0x01 端口服务及利用简析
1.1 文件共享服务端口
端口号 | 端口说明 | 利用方向 |
---|---|---|
21/22/69 | FTP/TFTP文件传输协议 | 允许匿名上传、下载、爆破和嗅探 |
2049 | NFS服务 | 配置不当 |
139 | Samba | 爆破、未授权访问、远程代码执行 |
389 | LDAP目录访问协议 | 注入、允许匿名访问、弱口令 |
1.2 远程连接服务端口
端口号 | 端口说明 | 利用方向 |
---|---|---|
21 | SSH远程连接 | 爆破、SSH隧道及内网代理转发、文件传输 |
23 | Telnet | 爆破、嗅探、弱口令 |
3389 | RDP远程桌面连接 | Shift后门(Windows Server 2003以下版本)、爆破 |
5900 | VNC | 弱口令爆破 |
5632 | PyAnyWhere服务 | 抓代码、代码执行 |
1.3 Web应用服务端口
端口号 | 端口说明 | 利用方向 |
---|---|---|
80/443/8080 | 常见Web服务端口 | Web攻击、爆破、对应服务版本漏洞 |
7001/7002 | Weblogic控制台 | Java 反序列化、弱口令 |
8080/8089 | Jboos/Resin/Jetty/Jenkins | 反序列化、控制台弱口令 |
9090 | WebSphere控制台 | Java 反序列化、弱口令 |
4848 | GlassFish控制台 | 弱口令 |
1352 | Lotus dominion邮件服务 | 弱口令、信息泄露、爆破 |
10000 | Webmin-Web控制面板 | 弱口令 |
1.4 数据库端口服务
端口号 | 端口说明 | 利用方向 |
---|---|---|
3306 | MySQL | 注入、提权、爆破 |
1433 | MSSQL | 注入、提权、SAP弱口令、爆破 |
1521 | Oracle | TNS爆破、注入、反弹Shell |
5432 | PostgreSQL | 爆破、注入、弱口令 |
27017/27018 | MongoDB | 爆破、未授权访问 |
6379 | Redis | 未授权访问、弱口令爆破 |
5000 | SysBase/DB2 | 爆破、注入 |
1.5 邮件服务端口
端口号 | 端口说明 | 利用方向 |
---|---|---|
25 | SMTP 邮件服务 | 邮件伪造 |
110 | POP3 | 爆破、嗅探 |
143 | IMAP | 爆破 |
1.6 网络常见协议端口
端口号 | 端口说明 | 利用方向 |
---|---|---|
53 | DNS域名系统 | 允许区域传送、DNS劫持、缓存投毒、欺骗 |
67/68 | DHCP服务 | 劫持、欺骗 |
161 | SNMP协议 | 爆破、搜集目标内网信息 |
1.7 特殊服务端口
端口号 | 端口说明 | 利用方向 |
---|---|---|
2128 | Zookeeper 服务 | 未授权访问 |
8068 | Zabbix 服务 | 远程执行、SQL注入 |
9200/9300 | Elasticsearch 服务 | 远程执行 |
11211 | Memcache 服务 | 未授权访问 |
512/513/514 | Linux Rexec 服务 | 爆破、Rlogin登陆 |
873 | Rsync 服务 | 匿名访问、文件上传 |
3690 | Svn 服务 | Svn泄露、未授权访问 |
50000 | SAP Management Console | 远程执行 |
0x02 端口入侵姿势详情
2.1 21端口入侵
简介
FTP通常用作对远程服务器进行管理,典型应用就是对web系统进行管理。
一旦FTP密码泄露就直接威胁web系统安全,甚至黑客通过提权可以直接控制服务器。
姿势
这里以Serv_uFTP服务器为例,剖析渗透FTP服务器的几种方法:
