安全資訊

21端口滲透剖析

FTP通常用作對遠程服務(wù)器進(jìn)行管理，典型應用就是對web系統進(jìn)行管理。一旦FTP密碼泄露就直接威脅web系統安全，甚至黑客通過(guò)提權可以直接控制服務(wù)器。這里剖析滲透FTP服務(wù)器的幾種方法。

（1）基礎爆破：ftp爆破工具很多，這里我推owasp的Bruter,hydra以及msf中的ftp爆破模塊。 

（2) ftp匿名訪(fǎng)問(wèn)：用戶(hù)名：anonymous 密碼：為空或者任意郵箱 

（3）后門(mén)vsftpd ：version 2到2.3.4存在后門(mén)漏洞，攻擊者可以通過(guò)該漏洞獲取root權限。

（4）嗅探：ftp使用明文傳輸技術(shù)（但是嗅探給予局域網(wǎng)并需要欺騙或監聽(tīng)網(wǎng)關(guān)）,使用Cain進(jìn)行滲透。 

（5）ftp遠程代碼溢出。

（6）ftp跳轉攻擊。

22端口滲透剖析

SSH 是協(xié)議，通常使用 OpenSSH 軟件實(shí)現協(xié)議應用。SSH 為 Secure Shell 的縮寫(xiě)，由 IETF 的網(wǎng)絡(luò )工作小組（Network Working Group）所制定；SSH 為建立在應用層和傳輸層基礎上的安全協(xié)議。SSH 是目前較可靠，專(zhuān)為遠程登錄會(huì )話(huà)和其它網(wǎng)絡(luò )服務(wù)提供安全性的協(xié)議。利用 SSH 協(xié)議可以有效防止遠程管理過(guò)程中的信息泄露問(wèn)題。

（1）弱口令，可使用工具hydra，msf中的ssh爆破模塊。 

（2）防火墻SSH后門(mén)。

（3）28退格 OpenSSL 

（4）openssh 用戶(hù)枚舉 CVE-2018-15473。

23端口滲透剖析

telnet是一種舊的遠程管理方式，使用telnet工具登錄系統過(guò)程中，網(wǎng)絡(luò )上傳輸的用戶(hù)和密碼都是以明文方式傳送的，黑客可使用嗅探技術(shù)截獲到此類(lèi)密碼。

（1）暴力破解技術(shù)是常用的技術(shù)，使用hydra,或者msf中telnet模塊對其進(jìn)行破解。 

（2）在linux系統中一般采用SSH進(jìn)行遠程訪(fǎng)問(wèn)，傳輸的敏感數據都是經(jīng)過(guò)加密的。而對于windows下的telnet來(lái)說(shuō)是脆弱的，因為默認沒(méi)有經(jīng)過(guò)任何加密就在網(wǎng)絡(luò )中進(jìn)行傳輸。使用cain等嗅探工具可輕松截獲遠程登錄密碼。

25/465端口滲透剖析

smtp：郵件協(xié)議，在linux中默認開(kāi)啟這個(gè)服務(wù)，可以向對方發(fā)送釣魚(yú)郵件

默認端口：25（smtp）、465（smtps） 

（1）爆破：弱口令 （2）未授權訪(fǎng)問(wèn)

53端口滲透剖析

53端口是DNS域名服務(wù)器的通信端口，通常用于域名解析。也是網(wǎng)絡(luò )中非常關(guān)鍵的服務(wù)器之一。這類(lèi)服務(wù)器容易受到攻擊。對于此端口的滲透，一般有三種方式。

（1）使用DNS遠程溢出漏洞直接對其主機進(jìn)行溢出攻擊，成功后可直接獲得系統權限。

（2）使用DNS欺騙攻擊，可對DNS域名服務(wù)器進(jìn)行欺騙，如果黑客再配合網(wǎng)頁(yè)木馬進(jìn)行掛馬攻擊，無(wú)疑是一種殺傷力很強的攻擊，黑客可不費吹灰之力就控制內網(wǎng)的大部分主機。這也是內網(wǎng)滲透慣用的技法之一。

