'常用端口利用总结'
常用端口利用总结
21端口渗透剖析
1、基础爆破:owasp的Bruter,hydra以及msf中的ftp爆破模块
2、ftp匿名访问:用户名:anonymous 密码:为空或者任意邮箱
3、后门vsftpd :version 2到2.3.4存在后门漏洞,攻击者可以通过该漏洞获取root权限。
https://www.freebuf.com/column/143480.html
4、嗅探:ftp使用明文传输技术(但是嗅探给予局域网并需要欺骗或监听网关),使用Cain进行渗透。
5、ftp远程代码溢出。
https://blog.csdn.net/weixin_42214273/article/details/82892282
6、ftp跳转攻击。
https://blog.csdn.net/mgxcool/article/details/48249473
22端口渗透剖析
1、弱口令,可使用工具hydra,Medusa,msf中的ssh爆破模块。
2、防火墙SSH后门。
https://www.secpulse.com/archives/69093.html
https://cloud.tencent.com/developer/article/1078187
3、28退格漏洞、openssl漏洞
4、openssh 用户枚举 CVE-2018-15473。
https://www.anquanke.com/post/id/157607
23端口渗透剖析
telnet是一种旧的远程管理方式,使用telnet工具登录系统过程中,网络上传输的用户和密码都是以明文方式传送的,黑客可使用嗅探技术截获到此类密码。
1、暴力破解技术是常用的技术,使用hydra,或者msf中telnet模块对其进行破解。
2、在linux系统中一般采用SSH进行远程访问,传输的敏感数据都是经过加密的。
而对于windows下的telnet来说是脆弱的,因为默认没有经过任何加密就在网络中进行传输。
使用cain等嗅探工具可轻松截获远程登录密码。
25/465端口渗透剖析
smtp:邮件协议,在linux中默认开启这个服务,可以向对方发送钓鱼邮件
默认端口:25(smtp)、465(smtps)
1、爆破:弱口令
2、未授权访问
3、邮件伪造
https://mp.weixin.qq.com/s/dqntjRLgcOD3D2bi1oDFAw
53端口渗透剖析
53端口是DNS域名服务器的通信端口,通常用于域名解析。也是网络中非常关键的服务器之一。这类服务器容易受到攻击。对于此端口的渗透,一般有三种方式。
1、使用DNS远程溢出漏洞直接对其主机进行溢出攻击,成功后可直接获得系统权限。
https://www.seebug.org/vuldb/ssvid-96718
2、使用DNS欺骗攻击,可对DNS域名服务器进行欺骗,如果黑客再配合网页木马进行挂马攻击,无疑是一种杀伤力很强的攻击,黑客可不费吹灰之力就控制内网的大部分主机。这也是内网渗透惯用的技法之一。
https://www.freebuf.com/articles/system/5265.html
3、拒绝服务攻击,利用拒绝服务攻击可快速的导致目标服务器运行缓慢,甚至网络瘫痪。如果使用拒绝服务攻击其DNS服务器。将导致用该服务器进行域名解析的用户无法正常上网。
http://www.edu.cn/xxh/fei/zxz/201503/t20150305_1235269.shtml
4、DNS劫持。
https://blog.csdn.net/qq_32447301/article/details/77542474
5、域传送
https://www.jianshu.com/p/d2af08e6f8fb
67/68端口渗透剖析
云环境(VMware、OpenStack、Docker)
1、VMware
利用一个堆溢出漏洞实现 VMware 虚拟机逃逸
CVE-2017-5638
https://paper.seebug.org/348/
GitHub现VMware虚拟机逃逸EXP,利用三月曝光的CVE-2017-4901漏洞
https://www.freebuf.com/articles/system/141179.html
ESXi反弹Shell
http://www.52bug.cn/hkjs/4375.html
2、OpenStack
权限绕过漏洞
信息泄露
代码执行漏洞
https://www.freebuf.com/news/topnews/107203.html
https://docs.openstack.org/liberty/zh_CN/install-guide-obs/environment-security.html
3、docker安全
https://blog.waterstrong.me/docker-security/
http://dockone.io/article/150
http://www.yunweipai.com/archives/21610.html
https://toutiao.io/posts/2y9xx8/preview
https://docs.docker.com/engine/security/non-events/
80端口渗透剖析
80端口通常提供web服务。感觉没啥好说的,就是综合渗透了。
https://paper.seebug.org/126/
1、web框架类
(1)st2
