KALI渗透测试--漏洞评估

pygain 发表了文章 • 1 个评论 • 422 次浏览 • 2016-09-24 15:59 • 来自相关话题

结束了第一阶段的踩点和查点后,需要对目标进行初步的漏洞评估
在KALI中集成了很对漏洞评估软件,介绍其中两款用的顺手的
1.VEGA
这是一个安全测试工具,用来爬取一个网站,并分析页面的内容来找到连接和表单参数。
运行





键入URL





这里给出了两个选项,勾选需要的扫描选项





在这添加cookie和排除模式能力来避免模糊测试,可不填写





执行扫描
显示正在扫描的目标以及主目标关联的其他目标,左下方显示找到的漏洞类别





VEGA会显示活跃的扫描。并将找到的漏洞映射到他们对目标的威胁程度上
显示社区存在XSS





请求部分可以查看跟目标网站之间的请求和响应





在扫描的最后会生成一个汇总页





 
 
2.Owasp-Zap
这是一款专门为web应用的安全测试而设计的拦截代理
启动后会出现一个免责声明,接收
另个询问是否在此时创建新的任务,选择第一个即可





界面是汉语的键入URL





可以自定义扫描选项。该工具会先对网站进行爬行并将目录列出





随后的扫描模式可以看到些细节和进度






将结果以报告形式输出





webshag,skipfish,websploit三款工具不一一介绍了 查看全部
结束了第一阶段的踩点和查点后,需要对目标进行初步的漏洞评估
在KALI中集成了很对漏洞评估软件,介绍其中两款用的顺手的
1.VEGA
这是一个安全测试工具,用来爬取一个网站,并分析页面的内容来找到连接和表单参数。
运行

QQ截图20160924134344.png

键入URL

QQ截图20160924134435.png

这里给出了两个选项,勾选需要的扫描选项

QQ截图20160924134539.png

在这添加cookie和排除模式能力来避免模糊测试,可不填写

QQ截图20160924134637.png

执行扫描
显示正在扫描的目标以及主目标关联的其他目标,左下方显示找到的漏洞类别

QQ截图20160924134800.png

VEGA会显示活跃的扫描。并将找到的漏洞映射到他们对目标的威胁程度上
显示社区存在XSS

QQ截图20160924141219.png

请求部分可以查看跟目标网站之间的请求和响应

QQ截图20160924135146.png

在扫描的最后会生成一个汇总页

QQ截图20160924154434.png

 
 
2.Owasp-Zap
这是一款专门为web应用的安全测试而设计的拦截代理
启动后会出现一个免责声明,接收
另个询问是否在此时创建新的任务,选择第一个即可

QQ截图20160924141456.png

界面是汉语的键入URL

QQ截图20160924142406.png

可以自定义扫描选项。该工具会先对网站进行爬行并将目录列出

QQ截图20160924143130.png

随后的扫描模式可以看到些细节和进度


QQ截图20160924143357.png

将结果以报告形式输出

QQ截图20160924144706.png

webshag,skipfish,websploit三款工具不一一介绍了

QQ截图20160924144915.png


QQ截图20160924160119.png

KALI渗透测试--前期侦查(2)

pygain 发表了文章 • 3 个评论 • 597 次浏览 • 2016-09-24 11:29 • 来自相关话题

1.信息收集图标--Maltego(图片转载自)
kali自带这个工具,它具有一定的DNS侦查功能,最强大的还是在于提取目标指纹和收集目标上的情报,将这些信息用图标的形式展现出来
使用前记得开挂载VPN





首次登陆需要在外网注册账号,需要邮箱来收验证码
界面如下





新建一个项目模式为Footprint L3










键入URL





 
该工具会自动收集这个网站的信息










再放大的话可以看到DNS,IP,邮件等信息





看看哪些新闻与这个网站有关




















可以进行下一步社工了
 
2.zenmap--可视化的nmap
在侦查(1)中我们能够确定比较好搞的主机IP,接下来要对这台主机进行查点,kali中的zenmap就是很好的查点工具
启动该工具





创建一个新的项目





选择扫描姿势(都是汉语很简单)并保存





profile菜单中会出现刚才保存的项目,和其他的一些预设扫描姿势





扫描





也可以生产可视化的图,并提供报告的生成和保存















 
 
3.FOCA和evil FOCA
当我们在创建像PPT WORD PDF都会留一些元数据在文档当中,所谓元数据就是有关特定数据集,对象或资源的描述性信息,包含创建时间和创建者
我们可以通过FOCA检查特定域的元数据和本地文件的元数据
先去官网下载





创建一个新的项目





其实很强大





 






不知道自己配置哪里出了问题 翻出去也不能扫描出内容。。。。。
望喜欢的小伙伴研究下
它还有个兄弟





这个邪恶的小东西我就是装不上。。。。
具体使用请百度,支持各种姿势攻击
 
 
KALI中的前期侦查完结
 
 
  查看全部
1.信息收集图标--Maltego(图片转载自)
kali自带这个工具,它具有一定的DNS侦查功能,最强大的还是在于提取目标指纹和收集目标上的情报,将这些信息用图标的形式展现出来
使用前记得开挂载VPN

QQ截图20160922205106.png

首次登陆需要在外网注册账号,需要邮箱来收验证码
界面如下

1463729582119.png

新建一个项目模式为Footprint L3

14637295904671.png


14637295994302.png

键入URL

14637296371616.png

 
该工具会自动收集这个网站的信息

14637296476326.png


14637296559583.png

再放大的话可以看到DNS,IP,邮件等信息

14637296634955.png

看看哪些新闻与这个网站有关

14637296744753.png


14637296804006.png


14637296873628.png


14637312858163.png

可以进行下一步社工了
 
2.zenmap--可视化的nmap
在侦查(1)中我们能够确定比较好搞的主机IP,接下来要对这台主机进行查点,kali中的zenmap就是很好的查点工具
启动该工具