（3）拒絕服務(wù)攻擊，利用拒絕服務(wù)攻擊可快速的導致目標服務(wù)器運行緩慢，甚至網(wǎng)絡(luò )癱瘓。如果使用拒絕服務(wù)攻擊其DNS服務(wù)器。將導致用該服務(wù)器進(jìn)行域名解析的用戶(hù)無(wú)法正常上網(wǎng)。

（4）DNS劫持。

80端口滲透剖析80端口通常提供web服務(wù)。目前黑客對80端口的攻擊典型是采用SQL注入的攻擊方法，腳本滲透技術(shù)也是一項綜合性極高的web滲透技術(shù)，同時(shí)腳本滲透技術(shù)對80端口也構成嚴重的威脅。

（1）對于windows2000的IIS5.0版本，黑客使用遠程溢出直接對遠程主機進(jìn)行溢出攻擊，成功后直接獲得系統權限。 

（2）對于windows2000中IIS5.0版本，黑客也嘗試利用‘Microsoft IISCGI’文件名錯誤解碼漏洞攻擊。使用X-SCAN可直接探測到IIS漏洞。 

（3）IIS寫(xiě)權限漏洞是由于IIS配置不當造成的安全問(wèn)題，攻擊者可向存在此類(lèi)漏洞的服務(wù)器上傳惡意代碼，比如上傳腳本木馬擴大控制權限。 

（4）普通的http封包是沒(méi)有經(jīng)過(guò)加密就在網(wǎng)絡(luò )中傳輸的，這樣就可通過(guò)嗅探類(lèi)工具截取到敏感的數據。如使用Cain工具完成此類(lèi)滲透。 

（5）80端口的攻擊，更多的是采用腳本滲透技術(shù)，利用web應用程序的漏洞進(jìn)行滲透是目前很流行的攻擊方式。 

（6）對于滲透只開(kāi)放80端口的服務(wù)器來(lái)說(shuō)，難度很大。利用端口復用工具可解決此類(lèi)技術(shù)難題。 

（7）CC攻擊效果不及DDOS效果明顯，但是對于攻擊一些小型web站點(diǎn)還是比較有用的。CC攻擊可使目標站點(diǎn)運行緩慢，頁(yè)面無(wú)法打開(kāi)，有時(shí)還會(huì )爆出web程序的絕對路徑。

135端口滲透剖析

135端口主要用于使用RPC協(xié)議并提供DCOM服務(wù)，通過(guò)RPC可以保證在一臺計算機上運行的程序可以順利地執行遠程計算機上的代碼；使用DCOM可以通過(guò)網(wǎng)絡(luò )直接進(jìn)行通信，能夠跨包括HTTP協(xié)議在內的多種網(wǎng)絡(luò )傳輸。同時(shí)這個(gè)端口也爆出過(guò)不少漏洞，最嚴重的就是緩沖區溢出漏洞，曾經(jīng)瘋狂一時(shí)的“沖擊波”病毒就是利用這個(gè)漏洞進(jìn)行傳播的。對于135端口的滲透，黑客的滲透方法為:

（1）查找存在RPC溢出的主機，進(jìn)行遠程溢出攻擊，直接獲得系統權限。如用‘DSScan’掃描存在此漏洞的主機。對存在漏洞的主機可使用‘ms05011.exe’進(jìn)行溢出，溢出成功后獲得系統權限。
（2）掃描存在弱口令的135主機，利用RPC遠程過(guò)程調用開(kāi)啟telnet服務(wù)并登錄telnet執行系統命令。系統弱口令的掃描一般使用hydra。對于telnet服務(wù)的開(kāi)啟可使用工具kali鏈接。

139/445端口滲透剖析
139端口是為‘NetBIOS SessionService’提供的，主要用于提供windows文件和打印機共享以及UNIX中的Samba服務(wù)。445端口也用于提供windows文件和打印機共享，在內網(wǎng)環(huán)境中使用的很廣泛。這兩個(gè)端口同樣屬于重點(diǎn)攻擊對象，139/445端口曾出現過(guò)許多嚴重級別的漏洞。下面剖析滲透此類(lèi)端口的基本思路。