https://github.com/hktalent/myhktools
https://github.com/Lucifer1993/struts-scan
https://github.com/SecureSkyTechnology/study-struts2-s2-054_055-jackson-cve-2017-7525_cve-2017-15095
(2)Spring
各类CVE、反序列化、目录穿越
https://www.inbreak.net/archives/377
https://www.secpulse.com/archives/71762.html
https://www.open-open.com/news/view/1225d07
https://xz.aliyun.com/t/2261
https://xz.aliyun.com/t/2252
2、web服务器
(1)IIS
IIS,开启了 WebDAV,可以直接详服务器 PUT 文件
短文件名枚举漏洞
远程代码执行
提权漏洞
解析漏洞
https://masterxsec.github.io/2017/06/07/IIS-write-漏洞利用/
https://www.freebuf.com/articles/4908.html
https://www.anquanke.com/post/id/85811
(2)Apache
解析漏洞
目录遍历
(3)Nginx
解析漏洞
目录遍历
CVE-2016-1247:需要获取主机操作权限,攻击者可通过软链接任意文件来替换日志文件,从而实现提权以获取服务器的root权限。
https://www.seebug.org/vuldb/ssvid-92538
(4)lighttpd
目录遍历
3、常见运维系统
(1)gitlab
任意文件读取漏洞
意用户 token 泄露漏洞
命令执行漏洞
(2)Jenkins
远程代码执行漏洞
反序列化漏洞
未授权访问漏洞
登录入口爆破
https://www.cnblogs.com/backlion/p/6813260.html
https://www.anquanke.com/post/id/86018
https://paper.seebug.org/199/
(3)Puppet
很少公开的POC
反序列化
远程命令执行
(4)Ansible
远程代码执行
(5)Nagios
代码执行
SQLi
https://www.bugku.com/thread-87-1-1.html
(6)Zabbix
远程代码执行
SQLi
shell 命令注入
认证绕过
默认账户与密码,默认口令 admin/zabbix,或者是guest/空
https://blog.csdn.net/ytuo1223/article/details/45937981
(7)Cacit
任意代码执行
SQLi
登录爆破
默认密码admin/admin
(8)Splunk
信息泄露
命令注入
服务端请求伪造
135端口渗透剖析
135端口主要用于使用RPC协议并提供DCOM服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。同时这个端口也爆出过不少漏洞,最严重的就是缓冲区溢出漏洞,曾经疯狂一时的‘冲击波’病毒就是利用这个漏洞进行传播的。对于135端口的渗透,黑客的渗透方法为:
1、查找存在RPC溢出的主机,进行远程溢出攻击,直接获得系统权限。如用‘DSScan’扫描存在此漏洞的主机。对存在漏洞的主机可使用‘ms05011.exe’进行溢出,溢出成功后获得系统权限。
https://wenku.baidu.com/view/68b3340c79563c1ec5da710a.html
2、扫描存在弱口令的135主机,利用RPC远程过程调用开启telnet服务并登录telnet执行系统命令。系统弱口令的扫描一般使用hydra。对于telnet服务的开启可使用工具kali链接。
https://wenku.baidu.com/view/c8b96ae2700abb68a982fbdf.html
139/445端口渗透剖析
139端口是为‘NetBIOS SessionService’提供的,主要用于提供windows文件和打印机共享以及UNIX中的Samba服务。
445端口也用于提供windows文件和打印机共享,在内网环境中使用的很广泛。这两个端口同样属于重点攻击对象,139/445端口曾出现过许多严重级别的漏洞。下面剖析渗透此类端口的基本思路。
1、对于开放139/445端口的主机,一般尝试利用溢出漏洞对远程主机进行溢出攻击,成功后直接获得系统权限。利用msf的ms-017永恒之蓝。
https://blog.csdn.net/qq_41880069/article/details/82908131
https://sunian.top/2019/09/11/MS17-010/
2、对于攻击只开放445端口的主机,黑客一般使用工具‘MS06040’或‘MS08067’.可使用专用的445端口扫描器进行扫描。NS08067溢出工具对windows2003系统的溢出十分有效,工具基本使用参数在cmd下会有提示。
https://blog.csdn.net/god_7z1/article/details/6773652