QQ截图20160922210058.png

创建一个新的项目

QQ截图20160922210454.png

选择扫描姿势(都是汉语很简单)并保存

QQ截图20160922211146.png

profile菜单中会出现刚才保存的项目,和其他的一些预设扫描姿势

QQ截图20160922211250.png

扫描

QQ截图20160922211628.png

也可以生产可视化的图,并提供报告的生成和保存

QQ截图20160922211704.png


QQ截图20160922211810.png


QQ截图20160922212251.png

 
 
3.FOCA和evil FOCA
当我们在创建像PPT WORD PDF都会留一些元数据在文档当中,所谓元数据就是有关特定数据集,对象或资源的描述性信息,包含创建时间和创建者
我们可以通过FOCA检查特定域的元数据和本地文件的元数据
先去官网下载

QQ截图20160922212640.png

创建一个新的项目

QQ截图20160923192037.png

其实很强大

QQ截图20160924112353.png

 


QQ截图20160924112413.png

不知道自己配置哪里出了问题 翻出去也不能扫描出内容。。。。。
望喜欢的小伙伴研究下
它还有个兄弟

QQ截图20160924110835.png

这个邪恶的小东西我就是装不上。。。。
具体使用请百度,支持各种姿势攻击
 
 
KALI中的前期侦查完结
 
 
 

绕过CDN获得网站真实IP

TaeJa 发表了文章 • 6 个评论 • 1044 次浏览 • 2016-09-24 09:51 • 来自相关话题

0x00 前言
   现在很多大网站基本上都使用了CDN进行加速访问,方便快速响应用户的请求,提高用户访问体验。这种做法对于我们日常的渗透测试来说,CDN的虚假IP确实很干扰我们的测试。因此很有必要了解一下,如何绕过CDN,找到网站的真实IP。

0x01 判断是否开启CDN
 要看一个网站是否开启CDN功能,方法很简单。只要在不同的地区ping网址就可以:例如在北京ping得到的IP地址是111.161.66.167,但在江苏地区ping得到的IP确是61.147.92.111。像这样在不同地区ping同一个网址,我们得到不同的IP地址,那么这种情况,我们就可以判断该网站开了CDN加速。我们使用在线的工具,如下:
备用线路1:http://ping.chinaz.com/
备用线路1:http://ping.aizhan.com/
备用线路2:http://tools.fastweb.com.cn/Index/Ping
或者kali里:
root@kali:~# dnsenum -o /root/baidu.com -t 30 --threads 30 baidu.com
root@kali:~# dnsrecon -d baidu.com -n 114.114.114.114 --threads 15 --lifetime 30 --xml /root/baidu.com1 







0x02 二级域名法
目标站点一般不会把所有的二级域名放cdn上。比如试验性质地二级域名。Google site一下目标的域名,看有没有二级域名出现,挨个排查,确定了没使用cdn的二级域名后。本地将目标域名绑定到同ip(修改host文件),如果能访问就说明目标站与此二级域名在同一个服务器上;如果两者不在同一服务器也可能在同C段,扫描C段所有开80端口的ip,挨个试。
二级域名在线查询:
备用线路1:http://i.links.cn/subdomain/
备用线路2:在AWVS中有子域名查询工具







0x03 nslookup法 
大部分CDN提供商只针对国内市场,而对国外市场几乎是不做CDN,所以有很大的几率会直接解析到真实IP。其实这个方法根本不用上国外vpn,因为你上国外vpn的ping本质,就是使用国外dns(那台vpn服务器使用的dns)查询域名而已,所以只需要:
nslookup http://xxx.com 国外dns,就行了,例如:nslookup http://xxx.com 8.8.8.8,提示:你要找冷门国外DNS才行,像谷歌的DNS,国内用的人越来越多了,很多CDN提供商都把谷歌DNS作为国内市场之一,所以,你查到的结果会和国内差不了多少
或者查询域名的NS记录,其域名记录中的MX记录,TXT记录等很有可能指向的是真实ip或同C段服务器。
这里给大家列几个国外可用的DNS服务器
Google Public DNS (8.8.8.8, 8.8.4.4)
OpenDNS (208.67.222.222, 208.67.220.220)
OpenDNS Family (208.67.222.123, 208.67.220.123)
Dyn DNS (216.146.35.35, 216.146.36.36)
Comodo Secure (8.26.56.26, 8.20.247.20)
UltraDNS (156.154.70.1, 156.154.71.1)
Norton ConnectSafe (199.85.126.10, 199.85.127.10)


0x04 ping法
ping http://xxx.com
因为现在有很多CDN厂商基本只要求把 www. xxx .com cname到cdn主服务器上去。www. xxx .com 和 http://xxx.com 是两条独立的解析记录 一般只会把 www. xxx .com 做 CDN。
或者使用国外的多节点ping工具,例如just-ping,全世界几十个节点ping目标域名,很有可能找到真实ip。域名:CA App Synthetic Monitor website monitoring service

0x05 看历史纪录 
指的是查找域名历史解析记录,因为域名在上CDN之前用的IP,很有可能就是CDN的真实源IP地址,有专门的网站提供域名解析历史记录查询:
http://toolbar.netcraft.com/site_report?url=www.xxx.com 

0x06看订阅邮件
有的服务器本地自带sendmail… 注册之后,会主动发一封邮件给我们...好吧,打开邮件的源代码,你就能看到服务器的真实ip了.有的大型互联网网站会有自己的Mailserver.但是应该会在一个网段,这时候扫下C段就行

0x07 rss订阅
一般也会得到真实的IP地址,通过rss订阅的方式,可以查找到订阅的消息中真实IP 查看全部
0x00 前言
   现在很多大网站基本上都使用了CDN进行加速访问,方便快速响应用户的请求,提高用户访问体验。这种做法对于我们日常的渗透测试来说,CDN的虚假IP确实很干扰我们的测试。因此很有必要了解一下,如何绕过CDN,找到网站的真实IP。