- (1)对Serv_u5.004以及以下版本可直接使用溢出程序进行远程溢出,成功后可直接得到系统权限。使用Metloit渗透工具包进行溢出。这个工具是需要安装的。
- (2)暴力破解FTP密码,关键是字典的制作。一般用的破解工具是X-way。
- (3)读取Serv_u用户配置文件,并破解用户加密密码。一般使用webshell进行读取。
- (4)通过本地提权工具,可执行任意系统命令。
- (5)使用嗅探方式截取FTP密码,使用工具Cain进行渗透。
2.2 23端口入侵
简介
telnet是一种旧的远程管理方式
使用telnet工具登录系统过程中,网络上传输的用户和密码都是以明文方式传送的
黑客可使用嗅探技术截获到此类密码。
姿势
- (1)暴力破解技术是常用的技术,使用X-SCAN扫描器对其进行破解。
- (2)在linux系统中一般采用SSH进行远程访问,传输的敏感数据都是经过加密的。而对于windows下的telnet来说是脆弱的,因为默认没有经过任何加密就在网络中进行传输。使用cain等嗅探工具可轻松截获远程登录密码。
2.3 53端口入侵
简介
53端口是DNS域名服务器的通信端口
通常用于域名解析
也是网络中非常关键的服务器之一
这类服务器容易受到攻击
姿势
- (1)使用DNS远程溢出漏洞直接对其主机进行溢出攻击,成功后可直接获得系统权限。
- (2)使用DNS欺骗攻击,可对DNS域名服务器进行欺骗,如果黑客再配合网页木马进行挂马攻击,无疑是一种杀伤力很强的攻击,黑客可不费吹灰之力就控制内网的大部分主机。这也是内网渗透惯用的技法之一。
- (3)拒绝服务攻击,利用拒绝服务攻击可快速的导致目标服务器运行缓慢,甚至网络瘫痪。如果使用拒绝服务攻击其DNS服务器。将导致用该服务器进行域名解析的用户无法正常上网。
2.4 80端口入侵
简介
通常提供web服务
目前黑客对80端口的攻击典型是采用 SQL 注入的攻击方法
脚本渗透技术也是一项综合性极高的web渗透技术
同时脚本渗透技术对80端口也构成严重的威胁
姿势
- (1)对于windows2000的IIS5.0版本,黑客使用远程溢出直接对远程主机进行溢出攻击,成功后直接获得系统权限。
- (2)对于windows2000中IIS5.0版本,黑客也尝试利用‘Microsoft IISCGI’文件名错误解码漏洞攻击。使用X-SCAN可直接探测到IIS漏洞。
- (3)IIS写权限漏洞是由于IIS配置不当造成的安全问题,攻击者可向存在此类漏洞的服务器上传恶意代码,比如上传脚本木马扩大控制权限。
- (4)普通的http封包是没有经过加密就在网络中传输的,这样就可通过嗅探类工具截取到敏感的数据。如使用Cain工具完成此类渗透。
- (5)80端口的攻击,更多的是采用脚本渗透技术,利用web应用程序的漏洞进行渗透是目前很流行的攻击方式。
- (6)对于渗透只开放80端口的服务器来说,难度很大。利用端口复用工具可解决此类技术难题。
- (7)CC攻击效果不及DDOS效果明显,但是对于攻击一些小型web站点还是比较有用的。CC攻击可使目标站点运行缓慢,页面无法打开,有时还会爆出web程序的绝对路径。
2.5 135端口入侵
简介
135端口主要用于使用RPC协议并提供DCOM服务
通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码
使用DCOM可以通过网络直接进行通信
能够跨包括HTTP协议在内的多种网络传输
同时这个端口最严重的就是缓冲区溢出漏洞
曾经疯狂一时的‘冲击波病毒就是利用这个漏洞进行传播的。
姿势
- (1)查找存在RPC溢出的主机,进行远程溢出攻击,直接获得系统权限。如用‘DSScan’扫描存在此漏洞的主机。对存在漏洞的主机可使用‘ms05011.exe’进行溢出,溢出成功后获得系统权限。
- (2)扫描存在弱口令的135主机,利用RPC远程过程调用开启telnet服务并登录telnet执行系统命令。系统弱口令的扫描一般使用X-SCAN和SHCAN。对于telnet服务的开启可使用工具Recton。
2.6 139/445端口入侵
简介
139端口是为‘NetBIOS SessionService’提供的