（1）對于開(kāi)放139/445端口的主機，一般嘗試利用溢出漏洞對遠程主機進(jìn)行溢出攻擊，成功后直接獲得系統權限。利用msf的ms-017永恒之藍。
（2）對于攻擊只開(kāi)放445端口的主機，黑客一般使用工具‘MS06040’或‘MS08067’.可使用專(zhuān)用的445端口掃描器進(jìn)行掃描。NS08067溢出工具對windows2003系統的溢出十分有效，工具基本使用參數在cmd下會(huì )有提示。
（3）對于開(kāi)放139/445端口的主機，黑客一般使用IPC$進(jìn)行滲透。在沒(méi)有使用特點(diǎn)的賬戶(hù)和密碼進(jìn)行空連接時(shí)，權限是最小的。獲得系統特定賬戶(hù)和密碼成為提升權限的關(guān)鍵了，比如獲得administrator賬戶(hù)的口令。
（4）對于開(kāi)放139/445端口的主機，可利用共享獲取敏感信息，這也是內網(wǎng)滲透中收集信息的基本途徑。

1433端口滲透剖析
1433是SQLServer默認的端口，SQL Server服務(wù)使用兩個(gè)端口：tcp-1433、UDP-1434.其中1433用于供SQLServer對外提供服務(wù)，1434用于向請求者返回SQLServer使用了哪些TCP/IP端口。1433端口通常遭到黑客的攻擊，而且攻擊的方式層出不窮。最嚴重的莫過(guò)于遠程溢出漏洞了，如由于SQL注射攻擊的興起，各類(lèi)數據庫時(shí)刻面臨著(zhù)安全威脅。利用SQL注射技術(shù)對數據庫進(jìn)行滲透是目前比較流行的攻擊方式，此類(lèi)技術(shù)屬于腳本滲透技術(shù)。

（1）對于開(kāi)放1433端口的SQL Server2000的數據庫服務(wù)器，黑客嘗試使用遠程溢出漏洞對主機進(jìn)行溢出測試，成功后直接獲得系統權限。
（2）暴力破解技術(shù)是一項經(jīng)典的技術(shù)。一般破解的對象都是SA用戶(hù)。通過(guò)字典破解的方式很快破解出SA的密碼。
（3）嗅探技術(shù)同樣能嗅探到SQL Server的登錄密碼。 
（4）由于腳本程序編寫(xiě)的不嚴密，例如，程序員對參數過(guò)濾不嚴等，這都會(huì )造成嚴重的注射漏洞。通過(guò)SQL注射可間接性的對數據庫服務(wù)器進(jìn)行滲透，通過(guò)調用一些存儲過(guò)程執行系統命令?？梢允褂肧QL綜合利用工具完成。

1521端口滲透剖析
1521是大型數據庫Oracle的默認監聽(tīng)端口，估計新手還對此端口比較陌生，平時(shí)大家接觸的比較多的是Access，MSSQL以及MYSQL這三種數據庫。一般大型站點(diǎn)才會(huì )部署這種比較昂貴的數據庫系統。對于滲透這種比較復雜的數據庫系統，黑客的思路如下：

（1）Oracle擁有非常多的默認用戶(hù)名和密碼，為了獲得數據庫系統的訪(fǎng)問(wèn)權限，破解數據庫系統用戶(hù)以及密碼是黑客必須攻破的一道安全防線(xiàn)。
 （2）SQL注射同樣對Oracle十分有效，通過(guò)注射可獲得數據庫的敏感信息，包括管理員密碼等。 
（3）在注入點(diǎn)直接創(chuàng  )建java，執行系統命令。