0x01 判断是否开启CDN
 要看一个网站是否开启CDN功能,方法很简单。只要在不同的地区ping网址就可以:例如在北京ping得到的IP地址是111.161.66.167,但在江苏地区ping得到的IP确是61.147.92.111。像这样在不同地区ping同一个网址,我们得到不同的IP地址,那么这种情况,我们就可以判断该网站开了CDN加速。我们使用在线的工具,如下:
备用线路1:http://ping.chinaz.com/
备用线路1:http://ping.aizhan.com/
备用线路2:http://tools.fastweb.com.cn/Index/Ping
或者kali里:
root@kali:~# dnsenum -o /root/baidu.com -t 30 --threads 30 baidu.com
root@kali:~# dnsrecon -d baidu.com -n 114.114.114.114 --threads 15 --lifetime 30 --xml /root/baidu.com1 

1.png



0x02 二级域名法
目标站点一般不会把所有的二级域名放cdn上。比如试验性质地二级域名。Google site一下目标的域名,看有没有二级域名出现,挨个排查,确定了没使用cdn的二级域名后。本地将目标域名绑定到同ip(修改host文件),如果能访问就说明目标站与此二级域名在同一个服务器上;如果两者不在同一服务器也可能在同C段,扫描C段所有开80端口的ip,挨个试。
二级域名在线查询:
备用线路1:http://i.links.cn/subdomain/
备用线路2:在AWVS中有子域名查询工具


2.png


0x03 nslookup法 
大部分CDN提供商只针对国内市场,而对国外市场几乎是不做CDN,所以有很大的几率会直接解析到真实IP。其实这个方法根本不用上国外vpn,因为你上国外vpn的ping本质,就是使用国外dns(那台vpn服务器使用的dns)查询域名而已,所以只需要:
nslookup http://xxx.com 国外dns,就行了,例如:nslookup http://xxx.com 8.8.8.8,提示:你要找冷门国外DNS才行,像谷歌的DNS,国内用的人越来越多了,很多CDN提供商都把谷歌DNS作为国内市场之一,所以,你查到的结果会和国内差不了多少
或者查询域名的NS记录,其域名记录中的MX记录,TXT记录等很有可能指向的是真实ip或同C段服务器。
这里给大家列几个国外可用的DNS服务器
Google Public DNS (8.8.8.8, 8.8.4.4)
OpenDNS (208.67.222.222, 208.67.220.220)
OpenDNS Family (208.67.222.123, 208.67.220.123)
Dyn DNS (216.146.35.35, 216.146.36.36)
Comodo Secure (8.26.56.26, 8.20.247.20)
UltraDNS (156.154.70.1, 156.154.71.1)
Norton ConnectSafe (199.85.126.10, 199.85.127.10)


0x04 ping法
ping http://xxx.com
因为现在有很多CDN厂商基本只要求把 www. xxx .com cname到cdn主服务器上去。www. xxx .com 和 http://xxx.com 是两条独立的解析记录 一般只会把 www. xxx .com 做 CDN。
或者使用国外的多节点ping工具,例如just-ping,全世界几十个节点ping目标域名,很有可能找到真实ip。域名:CA App Synthetic Monitor website monitoring service

0x05 看历史纪录 
指的是查找域名历史解析记录,因为域名在上CDN之前用的IP,很有可能就是CDN的真实源IP地址,有专门的网站提供域名解析历史记录查询:
http://toolbar.netcraft.com/site_report?url=www.xxx.com 

0x06看订阅邮件
有的服务器本地自带sendmail… 注册之后,会主动发一封邮件给我们...好吧,打开邮件的源代码,你就能看到服务器的真实ip了.有的大型互联网网站会有自己的Mailserver.但是应该会在一个网段,这时候扫下C段就行

0x07 rss订阅
一般也会得到真实的IP地址,通过rss订阅的方式,可以查找到订阅的消息中真实IP

请问这种数据库有什么价值吗?

kakaxi 回复了问题 • 2 人关注 • 1 个回复 • 447 次浏览 • 2016-09-23 09:41 • 来自相关话题

端口渗透简单总结

TaeJa 发表了文章 • 8 个评论 • 1035 次浏览 • 2016-09-22 22:14 • 来自相关话题

0x00背景
 
    这篇文章写的很简单,也只描述了几个常见的端口渗透;而且一般我们都是可以修改默认端口的,所以平时在渗透过程中,对端口信息的收集就是一个很重要的过程;然后对症下药就可以更快的渗透进入我们需要的服务器;接下来就详细通过渗透实战对端口的渗透进行更加深入的剖析;
端口渗透过程中我们需要关注几个问题:
1、端口的banner信息
2、端口上运行的服务
3、常见应用的默认端口
当然对于上面这些信息的获取,我们有各式各样的方法,最为常见的应该就是nmap了,我们也可以结合其他的端口扫描工具,比如专门的3389、1433等等的端口扫描工具;

服务默认端口
 
公认端口(Well Known Ports):0-1023,他们紧密绑定了一些服务;
注册端口(Registered Ports):1024-49151,他们松散的绑定了一些服务;
动态/私有:49152-65535,不为服务分配这些端口;
当然这些端口都可以通过修改来达到欺骗攻击者的目的,但是这就安全了吗?攻击者又可以使用什么攻击方式来攻击这些端口呢?
还需要注明的一点是:很多木马工具也有特定的端口,本文并没有涉及到这块的内容,大家可以自己去收集收集!


