

信息泄露

跨站腳本攻擊

案例分享:

Lotus Domino WebMail一處越權訪問

中電投集團某系統弱口令直達內網涉及/OA系統/內部郵箱/財務系統/人力資源系統

中國某大型金融機構地方業務弱口令導致數萬商戶信息泄露&訪問Lotus Domino后臺

數據庫服務端口滲透

針對所有的數據庫攻擊方式都存在SQL注入,這里先提出來在下面就不一一寫了免得大家說我占篇幅;當然不同的數據庫注入技巧可能不一樣,特別是NoSQL與傳統的SQL數據庫不太一樣。但是這不是本文需要介紹的重點,后面有時間會寫一篇不同數據庫的滲透技巧。

MySQL數據庫

默認端口:3306

攻擊方式:

爆破:弱口令

身份認證漏洞:CVE-2012-2122

拒絕服務攻擊:利用sql語句是服務器進行死循環打死服務器

Phpmyadmin萬能密碼繞過:用戶名:‘localhost’@’@”? 密碼任意

案例分享:

漏洞分享

和訊網某站點存在mysql注入漏洞

MySQL提權總結

MSSQL數據庫

默認端口:1433(Server 數據庫服務)、1434(Monitor 數據庫監控)

攻擊方式:

爆破:弱口令/使用系統用戶

案例分享:

MSSQL注射總結

上海安脈綜合管理系統mssql注射漏洞

解密MSSQL連接數據庫密碼

從攻擊MSSQL到提權: 使用msf針對mssql的一次完整滲透

Oracle數據庫

默認端口:1521(數據庫端口)、1158(Oracle EMCTL端口)、8080(Oracle XDB數據庫)、210(Oracle XDB FTP服務)

攻擊方式:

爆破:弱口令

注入攻擊;

漏洞攻擊;

案例分享:

Oracle盲注結合XXE漏洞遠程獲取數據

PostgreSQL數據庫

PostgreSQL是一種特性非常齊全的自由軟件的對象–關系型數據庫管理系統,可以說是目前世界上最先進,功能最強大的自由數據庫管理系統。包括我們kali系統中msf也使用這個數據庫;淺談postgresql數據庫攻擊技術? 大部分關于它的攻擊依舊是sql注入,所以注入才是數據庫不變的話題。

默認端口:5432

攻擊方式:

爆破:弱口令:postgres postgres

緩沖區溢出:CVE-2014-2669

案例分享:

Hacking postgresql

關于postgresql的那些事

MongoDB數據庫

MongoDB:NoSQL數據庫;攻擊方法與其他數據庫類似;關于它的安全講解:請參考

默認端口:27017

攻擊方式:

爆破:弱口令

未授權訪問;github有攻擊代碼;請點擊

案例分享:

MongoDB phpMoAdmin遠程代碼執行

搜狐MongoDB未授權訪問

新浪微米未授權訪問

解決MongoDB各種隱患問題

Redis數據庫

redis:是一個開源的使用c語言寫的,支持網絡、可基于內存亦可持久化的日志型、key-value數據庫。關于這個數據庫這兩年還是很火的,暴露出來的問題也很多。特別是前段時間暴露的未授權訪問。Exp:https://yunpan.cn/cYjzHxawFpyVt? 訪問密碼 e547

默認端口:6379

攻擊方式:

爆破:弱口令

未授權訪問+配合ssh key提權;

案例分享:

中國鐵建網redis+ssh-keygen免認證登錄

SysBase數據庫

默認端口:服務端口5000;監聽端口4100;備份端口:4200

攻擊方式:

爆破:弱口令

命令注入:

案例分享:

廣西自考信息系統Sybase數據庫注入

Sybase EAServer命令注入漏洞

DB2數據庫

默認端口:5000

攻擊方式:

安全限制繞過:成功后可執行未授權操作(CVE-2015-1922)

案例分享:

哈爾濱銀行主站DB2注入

總結一下:對于數據庫,我們得知端口很多時候可以幫助我們去滲透,比如得知mysql的 數據庫,我們就可以使用SQL注入進行mof、udf等方式提權;如果是mssql我們就可以使用xp_cmdshell來進行提權;如果是其它的數據 庫,我們也可以采用對應的方式;比如各大數據庫對應它們的默認口令,版本對應的漏洞!