3、对于开放139/445端口的主机,黑客一般使用IPC$进行渗透。在没有使用特点的账户和密码进行空连接时,权限是最小的。获得系统特定账户和密码成为提升权限的关键了,比如获得administrator账户的口令。
https://www.cnblogs.com/backlion/p/7401609.html
4、对于开放139/445端口的主机,可利用共享获取敏感信息,这也是内网渗透中收集信息的基本途径。
5、远程代码执行漏洞(CVE-2017-7494)
http://www.91ri.org/17114.html
1433端口渗透剖析
1433是SQLServer默认的端口,SQL Server服务使用两个端口:tcp-1433、UDP-1434.其中1433用于供SQLServer对外提供服务,
1434用于向请求者返回SQLServer使用了哪些TCP/IP端口。1433端口通常遭到黑客的攻击,而且攻击的方式层出不穷。
最严重的莫过于远程溢出漏洞了,如由于SQL注入攻击的兴起,各类数据库时刻面临着安全威胁。利用SQL注入技术对数据库进行渗透是目前比较流行的攻击方式,此类技术属于脚本渗透技术。
1、对于开放1433端口的SQL Server2000的数据库服务器,黑客尝试使用远程溢出漏洞对主机进行溢出测试,成功后直接获得系统权限。
https://blog.csdn.net/gxj022/article/details/4593015
2、暴力破解技术是一项经典的技术。一般破解的对象都是SA用户。通过字典破解的方式很快破解出SA的密码。
https://blog.csdn.net/kali_linux/article/details/50499576
3、嗅探技术同样能嗅探到SQL Server的登录密码。
4、由于脚本程序编写的不严密,例如,程序员对参数过滤不严等,这都会造成严重的注入漏洞。通过SQL注入可间接性的对数据库服务器进行渗透,通过调用一些存储过程执行系统命令。可以使用SQL综合利用工具完成。
https://www.anquanke.com/post/id/86011
1521端口渗透剖析
默认端口:1521(数据库端口)、1158(Oracle EMCTL端口)、8080(Oracle XDB数据库)、210(Oracle XDB FTP服务)
爆破:弱口令
注入攻击
漏洞攻击
https://www.leiphone.com/news/201711/JjzXFp46zEPMvJod.html
以上的端口渗透原理只是用作分析,现在网上有很多自动的端口入侵工具,比如445批量抓鸡器或者1433批量抓鸡器。大家有兴趣的可以去网上下载试用。
2049端口渗透剖析
NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。
在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。如今NFS具备了防止被利用导出文件夹的功能,但遗留系统中的NFS服务配置不当,则仍可能遭到恶意攻击者的利用。
1、未授权访问
https://www.freebuf.com/articles/network/159468.html
http://www.secist.com/archives/6192.html
http://www.vuln.cn/6368
3306端口渗透剖析
爆破:弱口令
身份认证漏洞:CVE-2012-2122
拒绝服务攻击
Phpmyadmin万能密码绕过:用户名:‘localhost’@’@” 密码任意
提权,UDF提权原理:UDF相当于mysql的函数库,可以利用它创建一个新的函数
https://xz.aliyun.com/t/1491
https://www.seebug.org/appdir/MySQL
3389端口渗透剖析
3389是windows远程桌面服务默认监听的端口,管理员通过远程桌面对服务器进行维护,这给管理工作带来的极大的方便。
当然这也是系统合法的服务,通常是不会被杀毒软件所查杀的。使用‘输入法漏洞’进行渗透。
1、对于windows2000的旧系统版本,使用‘输入法漏洞’进行渗透
2、cain是一款超级的渗透工具,同样支持对3389端口的嗅探。
3、Shift粘滞键后门:5次shift后门
https://xz.aliyun.com/t/6461
4、社会工程学通常是最可怕的攻击技术,如果管理者的一切习惯和规律被黑客摸透的话,那么他管理的网络系统会因为他的弱点被渗透。
5、爆破3389端口。这里还是推荐使用hydra爆破工具。
6、ms12_020死亡蓝屏攻击。
https://www.cnblogs.com/R-Hacker/p/9178066.html
7、https://www.cnblogs.com/backlion/p/9429738.html
4899端口渗透剖析
4899端口是remoteadministrator远程控制软件默认监听的端口,也就是平时常说的radmini影子。radmini目前支持TCP/IP协议,应用十分广泛,在很多服务器上都会看到该款软件的影子。对于此软件的渗透,思路如下:
1、radmini同样存在不少弱口令的主机,通过专用扫描器可探测到此类存在漏洞的主机。
2、radmini远控的连接密码和端口都是写入到注册表系统中的,通过使用webshell注册表读取功能可读取radmini在注册表的各项键值内容,从而破解加密的密码散列。
5000端口渗透剖析
1、SysBase数据库
默认端口:服务端口5000;监听端口4100;备份端口:4200