0x01实战测试
 
文件共享服务端口渗透
 
ftp服务
 
FTP服务:ftp服务我分为两种情况,第一种是使用系统软件来配置,比如IIS中的FTP文件共享或Linux中的默认服务软件;第二种是通过第三方软件来配置,比如Serv-U还有一些网上写的简易ftp服务器等;
默认端口:20(数据端口);21(控制端口);69(tftp小型文件传输协议)
攻击方式:
爆破:ftp的爆破工具有很多,这里我推荐owasp的Brut以及msf中ftp爆破模块;
匿名访问:用户名:anonymous 密码:为空或任意邮箱
用户名:FTP 密码:FTP或为空
用户名:USER 密码:pass
当然还有不需要用户名密码直接访问的,一般出现在局域网中;

嗅探:ftp使用明文传输技术(但是嗅探给予局域网并需要欺骗或监听网关)

后门技术:在linux的vsftp某一版本中,存在着一个后门程序,只要在用户名后面加上:)这个笑脸符号,就会在6200上打开一个监听Shell,我们可以使用telnet直接连接;详细http://www.freebuf.com/articles/system/34571.html
远程溢出漏洞:6.10.1 IIS FTP远程溢出漏洞,在IIS FTP服务器中NLST命令存在一个缓冲区溢出漏洞,这个漏洞可能是攻击者在服务器运行一条非法命令。
跳转攻击:(Bounce Attacks)攻击者发送一个FTP”PORT”命令给目标FTP服务器,其中包含该主机的网络地址和被攻击的服务的端口号。这样,客户端就能命令FTP服务器发一个文件给被攻击的服务。这个文件可能包括根被攻击的服务有关的命令(如SMTP,NNTP等)。由于是命令第三方去连接到一种服务,而不是直接连接,就使得跟踪攻击者变得困难,并且还避开了基于网络地址的访问限制。
 
NFS服务
 
nfs:网络文件系统,允许网络中的计算机通过TCP/IP网络共享资源。基于Linux系统,配置方面很简单,详细配置请参考案例分享。在nfs配置中,有不做任何限制的,有限制用户,有限制IP,以及在版本2.x中我们还可以使用证书来验证用户。当然不同的限制可以采用的攻击方式也不一样;就目前而言网上关于nfs的攻击还是比较少的!
默认端口:2049
攻击方式:
未授权访问:未限制IP以及用户权限设置错误

NFS服务全攻略:http://www.360doc.com/content/11/0410/14/2054285_108598426.shtml
 
Samba服务
 
Samba服务:对于这个可以在windows与Linux之间进行共享文件的服务同样是我们攻击的关注点;samba登录分为两种方式,一种是需要用户名口令;另一种是不需要用户名口令。在很多时候不光是pc机,还有一些服务器,网络设备都开放着此服务,方便进行文件共享,但是同时也给攻击者提供了便利。
默认端口:137(主要用户NetBIOS Name Service;NetBIOS名称服务)、139(NetBIOS Session Service,主要提供samba服务)
攻击方式:
爆破:弱口令(爆破工具采用hydra)hydra -l username -P
PassFile IP smb
未授权访问:给予public用户高权限
远程代码执行漏洞:CVE-2015-0240等等
案例分享:
Samba远程代码执行漏洞 https://www.secpulse.com/archives/5975.html
 
LDAP协议
 
ldap:轻量级目录访问协议,最近几年随着ldap的广泛使用被发现的漏洞也越来越多。但是毕竟主流的攻击方式仍旧是那些,比如注入,未授权等等;这些问题的出现也都是因为配置不当而造成的。
默认端口:389
攻击方式:
注入攻击:盲注
未授权访问:
爆破:弱口令
案例分享:
LDAP注入与防御剖析
欧朋LDAP服务匿名访问
使用LDAP查询快速提升域权限
远程连接服务端口渗透
 
SSH服务
 
SSH服务:这个服务基本会出现在我们的Linux服务器,网络设备,安全设备等设备上,而且很多时候这个服务的配置都是默认的;对于SSH服务我们可能使用爆破攻击方式较多。
默认端口:22
攻击方式
爆破:弱口令、
漏洞:28退格漏洞、OpenSSL漏洞
案例分享:
安宇创新科技ssh弱口令
宜信贷某站存在OpenSSL漏洞

Telnet服务
 
Telnet服务:在SSH服务崛起的今天我们已经很难见到使用telnet的服务器,但是在很多设备上同样还是有这个服务的;比如cisco、华三,深信服等厂商的设备;我就有很多次通过telnet弱口令控制这些设备;
默认端口:23
攻击方式
爆破:弱口令
嗅探:此种情况一般发生在局域网;
案例分享:
大量惠普打印机远程telnet可被查看和操作
 
Windows远程连接
 
远程桌面连接:作为windows上进行远程连接的端口,很多时候我们在得到系统为windows的shell的时候我们总是希望可以登录3389实际操作对方电脑;这个时候我们一般的情况分为两种。一种是内网,需要先将目标机3389端口反弹到外网;另一种就是外网,我们可以直接访问;当然这两种情况我们利用起来可能需要很苛刻的条件,比如找到登录密码等等;
默认端口:3389
攻击方式:
爆破:3389端口爆破工具就有点多了
Shift粘滞键后门:5次shift后门
3389漏洞攻击:利用ms12-020攻击3389端口,导致服务器关机;http://blog.163.com/rz_xiaojia/blog/static/119209198201251195340629/
 
VNC服务
 
VNC:一款优秀的远控工具,常用语类UNIX系统上,简单功能强大;也
默认端口:5900+桌面ID(5901;5902)
攻击方式:
爆破:弱口令
认证口令绕过:
拒绝服务攻击:(CVE-2015-5239)
权限提升:(CVE-2013-6886)
案例分享:
广西电信客服服务器使用VNC存在弱口令可直接控制
 
Pcanywhere服务
 
PyAnywhere服务:一款远控工具,有点类似vnc的功能;这个服务在以前很多黑客发的视频里面都有,利用pcanywhere来进行提权;
默认端口:5632
攻击方式:
提权控制服务:
拒绝服务攻击:
代码执行:
案例分享:
黑龙江物价局多处安全漏洞可能导致服务器沦陷(pcAnywhere提权+密码突破)
 