順便提一下:很多時候銀行企業采用的都是oracle、db2等大型數據庫;

郵件服務端口滲透

SMTP協議

smtp:郵件協議,在linux中默認開啟這個服務,可以向對方發送釣魚郵件!

默認端口:25(smtp)、465(smtps)

攻擊方式:

爆破:弱口令

未授權訪問

案例分享:

騰訊郵箱smtp注冊時間限制繞過漏洞

郵件偽造詳解

qq郵箱偽造發件地址,容易被釣魚利用

眾多廠商郵件系統配置不當可偽造郵件人

POP3協議

默認端口:109(POP2)、110(POP3)、995(POP3S)

攻擊方式:

爆破;弱口令

未授權訪問;

案例分享:

中國聯通沃郵箱等部分Android客戶端免密碼登陸(可獲取任意聯通用戶pop3密碼)

中航信郵箱密碼泄漏及VPN賬號和大量郵箱弱口令導致可內網漫游拿到域控

IMAP協議

默認端口:143(imap)、993(imaps)

攻擊方式:

爆破:弱口令

配置不當

案例分享:

163郵箱二次驗證饒過缺陷

南方周末郵件服務器任意文件讀取漏洞

網絡常見協議端口滲透

DNS服務

默認端口:53

攻擊方式:

區域傳輸漏洞

見2中的總結

案例分享:

全球Top1000Websites中存在DNS區域傳送漏洞的網站列表

團購王某站DNS域傳送漏洞

DNS泛解析與內容投毒

DHCP服務

默認端口:67&68、546(DHCP Failover做雙機熱備的)

攻擊方式:

DHCP劫持;

見2中總結

案例分享:

流氓DHCP服務器內網攻擊測試

SNMP協議

默認端口:161

攻擊方式:

爆破:弱口令

案例分享:

snmp弱口令引起的信息泄漏

基于snmp的反射攻擊的理論及其實現

華為某服務器SNMP弱口令

其他端口滲透

Hadoop文件服務

默認端口:請參考

案例分享:

Apache Hadoop遠程命令執行

新浪漏洞系列第六彈–大量hadoop應用對外訪問

Zookeeper服務

zookeeper:分布式的,開放源碼的分布式應用程序協調服務;提供功能包括:配置維護、域名服務、分布式同步、組服務等。詳情請參考百度百科

默認端口:2181

攻擊方式:

未授權訪問;

案例分享:

zookeeper未授權訪問漏洞

網上關于這方面的案例暫時不多,但是對于大數據逐漸泛濫的今天,這些漏洞未來會在烏云上出現一大波!

Zabbix服務

zabbix:基于Web界面的提供分布式系統監視以及網絡監視功能的企業級的開源解決方案。監視各種網絡參數,保證服務器系統的安全運營。

默認端口:8069

攻擊方式:

遠程命令執行:

案例分享:

當滲透遇到zabbix–小談zabbix安全

Zabbix的前臺SQL注射漏洞利用

網易zabbix運維不當,導致任意命令執行。(可提權、可內網滲透)

elasticsearch服務

elasticsearch:請百度(因為我覺得我解釋不清楚)

默認端口:9200()、9300()

攻擊方式:

未授權訪問;

遠程命令執行;

文件遍歷;

低版本webshell植入;

案例分享:

ElasticSearch 遠程代碼執行漏洞

elasticsearch 漏洞利用工具

memcache服務

默認端口:11211

案例分享:

Memcache安全配置

memcache 未授權訪問漏洞

Linux R服務

R服務:TCP端口512,513和514為著名的rlogin提供服務。在系統中被錯誤配置從而允許遠程訪問者從任何地方訪問(標準的,rhosts + +)。

默認端口:512(remote process execution);513(remote login a la
telnet);514(cmd)