主要用于提供windows文件和打印机共享以及UNIX中的Samba服务
445端口也用于提供windows文件和打印机共享,在内网环境中使用的很广泛
这两个端口同样属于重点攻击对象,139/445端口曾出现过许多严重级别的漏洞。
姿势
- (1)对于开放139/445端口的主机,一般尝试利用溢出漏洞对远程主机进行溢出攻击,成功后直接获得系统权限。
- (2)对于攻击只开放445端口的主机,黑客一般使用工具‘MS06040’或‘MS08067’.可使用专用的445端口扫描器进行扫描。NS08067溢出工具对windows2003系统的溢出十分有效,工具基本使用参数在cmd下会有提示。
- (3)对于开放139/445端口的主机,黑客一般使用IPC$进行渗透。在没有使用特点的账户和密码进行空连接时,权限是最小的。获得系统特定账户和密码成为提升权限的关键了,比如获得administrator账户的口令。
- (4)对于开放139/445端口的主机,可利用共享获取敏感信息,这也是内网渗透中收集信息的基本途径。
2.7 1433端口入侵
简介
1433是SQLServer默认的端口
SQL Server服务使用两个端口:tcp-1433、UDP-1434
1433用于供SQLServer对外提供服务
1434用于向请求者返回SQLServer使用了哪些TCP/IP端口
1433端口通常遭到黑客的攻击,而且攻击的方式层出不穷。
最严重的莫过于远程溢出漏洞了,如:
由于SQL注射攻击的兴起,各类数据库时刻面临着安全威胁。
利用SQL注射技术对数据库进行渗透是目前比较流行的攻击方式,此类技术属于脚本渗透技术。
姿势
- (1)对于开放1433端口的SQL Server2000的数据库服务器,黑客尝试使用远程溢出漏洞对主机进行溢出测试,成功后直接获得系统权限。
- (2)暴力破解技术是一项经典的技术。一般破解的对象都是SA用户。通过字典破解的方式很快破解出SA的密码。
- (3)嗅探技术同样能嗅探到SQL Server的登录密码。
- (4)由于脚本程序编写的不严密,例如,程序员对参数过滤不严等,这都会造成严重的注射漏洞。通过SQL注射可间接性的对数据库服务器进行渗透,通过调用一些存储过程执行系统命令。可以使用SQL综合利用工具完成。
2.8 1521端口入侵
简介
大型数据库Oracle的默认监听端口
姿势
- (1)Oracle拥有非常多的默认用户名和密码,为了获得数据库系统的访问权限,破解数据库系统用户以及密码是黑客必须攻破的一道安全防线。
- (2)SQL注射同样对Oracle十分有效,通过注射可获得数据库的敏感信息,包括管理员密码等。
- (3)在注入点直接创建java,执行系统命令。
2.9 3306端口入侵
简介
3306是MYSQL数据库默认的监听端口
通常部署在中型web系统中
在国内LAMP的配置是非常流行的
对于php+mysql构架的攻击也是属于比较热门的话题
mysql数据库允许用户使用自定义函数功能
这使得黑客可编写恶意的自定义函数对服务器进行渗透
最后取得服务器最高权限
姿势
- (1)由于管理者安全意识淡薄,通常管理密码设置过于简单,甚至为空口令。使用破解软件很容易破解此类密码,利用破解的密码登录远程mysql数据库,上传构造的恶意UDF自定义函数代码进行注册,通过调用注册的恶意函数执行系统命令。或者向web目录导出恶意的脚本程序,以控制整个web系统。
- (2)功能强大的‘cain’同样支持对3306端口的嗅探,同时嗅探也是渗透思路的一种。
- (3)SQL注入同样对mysql数据库威胁巨大,不仅可以获取数据库的敏感信息,还可使用load_file()函数读取系统的敏感配置文件或者从web数据库链接文件中获得root口令等,导出恶意代码到指定路径等。
2.10 3389端口入侵
简介
3389是windows远程桌面服务默认监听的端口
管理员通过远程桌面对服务器进行维护
通常利用它可对远程服务器进行控制,而且不需要另外安装额外的软件,
当然这也是系统合法的服务,通常是不会被杀毒软件所查杀的。
使用‘输入法漏洞’进行渗透。