Web应用服务端口渗透
 
HTTP服务:对于http服务其实是我们目前这几年比较常见的攻击入口,所以这里会针对http服务进行一个详细的详解;
注:这个板块的所有攻击方式,如果涉及到常规的web漏洞不会提出来,除非是特定的服务器才会产生的漏洞;
IIS服务
 
默认端口:80/81/443
攻击方式:
IIS
PUT写文件:利用IIS漏洞,put方法直接将文件放置到服务器上
短文件名泄漏:这种一般没啥影响
解析漏洞:详细见apache服务
案例分享:
徐州市教育系统大量IIS PUT漏洞
用友软件IIS写权限(PUT)导致可获取webshell控制服务器
国家电网某分站存在iis短文件名漏洞
 
Apache/Tomcat/Nginx/Axis2
 
默认端口:80/8080
攻击方式:
爆破:弱口令(爆破manager后台)
HTTP慢速攻击:可以把服务器打死,对一些大型的网站有影响;
解析漏洞:请参考
案例分享:
安卓开发平台存在上传漏洞和Apache解析漏洞,成功获取webshell
腾讯分站Apache漏洞
 
WebLogic
 
默认端口:7001
攻击方式:
爆破:弱口令4组:用户名密码均一致:system weblogic(密码可能weblogic123)portaladmin guest
Congsole后台部署webshell:
Java反序列化:
泄漏源代码/列目录:这个太老了,估计网上都没有了吧!
SSRF窥探内网:央视网SSRF可窥探内网
案列分享:
福建省人力资源和社会保障厅下属某WEBLOGIC弱口令
利用Weblogic进行入侵的一些总结
 
Jboss
 
默认端口8080;其他端口1098/1099/4444/4445/8080/8009/8083/8093
攻击方式:
爆破:弱口令(爆破jboss系统后台)
远程代码执行:http://www.cnblogs.com/Safe3/archive/2010/01/08/1642371.html
Java反序列化:
案例分享
中华人民共和国民政部JBoss配置不当
JBOSS安全问题总结
中国科学院某处jboss应用漏洞
 
Websphere
 
默认端口:908*;第一个应用就是9080,第二个就是9081;控制台9090
攻击方式:
爆破:弱口令(控制台)
任意文件泄漏:(CVE-2014-0823)
Java反序列化
案例分享:
中国电信某通用型业务系统(Websphere)GetShell漏洞
大汉网络有限公司远程命令执行漏洞(WebSphere案例)
 
GlassFish
 
默认端口:http 8080;IIOP 3700;控制台4848
攻击方式:
爆破:弱口令(对于控制台)
任意文件读取:
认证绕过:
案例分享:
应用服务器glassfish存在通用任意文件读取漏洞
Oracle GlassFish Server认证绕过 http://www.tuicool.com/articles/ZRJriy
 
Jenkins
 
默认端口:8080、8089
攻击方式:
爆破:弱口令(默认管理员)
未授权访问:
反序列化:
案例分享:
酷6Jenkins系统未授权访问可执行系统命令
 
Resin
 
默认端口:8080
攻击方式:
目录遍历
远程文件读取
案例分享:
爱奇艺Resin配置漏洞
Resin漏洞利用案例之目录遍历/以金蝶某系统为例
 
Jetty
 
默认端口:8080
攻击方式:
远程共享缓冲区溢出
 
Lotus
 
影响的都是一些大型的企业,特别需要注意,经过以前的测试发现弱口令这个问题经常都存在,可能是很多管理员不知道如何去修改(不要打我)。
默认端口:1352
攻击方式:
爆破:弱口令(admin password)控制台
信息泄露
跨站脚本攻击
案例分享:
Lotus Domino WebMail一处越权访问
中电投集团某系统弱口令直达内网涉及/OA系统/内部邮箱/财务系统/人力资源系统
中国某大型金融机构地方业务弱口令导致数万商户信息泄露&访问Lotus Domino后台
数据库服务端口渗透
 
针对所有的数据库攻击方式都存在SQL注入,这里先提出来在下面就不一一写了免得大家说我占篇幅;当然不同的数据库注入技巧可能不一样,特别是NoSQL与传统的SQL数据库不太一样。但是这不是本文需要介绍的重点,后面有时间会写一篇不同数据库的渗透技巧。
 
MySQL数据库
 
默认端口:3306
攻击方式:
爆破:弱口令
身份认证漏洞:CVE-2012-2122 http://www.freebuf.com/vuls/3815.html
拒绝服务攻击:利用sql语句是服务器进行死循环打死服务器
Phpmyadmin万能密码绕过:用户名:‘localhost’@’@”密码任意
案例分享:
漏洞分享 https://www.seebug.org/appdir/MySQL
和讯网某站点存在mysql注入漏洞
MySQL提权总结 http://www.waitalone.cn/mysql-tiquan-summary.html?replytocom=390
 
MSSQL数据库
 
默认端口:1433(Server数据库服务)、1434(Monitor数据库监控)
攻击方式:
爆破:弱口令/使用系统用户
案例分享:
MSSQL注射总结
上海安脉综合管理系统mssql注射漏洞
解密MSSQL连接数据库密码
从攻击MSSQL到提权:使用msf针对mssql的一次完整渗透 http://www.freebuf.com/articles/database/22997.html
 
Oracle数据库
 
默认端口:1521(数据库端口)、1158(Oracle EMCTL端口)、8080(Oracle XDB数据库)、210(Oracle XDB FTP服务)
攻击方式:
爆破:弱口令
注入攻击;
漏洞攻击;
案例分享:
Oracle盲注结合XXE漏洞远程获取数据
 
PostgreSQL数据库
 
PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统,可以说是目前世界上最先进,功能最强大的自由数据库管理系统。包括我们kali系统中msf也使用这个数据库;浅谈postgresql数据库攻击技术大部分关于它的攻击依旧是sql注入,所以注入才是数据库不变的话题。
默认端口:5432
攻击方式:
爆破:弱口令:postgres postgres
缓冲区溢出:CVE-2014-2669
案例分享:
Hacking postgresql
关于postgresql的那些事
 