爆破:弱口令
命令注入
2、DB2 数据库
默认端口:5000
攻击方法:
安全限制绕过:成功后可执行未授权操作(CVE-2015-1922)
http://23.94.222.93/bug_detail.php?wybug_id=wooyun-2015-0113071
5432端口渗透剖析
PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统,可以说是目前世界上最先进,功能最强大的自由数据库管理系统。
包括kali系统中msf也使用这个数据库;浅谈postgresql数据库攻击技术 大部分关于它的攻击依旧是sql注入,所以注入才是数据库不变的话题。
1、爆破:弱口令:postgres postgres
2、缓冲区溢出:CVE-2014-2669。
http://drops.xmd5.com/static/drops/tips-6449.html
3、远程代码执行:CVE-2018-1058。
https://www.secpulse.com/archives/69153.html
4、 PostgreSQL(从版本9.3至11.2)任意命令执行漏洞(CVE-2019-9193)
https://nosec.org/home/detail/2368.html
5631端口渗透剖析
5631端口是著名远程控制软件pcanywhere的默认监听端口,同时也是世界领先的远程控制软件。利用此软件,用户可以有效管理计算机并快速解决技术支持问题。
由于软件的设计缺陷,使得黑客可随意下载保存连接密码的*.cif文件,通过专用破解软件进行破解。这些操作都必须在拥有一定权限下才可完成,
至少通过脚本渗透获得一个webshell。通常这些操作在黑客界被称为pcanywhere提权技术。
1、PcAnyWhere提权。
https://blog.csdn.net/Fly_hps/article/details/80377199
5900端口渗透剖析
5900端口是优秀远程控制软件VNC的默认监听端口,此软件由著名的AT&T的欧洲研究实验室开发的。
VNC是在基于unix和linux操作系统的免费的开放源码软件,远程控制能力强大,高效实用,其性能可以和windows和MAC中的任何一款控制软件媲美。对于该端口的渗透,思路如下:
默认端口:5900+桌面ID(5901;5902)
1、VNC软件存在密码验证绕过漏洞,此高危漏洞可以使得恶意攻击者不需要密码就可以登录到一个远程系统。
2、cain同样支持对VNC的嗅探,同时支持端口修改。
3、VNC的配置信息同样被写入注册表系统中,其中包括连接的密码和端口。利用webshell的注册表读取功能进行读取加密算法,然后破解。
4、VNC拒绝服务攻击(CVE-2015-5239)。
https://blogs.360.cn/post/vnc拒绝服务漏洞cve-2015-5239分析.html
5、VNC权限提升(CVE-2013-6886)。
6379端口渗透剖析
Redis是一个开源的使用c语言写的,支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年还是很火的,暴露出来的问题也很多。特别是前段时间暴露的未授权访问。
1、爆破:弱口令
2、未授权访问+配合ssh key提权。
http://www.alloyteam.com/2017/07/12910/
https://www.freebuf.com/column/158065.html
3、Redis 基于主从复制的 RCE 利用方式
https://www.anquanke.com/post/id/181734
7001/7002端口渗透剖析
7001/7002通常是weblogic中间件端口
1、弱口令、爆破,弱密码一般为weblogic/Oracle@123 or weblogic
2、管理后台部署 war 后门
3、SSRF
https://github.com/vulhub/vulhub/tree/master/weblogic/ssrf
4、反序列化漏洞
5、weblogic_uac
https://bbs.pediy.com/thread-224954.html
https://fuping.site/2017/06/05/Weblogic-Vulnerability-Verification/
https://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html
8080端口渗透剖析
8080端口通常是apache_Tomcat服务器默认监听端口,apache是世界使用排名第一的web服务器。国内很多大型系统都是使用apache服务器,对于这种大型服务器的渗透,主要有以下方法:
1、Tomcat远程代码执行漏洞
https://www.freebuf.com/column/159200.html
2、Tomcat任意文件上传。
https://blog.csdn.net/qq1124794084/article/details/78044756
3、Tomcat远程代码执行&信息泄露。
https://paper.seebug.org/399/
4、Jboss远程代码执行。
https://www.cnblogs.com/safe3/archive/2010/01/08/1642371.html