攻擊方式:

使用rlogin直接登錄對方系統;

RMI

RMI:我們使用這兩個端口很少的原因是因為必須是java,而且rmi穿越防火墻并不好穿越;這里我不會去涉及其他的東西,這里提出RMI只是因為在前段時間的java反序列化中,我們的小伙伴Bird寫過一個weblogic利用工具,里面涉及到了RMI的一些東西,在有的時候使用socket不能成功時,我們可以使用RMI方式來進行利用;

默認端口:1090()、1099()

攻擊方式:

遠程命令執行(java反序列化,調用rmi方式執行命令)

這就是RMI的魅力了!

工具下載:請點我

Rsync服務

Rsync:類UNIX系統下的數據備份工具(remote sync),屬于增量備份;關于它的功能,大家自行百度百科吧,其實上面很多大家也看到了說是端口滲透,其實就是端口對應服務的滲透,服務一般出錯就在配置或者版本問題上,rsync也不例外。Rsync默認允許匿名訪問,如果在配置文件中沒有相關的用戶認證以及文件授權,就會觸發隱患。

默認端口:873

攻擊方式:

未授權訪問;

本地提權:rsync默認以root運行,利用rsync上傳一個文件,只要這個文件具有s權限,我們執行我們的攻擊腳本就可以具有root權限。詳細請參考參考二

案例分享:

搜狐幾處rsync未授權訪問

Socket代理

默認端口:1080

Socket代理針對代理來說沒有什么漏洞,一般只是在滲透過程中作為我們的代理,進入內網,或者滲透域和林的時候有幫助。這里不做過多描述,但是可以嘗試爆破一下代理的用戶名和密碼,萬一運氣好能登錄,不也~~~~

案例分享:

利用php socket5代理滲透內網

0x02 總結兩句

圖解端口滲透

端口號 端口說明 攻擊技巧
21/22/69 ftp/tftp:文件傳輸協議 爆破

嗅探

溢出;后門

22 ssh:遠程連接 爆破

OpenSSH28個退格

23 telnet:遠程連接 爆破

嗅探

25 smtp:郵件服務 郵件偽造
53 DNS:域名系統 DNS區域傳輸

DNS劫持

DNS緩存投毒

DNS欺騙

深度利用:利用DNS隧道技術刺透防火墻

67/68 dhcp 劫持

欺騙

110 pop3 爆破
139 samba 爆破

未授權訪問

遠程代碼執行

143 imap 爆破
161 snmp 爆破
389 ldap 注入攻擊

未授權訪問

512/513/514 linux r 直接使用rlogin
873 rsync 未授權訪問
1080 socket 爆破:進行內網滲透
1352 lotus 爆破:弱口令

信息泄漏:源代碼

1433 mssql 爆破:使用系統用戶登錄

注入攻擊

1521 oracle 爆破:TNS

注入攻擊

2049 nfs 配置不當
2181 zookeeper 未授權訪問
3306 mysql 爆破

拒絕服務

注入

3389 rdp 爆破

Shift后門

4848 glassfish 爆破:控制臺弱口令

認證繞過

5000 sybase/DB2 爆破

注入

5432 postgresql 緩沖區溢出

注入攻擊

爆破:弱口令

5632 pcanywhere 拒絕服務

代碼執行

5900 vnc 爆破:弱口令

認證繞過

6379 redis 未授權訪問

爆破:弱口令

7001 weblogic Java反序列化

控制臺弱口令

控制臺部署webshell

80/443/8080 web 常見web攻擊

控制臺爆破

對應服務器版本漏洞

8069 zabbix 遠程命令執行
9090 websphere控制臺 爆破:控制臺弱口令

Java反序列

9200/9300 elasticsearch 遠程代碼執行
11211 memcacache 未授權訪問
27017 mongodb 爆破

未授權訪問

【via@Hurricane Security