MongoDB数据库
 
MongoDB:NoSQL数据库;攻击方法与其他数据库类似;关于它的安全讲解:请在乌云镜像库搜索
默认端口:27017
攻击方式:
爆破:弱口令
未授权访问;github有攻击代码;https://github.com/yangbh/Hammer/blob/master/plugins/System/mongodb_unauth_access.py
案例分享:
MongoDB phpMoAdmin远程代码执行  http://bobao.360.cn/learning/detail/274.html
搜狐MongoDB未授权访问
新浪微米未授权访问
解决MongoDB各种隐患问题
 
Redis数据库
 
redis:是一个开源的使用c语言写的,支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年还是很火的,暴露出来的问题也很多。特别是前段时间暴露的未授权访问。Exp:https://yunpan.cn/cYjzHxawFpyVt访问密码e547
默认端口:6379
攻击方式:
爆破:弱口令
未授权访问+配合ssh key提权;
案例分享:
中国铁建网redis+ssh-keygen免认证登录
 
SysBase数据库
 
默认端口:服务端口5000;监听端口4100;备份端口:4200
攻击方式:
爆破:弱口令
命令注入:
案例分享:
广西自考信息系统Sybase数据库注入
Sybase EAServer命令注入漏洞 http://www.venustech.com.cn/NewsInfo/124/22061.Html
 
DB2数据库
 
默认端口:5000
攻击方式:
安全限制绕过:成功后可执行未授权操作(CVE-2015-1922)
案例分享:
哈尔滨银行主站DB2注入
总结一下:对于数据库,我们得知端口很多时候可以帮助我们去渗透,比如得知mysql的数据库,我们就可以使用SQL注入进行mof、udf等方式提权;如果是mssql我们就可以使用xp_cmdshell来进行提权;如果是其它的数据库,我们也可以采用对应的方式;比如各大数据库对应它们的默认口令,版本对应的漏洞!
顺便提一下:很多时候银行企业采用的都是oracle、db2等大型数据库;
邮件服务端口渗透
 
SMTP协议
 
smtp:邮件协议,在linux中默认开启这个服务,可以向对方发送钓鱼邮件!
默认端口:25(smtp)、465(smtps)
攻击方式:
爆破:弱口令
未授权访问
案例分享:
腾讯邮箱smtp注册时间限制绕过漏洞
邮件伪造详解
qq邮箱伪造发件地址,容易被钓鱼利用
众多厂商邮件系统配置不当可伪造邮件人
 
POP3协议
 
默认端口:109(POP2)、110(POP3)、995(POP3S)
攻击方式:
爆破;弱口令
未授权访问;
案例分享:
中国联通沃邮箱等部分Android客户端免密码登陆(可获取任意联通用户pop3密码)
中航信邮箱密码泄漏及VPN账号和大量邮箱弱口令导致可内网漫游拿到域控
 
IMAP协议
 
默认端口:143(imap)、993(imaps)
攻击方式:
爆破:弱口令
配置不当
案例分享:
163邮箱二次验证饶过缺陷
南方周末邮件服务器任意文件读取漏洞
网络常见协议端口渗透
 
DNS服务
 
默认端口:53
攻击方式:
区域传输漏洞

案例分享:
全球Top1000Websites中存在DNS区域传送漏洞的网站列表
团购王某站DNS域传送漏洞
DNS泛解析与内容投毒
 
DHCP服务
 
默认端口:67&68、546(DHCP Failover做双机热备的)
攻击方式:
DHCP劫持;

案例分享:
流氓DHCP服务器内网攻击测试http://www.freebuf.com/articles/network/74995.html
 
SNMP协议
 
默认端口:161
攻击方式:
爆破:弱口令
案例分享:
snmp弱口令引起的信息泄漏
基于snmp的反射攻击的理论及其实现
华为某服务器SNMP弱口令
其他端口渗透
 
Hadoop文件服务
 
默认端口:请参考 http://hsrong.iteye.com/blog/1374734
案例分享:
Apache Hadoop远程命令执行
新浪漏洞系列第六弹–大量hadoop应用对外访问
 
Zookeeper服务
 
zookeeper:分布式的,开放源码的分布式应用程序协调服务;提供功能包括:配置维护、域名服务、分布式同步、组服务等。详情请参考百度百科
默认端口:2181
攻击方式:
未授权访问;
案例分享:
zookeeper未授权访问漏洞
网上关于这方面的案例暂时不多,但是对于大数据逐渐泛滥的今天,这些漏洞未来会在乌云上出现一大波!
 
Zabbix服务
 
zabbix:基于Web界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。监视各种网络参数,保证服务器系统的安全运营。
默认端口:8069
攻击方式:
远程命令执行:
案例分享:
当渗透遇到zabbix–小谈zabbix安全
Zabbix的前台SQL注射漏洞利用 https://www.secpulse.com/archives/2089.html
网易zabbix运维不当,导致任意命令执行。(可提权、可内网渗透)
 
elasticsearch服务
 
elasticsearch:请百度
默认端口:9200()、9300()
攻击方式:
未授权访问;
远程命令执行;
文件遍历;
低版本webshell植入;
案例分享:
ElasticSearch远程代码执行漏洞 https://www.secpulse.com/archives/5401.html
elasticsearch漏洞利用工具 http://www.freebuf.com/sectool/38025.html
 
memcache服务
 
默认端口:11211
案例分享:
Memcache安全配置
memcache未授权访问漏洞 https://help.aliyun.com/knowledge_detail/37553.html
 
Linux R服务
 
R服务:TCP端口512,513和514为著名的rlogin提供服务。在系统中被错误配置从而允许远程访问者从任何地方访问(标准的,rhosts + +)。
默认端口:512(remote process execution);513(remote login a la
telnet);514(cmd)
攻击方式:
使用rlogin直接登录对方系统;
 
RMI
 
RMI:我们使用这两个端口很少的原因是因为必须是java,而且rmi穿越防火墙并不好穿越;这里我不会去涉及其他的东西,这里提出RMI只是因为在前段时间的java反序列化中,我们的小伙伴Bird写过一个weblogic利用工具,里面涉及到了RMI的一些东西,在有的时候使用socket不能成功时,我们可以使用RMI方式来进行利用;
默认端口:1090()、1099()
攻击方式:
远程命令执行(java反序列化,调用rmi方式执行命令)
这就是RMI的魅力了!
 