姿势
- (1)对于windows2000的旧系统版本,使用‘输入法漏洞’进行渗透。
- (2)针对windows2000终端服务的一个密码破解程序,这个程序被微软公司推荐给用户使用,来检查终端服务密码的强壮性。程序使用msrdp空间,可在本地虚拟远程终端连接窗口,通过密码字典进行破解。可以指定多种参数,使用比较灵活,破解速度视攻击主机与被攻击主机网络带宽来定。稍等下,虚拟机有点卡。我们先看第三种方法吧。
- (3)cain是一款超级的渗透工具,同样支持对3389端口的嗅探。
- (4)映像劫持与shift粘贴键的配合使用。通常安全人员配置服务器安全时,都会考虑使用功能强大的组策略。比如阻止非法攻击者执行cmd命令和拒绝非授权远程登录用户等(关于组策略的详细设置方法我们已经在信息系统安全工程师课程做了详细的讲解),即使你拥有管理员权限同样不能进行登录。黑客突破组策略的秘籍就在3389登录框这里,也就是映像劫持与shift粘贴键的配合使用,调出任务管理器然后在任务管理器中打开组策略编辑器,这里可根据实际情侣进行修改了。
- (5)社会工程学通常是最可怕的攻击技术,如果管理者的一切习惯和规律被黑客摸透的话,那么他管理的网络系统会因为他的弱点被渗透。
2.11 4899端口入侵
简介
4899端口是remoteadministrator远程控制软件默认监听的端口
也就是平时常说的radmini影子
radmini目前支持TCP/IP协议
应用十分广泛
在很多服务器上都会看到该款软件的影子。
姿势
- (1)radmini同样存在不少弱口令的主机,通过专用扫描器可探测到此类存在漏洞的主机。
- (2)radmini远控的连接密码和端口都是写入到注册表系统中的,通过使用webshell注册表读取功能可读取radmini在注册表的各项键值内容,从而破解加密的密码散列。
2.12 5631端口入侵
简介
5631端口是著名远程控制软件symantecpcanywhere的默认监听端口
同时也是世界领先的远程控制软件
利用此软件,用户可以有效管理计算机并快速解决技术支持问题。
由于软件的设计缺陷,使得黑客可:
随意下载保存连接密码的*.cif文件
通过专用破解软件进行破解
这些操作都必须在拥有一定权限下才可完成
至少通过脚本渗透获得一个webshell。
通常这些操作在黑客界被称为pcanywhere提权技术。
2.13 5900端口入侵
简介
5900端口是优秀远程控制软件VNC的默认监听端口
VNC是在基于unix和linux操作系统的免费的开放源码软件
远程控制能力强大,高效实用
其性能可以和windows和MAC中的任何一款控制软件媲美。
姿势
- (1)VNC软件存在密码验证绕过漏洞,此高危漏洞可以使得恶意攻击者不需要密码就可以登录到一个远程系统。
- (2)cain同样支持对VNC的嗅探,同时支持端口修改。
- (3)VNC的配置信息同样被写入注册表系统中,其中包括连接的密码和端口。利用webshell的注册表读取功能进行读取加密算法,然后破解。
2.14 8080端口入侵
简介
8080端口通常是apache_Tomcat服务器默认监听端口
apache是世界使用排名第一的web服务器
国内很多大型系统都是使用apache服务器
姿势
- (1)apache tomcatUTF-8目录遍历漏洞,tomcat处理请求中的编码时存在漏洞,如果在context.xml或server.xml中将allowlinking设置为true,且连接器配置为URIEncoding=UTF-8,若黑客向apache提交恶意请求就可以通过目录遍历攻击读取服务器上的任意文件,包括/etc/passwd等
- (2)apache后台弱口令漏洞,黑客可使用专用扫描器探测此类漏洞。
- (3)JSP爆源码漏洞,对于一些旧版本的tomcat,黑客通过提交一些注入.jsP.Jsp等,尝试找源码代码和目录文件。查找上传文件,直接上传他们的JSP脚本后门。
- (4)apache在windows环境下是以系统权限启动的,JSP的脚本同样继承了该权限,可直接执行任意系统命令。