2049端口滲透剖析

NFS（Network File System）即網(wǎng)絡(luò )文件系統，是FreeBSD支持的文件系統中的一種，它允許網(wǎng)絡(luò )中的計算機之間通過(guò)TCP/IP網(wǎng)絡(luò )共享資源。在NFS的應用中，本地NFS的客戶(hù)端應用可以透明地讀寫(xiě)位于遠端NFS服務(wù)器上的文件，就像訪(fǎng)問(wèn)本地文件一樣。如今NFS具備了防止被利用導出文件夾的功能，但遺留系統中的NFS服務(wù)配置不當，則仍可能遭到惡意攻擊者的利用。

未授權訪(fǎng)問(wèn)。

3306端口滲透剖析

3306是MYSQL數據庫默認的監聽(tīng)端口，通常部署在中型web系統中。在國內LAMP的配置是非常流行的，對于php+mysql構架的攻擊也是屬于比較熱門(mén)的話(huà)題。mysql數據庫允許用戶(hù)使用自定義函數功能，這使得黑客可編寫(xiě)惡意的自定義函數對服務(wù)器進(jìn)行滲透，最后取得服務(wù)器最高權限。對于3306端口的滲透，黑客的方法如下:

（1）由于管理者安全意識淡薄，通常管理密碼設置過(guò)于簡(jiǎn)單，甚至為空口令。使用破解軟件很容易破解此類(lèi)密碼，利用破解的密碼登錄遠程mysql數據庫，上傳構造的惡意UDF自定義函數代碼進(jìn)行注冊，通過(guò)調用注冊的惡意函數執行系統命令?；蛘呦騱eb目錄導出惡意的腳本程序，以控制整個(gè)web系統。 
（2）功能強大的‘cain’同樣支持對3306端口的嗅探，同時(shí)嗅探也是滲透思路的一種。 
（3）SQL注入同樣對mysql數據庫威脅巨大，不僅可以獲取數據庫的敏感信息，還可使用load_file()函數讀取系統的敏感配置文件或者從web數據庫鏈接文件中獲得root口令等，導出惡意代碼到指定路徑等。

3389端口滲透剖析
3389是windows遠程桌面服務(wù)默認監聽(tīng)的端口，管理員通過(guò)遠程桌面對服務(wù)器進(jìn)行維護，這給管理工作帶來(lái)的極大的方便。通常此端口也是黑客們較為感興趣的端口之一，利用它可對遠程服務(wù)器進(jìn)行控制，而且不需要另外安裝額外的軟件，實(shí)現方法比較簡(jiǎn)單。當然這也是系統合法的服務(wù)，通常是不會(huì )被殺毒軟件所查殺的。使用‘輸入法漏洞’進(jìn)行滲透。

（1）對于windows2000的舊系統版本，使用‘輸入法漏洞’進(jìn)行滲透。 
（2）cain是一款超級的滲透工具，同樣支持對3389端口的嗅探。 
（3）Shift粘滯鍵后門(mén)：5次shift后門(mén) 
（4）社會(huì )工程學(xué)通常是最可怕的攻擊技術(shù)，如果管理者的一切習慣和規律被黑客摸透的話(huà)，那么他管理的網(wǎng)絡(luò )系統會(huì )因為他的弱點(diǎn)被滲透。
（5）爆破3389端口。這里還是推薦使用hydra爆破工具。
（6）ms12_020死亡藍屏攻擊。

4899端口滲透剖析
4899端口是remoteadministrator遠程控制軟件默認監聽(tīng)的端口，也就是平時(shí)常說(shuō)的radmini影子。radmini目前支持TCP/IP協(xié)議，應用十分廣泛，在很多服務(wù)器上都會(huì )看到該款軟件的影子。對于此軟件的滲透，思路如下

（1）radmini同樣存在不少弱口令的主機，通過(guò)專(zhuān)用掃描器可探測到此類(lèi)存在漏洞的主機。 
（2）radmini遠控的連接密碼和端口都是寫(xiě)入到注冊表系統中的，通過(guò)使用webshell注冊表讀取功能可讀取radmini在注冊表的各項鍵值內容，從而破解加密的密碼散列。