Rsync服务
 
Rsync:类UNIX系统下的数据备份工具(remote sync),属于增量备份;关于它的功能,大家自行百度百科吧,其实上面很多大家也看到了说是端口渗透,其实就是端口对应服务的渗透,服务一般出错就在配置或者版本问题上,rsync也不例外。Rsync默认允许匿名访问,如果在配置文件中没有相关的用户认证以及文件授权,就会触发隐患。
默认端口:873
攻击方式:
未授权访问;
本地提权:rsync默认以root运行,利用rsync上传一个文件,只要这个文件具有s权限,我们执行我们的攻击脚本就可以具有root权限。
案例分享:
搜狐几处rsync未授权访问
 
Socket代理
 
默认端口:1080
Socket代理针对代理来说没有什么漏洞,一般只是在渗透过程中作为我们的代理,进入内网,或者渗透域和林的时候有帮助。这里不做过多描述,但是可以尝试爆破一下代理的用户名和密码,万一运气好能登录,不也~~~~
案例分享:
利用php socket5代理渗透内网
 
0x02图解端口渗透
 

 
端口号    端口说明    攻击技巧
21/22/69    ftp/tftp:文件传输协议    爆破
嗅探
溢出;后门
22    ssh:远程连接    爆破
OpenSSH;28个退格
23    telnet:远程连接    爆破
嗅探
25    smtp:邮件服务    邮件伪造
53    DNS:域名系统    DNS区域传输
DNS劫持
DNS缓存投毒
DNS欺骗
深度利用:利用DNS隧道技术刺透防火墙
67/68    dhcp    劫持
欺骗
110    pop3    爆破
139    samba    爆破
未授权访问
远程代码执行
143    imap    爆破
161    snmp    爆破
389    ldap    注入攻击
未授权访问
512/513/514    linux r    直接使用rlogin
873    rsync    未授权访问
1080    socket    爆破:进行内网渗透
1352    lotus    爆破:弱口令
信息泄漏:源代码
1433    mssql    爆破:使用系统用户登录
注入攻击
1521    oracle    爆破:TNS
注入攻击
2049    nfs    配置不当
2181    zookeeper    未授权访问
3306    mysql    爆破
拒绝服务
注入
3389    rdp    爆破
Shift后门
4848    glassfish    爆破:控制台弱口令
认证绕过
5000    sybase/DB2    爆破
注入
5432    postgresql    缓冲区溢出
注入攻击
爆破:弱口令
5632    pcanywhere    拒绝服务
代码执行
5900    vnc    爆破:弱口令
认证绕过
6379    redis    未授权访问
爆破:弱口令
7001    weblogic    Java反序列化
控制台弱口令
控制台部署webshell
80/443/8080    web    常见web攻击
控制台爆破
对应服务器版本漏洞
8069    zabbix    远程命令执行
9090    websphere控制台    爆破:控制台弱口令
Java反序列
9200/9300    elasticsearch    远程代码执行
11211    memcacache    未授权访问
27017    mongodb    爆破
未授权访问


以上所有没有标注链接的案例分享请到http://wooyun.bystudent.com搜索查看,就搜案例分享的名字。楼主到目前为止也还未把案例一一看完,因为牵扯的知识量太大了,案例里面写得非常详细,在此分享给大家希望大家共同进步,secevery越来越好! 查看全部
0x00背景
 
    这篇文章写的很简单,也只描述了几个常见的端口渗透;而且一般我们都是可以修改默认端口的,所以平时在渗透过程中,对端口信息的收集就是一个很重要的过程;然后对症下药就可以更快的渗透进入我们需要的服务器;接下来就详细通过渗透实战对端口的渗透进行更加深入的剖析;
端口渗透过程中我们需要关注几个问题:
1、端口的banner信息
2、端口上运行的服务
3、常见应用的默认端口
当然对于上面这些信息的获取,我们有各式各样的方法,最为常见的应该就是nmap了,我们也可以结合其他的端口扫描工具,比如专门的3389、1433等等的端口扫描工具;

服务默认端口
 
公认端口(Well Known Ports):0-1023,他们紧密绑定了一些服务;
注册端口(Registered Ports):1024-49151,他们松散的绑定了一些服务;
动态/私有:49152-65535,不为服务分配这些端口;
当然这些端口都可以通过修改来达到欺骗攻击者的目的,但是这就安全了吗?攻击者又可以使用什么攻击方式来攻击这些端口呢?
还需要注明的一点是:很多木马工具也有特定的端口,本文并没有涉及到这块的内容,大家可以自己去收集收集!