5、Jboss反序列化漏洞。
https://www.zybuluo.com/websec007/note/838374
6、Jboss漏洞利用。
https://blog.csdn.net/u011215939/article/details/79141624
http://www.vuln.cn/6300
9090/9080/9081端口渗透剖析
WebSphere:IBM公司一套典型的电子商务应用开发工具及运行环境。
1、控制台登录爆破
2、反序列化
3、任意文件读取
https://gist.github.com/metall0id/bb3e9bab2b7caee90cb7
9200/9300端口渗透剖析
1、Elasticsearch
未授权访问
远程命令执行
文件遍历
低版本webshell植入
(1)elasticsearch 漏洞利用工具套装
https://www.freebuf.com/sectool/38025.html
(2)ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)
https://www.secpulse.com/archives/5401.html
2、Hadoop是一个开源的框架,可编写和运行分布式应用处理大规模数据,是专为离线和大规模数据分析而设计的,并不适合那种对几个记录随机读写的在线事务处理模式。Hadoop=HDFS(文件系统,数据存储技术相关)+ Mapreduce(数据处理),Hadoop的数据来源可以是任何形式,在处理半结构化和非结构化数据上与关系型数据库相比有更好的性能,具有更灵活的处理能力,不管任何数据形式最终会转化为key/value,key/value是基本数据单元。用函数式变成Mapreduce代替SQL,SQL是查询语句,而Mapreduce则是使用脚本和代码,而对于适用于关系型数据库,习惯SQL的Hadoop有开源工具hive代替。 Hadoop就是一个分布式计算的解决方案。
https://docs.cloudera.com/documentation/cdh/5-0-x/CDH5-Security-Guide/cdh5sg_hadoop_security_intro.html
https://www.anquanke.com/post/id/85343
3、Hive是Hadoop家族中一款数据仓库产品,Hive最大的特点就是提供了类SQL的语法,封装了底层的MapReduce过程,让有SQL基础的业务人员,也可以直接利用Hadoop进行大数据的操作。
https://www.cnblogs.com/yejibigdata/p/6394719.html
https://cwiki.apache.org/confluence/display/Hive/Security
4、Apache Sqoop(SQL-to-Hadoop) 项目旨在协助 RDBMS 与 Hadoop 之间进行高效的大数据交流。用户可以在 Sqoop 的帮助下,轻松地把关系型数据库的数据导入到 Hadoop 与其相关的系统 (如HBase和Hive)中;同时也可以把数据从 Hadoop 系统里抽取并导出到关系型数据库里。除了这些主要的功能外,Sqoop 也提供了一些诸如查看数据库表等实用的小工具。
https://sqoop.apache.org/docs/1.99.7/security.html
5、HBase建立在HDFS之上,提供高可靠性、高性能、列存储、可伸缩、实时读写的数据库系统。它介于NoSQL和RDBMS之间,仅能通过行键(row key)和行键序列来检索数据,仅支持单行事务(可通过Hive支持来实现多表联合等复杂操作)。主要用来存储非结构化和半结构化的松散数据。与Hadoop一样,HBase目标主要依靠横向扩展,通过不断增加廉价的商用服务器,来增加计算和存储能力。
https://docs.cloudera.com/documentation/enterprise/5-6-x/topics/admin_hbase_security.html
https://docs.cloudera.com/documentation/cdh/5-1-x/CDH5-Security-Guide/cdh5sg_hbase_security.html
6、Spark是UC Berkeley AMP lab所开源的类Hadoop MapReduce的通用的并行计算框架,Spark基于map reduce算法实现的分布式计算,拥有Hadoop MapReduce所具有的优点;但不同于MapReduce的是Job中间输出和结果可以保存在内存中,从而不再需要读写HDFS。
https://www.cnblogs.com/KevinGeorge/p/10399844.html
27017端口渗透剖析
MongoDB,NoSQL数据库;攻击方法与其他数据库类似
1、爆破:弱口令
2、未授权访问
3、github的攻击代码
https://github.com/yangbh/Hammer/blob/master/plugins/System/mongodb_unauth_access.py
https://www.cnblogs.com/LittleHann/p/6252421.html
http://www.tiejiang.org/19157.html
https://paper.seebug.org/409/