5432端口滲透剖析

PostgreSQL是一種特性非常齊全的自由軟件的對象–關(guān)系型數據庫管理系統，可以說(shuō)是目前世界上最先進(jìn)，功能最強大的自由數據庫管理系統。包括kali系統中msf也使用這個(gè)數據庫；淺談postgresql數據庫攻擊技術(shù) 大部分關(guān)于它的攻擊依舊是sql注入，所以注入才是數據庫不變的話(huà)題。

（1）爆破：弱口令：postgres postgres 
（2）緩沖區溢出：CVE-2014-2669。
（3）遠程代碼執行：CVE-2018-1058。

5631端口滲透剖析
5631端口是著(zhù)名遠程控制軟件pcanywhere的默認監聽(tīng)端口，同時(shí)也是世界領(lǐng)先的遠程控制軟件。利用此軟件，用戶(hù)可以有效管理計算機并快速解決技術(shù)支持問(wèn)題。由于軟件的設計缺陷，使得黑客可隨意下載保存連接密碼的*.cif文件，通過(guò)專(zhuān)用破解軟件進(jìn)行破解。這些操作都必須在擁有一定權限下才可完成，至少通過(guò)腳本滲透獲得一個(gè)webshell。通常這些操作在黑客界被稱(chēng)為pcanywhere提權技術(shù)。

PcAnyWhere提權。

5900端口滲透剖析
5900端口是優(yōu)秀遠程控制軟件VNC的默認監聽(tīng)端口，此軟件由著(zhù)名的AT&T的歐洲研究實(shí)驗室開(kāi)發(fā)的。VNC是在基于unix和linux操作系統的免費的開(kāi)放源碼軟件，遠程控制能力強大，高效實(shí)用，其性能可以和windows和MAC中的任何一款控制軟件媲美。對于該端口的滲透，思路如下：

（1）VNC軟件存在密碼驗證繞過(guò)漏洞，此高危漏洞可以使得惡意攻擊者不需要密碼就可以登錄到一個(gè)遠程系統。 
（2）cain同樣支持對VNC的嗅探，同時(shí)支持端口修改。 
（3）VNC的配置信息同樣被寫(xiě)入注冊表系統中，其中包括連接的密碼和端口。利用webshell的注冊表讀取功能進(jìn)行讀取加密算法，然后破解。
（4）VNC拒絕服務(wù)攻擊（CVE-2015-5239）。
（5）VNC權限提升（CVE-2013-6886）。

6379端口滲透剖析

Redis是一個(gè)開(kāi)源的使用c語(yǔ)言寫(xiě)的，支持網(wǎng)絡(luò )、可基于內存亦可持久化的日志型、key-value數據庫。關(guān)于這個(gè)數據庫這兩年還是很火的，暴露出來(lái)的問(wèn)題也很多。特別是前段時(shí)間暴露的未授權訪(fǎng)問(wèn)。

（1）爆破：弱口令 
（2）未授權訪(fǎng)問(wèn)+配合ssh key提權。

7001/7002端口滲透剖析

7001/7002通常是weblogic中間件端口

（1）弱口令、爆破，弱密碼一般為weblogic/Oracle@123 or weblogic 
（2）管理后臺部署 war 后門(mén) 
（3）SSRF 
（4）反序列化漏洞 

8080端口滲透剖析
8080端口通常是apache_Tomcat服務(wù)器默認監聽(tīng)端口，apache是世界使用排名第一的web服務(wù)器。國內很多大型系統都是使用apache服務(wù)器，對于這種大型服務(wù)器的滲透，主要有以下方法：

（1）Tomcat遠程代碼執行漏洞 
（2）Tomcat任意文件上傳。
（3）Tomcat遠程代碼執行&信息泄露。 
（4）Jboss遠程代碼執行。 
（5）Jboss反序列化漏洞。

27017端口滲透剖析

MongoDB，NoSQL數據庫；攻擊方法與其他數據庫類(lèi)似

（1）爆破：弱口令 
（2）未授權訪(fǎng)問(wèn)；