0x01实战测试
 
文件共享服务端口渗透
 
ftp服务
 
FTP服务:ftp服务我分为两种情况,第一种是使用系统软件来配置,比如IIS中的FTP文件共享或Linux中的默认服务软件;第二种是通过第三方软件来配置,比如Serv-U还有一些网上写的简易ftp服务器等;
默认端口:20(数据端口);21(控制端口);69(tftp小型文件传输协议)
攻击方式:
爆破:ftp的爆破工具有很多,这里我推荐owasp的Brut以及msf中ftp爆破模块;
匿名访问:用户名:anonymous 密码:为空或任意邮箱
用户名:FTP 密码:FTP或为空
用户名:USER 密码:pass
当然还有不需要用户名密码直接访问的,一般出现在局域网中;

嗅探:ftp使用明文传输技术(但是嗅探给予局域网并需要欺骗或监听网关)

后门技术:在linux的vsftp某一版本中,存在着一个后门程序,只要在用户名后面加上:)这个笑脸符号,就会在6200上打开一个监听Shell,我们可以使用telnet直接连接;详细http://www.freebuf.com/articles/system/34571.html
远程溢出漏洞:6.10.1 IIS FTP远程溢出漏洞,在IIS FTP服务器中NLST命令存在一个缓冲区溢出漏洞,这个漏洞可能是攻击者在服务器运行一条非法命令。
跳转攻击:(Bounce Attacks)攻击者发送一个FTP”PORT”命令给目标FTP服务器,其中包含该主机的网络地址和被攻击的服务的端口号。这样,客户端就能命令FTP服务器发一个文件给被攻击的服务。这个文件可能包括根被攻击的服务有关的命令(如SMTP,NNTP等)。由于是命令第三方去连接到一种服务,而不是直接连接,就使得跟踪攻击者变得困难,并且还避开了基于网络地址的访问限制。
 
NFS服务
 
nfs:网络文件系统,允许网络中的计算机通过TCP/IP网络共享资源。基于Linux系统,配置方面很简单,详细配置请参考案例分享。在nfs配置中,有不做任何限制的,有限制用户,有限制IP,以及在版本2.x中我们还可以使用证书来验证用户。当然不同的限制可以采用的攻击方式也不一样;就目前而言网上关于nfs的攻击还是比较少的!
默认端口:2049
攻击方式:
未授权访问:未限制IP以及用户权限设置错误

NFS服务全攻略:http://www.360doc.com/content/11/0410/14/2054285_108598426.shtml
 
Samba服务
 
Samba服务:对于这个可以在windows与Linux之间进行共享文件的服务同样是我们攻击的关注点;samba登录分为两种方式,一种是需要用户名口令;另一种是不需要用户名口令。在很多时候不光是pc机,还有一些服务器,网络设备都开放着此服务,方便进行文件共享,但是同时也给攻击者提供了便利。
默认端口:137(主要用户NetBIOS Name Service;NetBIOS名称服务)、139(NetBIOS Session Service,主要提供samba服务)
攻击方式:
爆破:弱口令(爆破工具采用hydra)hydra -l username -P
PassFile IP smb
未授权访问:给予public用户高权限
远程代码执行漏洞:CVE-2015-0240等等
案例分享:
Samba远程代码执行漏洞 https://www.secpulse.com/archives/5975.html
 
LDAP协议
 
ldap:轻量级目录访问协议,最近几年随着ldap的广泛使用被发现的漏洞也越来越多。但是毕竟主流的攻击方式仍旧是那些,比如注入,未授权等等;这些问题的出现也都是因为配置不当而造成的。
默认端口:389
攻击方式:
注入攻击:盲注
未授权访问:
爆破:弱口令
案例分享:
LDAP注入与防御剖析
欧朋LDAP服务匿名访问
使用LDAP查询快速提升域权限
远程连接服务端口渗透
 
SSH服务
 
SSH服务:这个服务基本会出现在我们的Linux服务器,网络设备,安全设备等设备上,而且很多时候这个服务的配置都是默认的;对于SSH服务我们可能使用爆破攻击方式较多。
默认端口:22
攻击方式
爆破:弱口令、
漏洞:28退格漏洞、OpenSSL漏洞
案例分享:
安宇创新科技ssh弱口令
宜信贷某站存在OpenSSL漏洞

Telnet服务
 
Telnet服务:在SSH服务崛起的今天我们已经很难见到使用telnet的服务器,但是在很多设备上同样还是有这个服务的;比如cisco、华三,深信服等厂商的设备;我就有很多次通过telnet弱口令控制这些设备;
默认端口:23
攻击方式
爆破:弱口令
嗅探:此种情况一般发生在局域网;
案例分享:
大量惠普打印机远程telnet可被查看和操作
 
Windows远程连接
 

远程桌面连接:作为windows上进行远程连接的端口,很多时候我们在得到系统为windows的shell的时候我们总是希望可以登录3389实际操作对方电脑;这个时候我们一般的情况分为两种。一种是内网,需要先将目标机3389端口反弹到外网;另一种就是外网,我们可以直接访问;当然这两种情况我们利用起来可能需要很苛刻的条件,比如找到登录密码等等;
默认端口:3389
攻击方式:
爆破:3389端口爆破工具就有点多了
Shift粘滞键后门:5次shift后门
3389漏洞攻击:利用ms12-020攻击3389端口,导致服务器关机;http://blog.163.com/rz_xiaojia/blog/static/119209198201251195340629/
 
VNC服务
 
VNC:一款优秀的远控工具,常用语类UNIX系统上,简单功能强大;也
默认端口:5900+桌面ID(5901;5902)
攻击方式:
爆破:弱口令
认证口令绕过:
拒绝服务攻击:(CVE-2015-5239)
权限提升:(CVE-2013-6886)
案例分享:
广西电信客服服务器使用VNC存在弱口令可直接控制
 
Pcanywhere服务
 
PyAnywhere服务:一款远控工具,有点类似vnc的功能;这个服务在以前很多黑客发的视频里面都有,利用pcanywhere来进行提权;
默认端口:5632
攻击方式:
提权控制服务:
拒绝服务攻击:
代码执行:
案例分享:
黑龙江物价局多处安全漏洞可能导致服务器沦陷(pcAnywhere提权+密码突破)
 
Web应用服务端口渗透
 
HTTP服务:对于http服务其实是我们目前这几年比较常见的攻击入口,所以这里会针对http服务进行一个详细的详解;
注:这个板块的所有攻击方式,如果涉及到常规的web漏洞不会提出来,除非是特定的服务器才会产生的漏洞;
IIS服务
 
默认端口:80/81/443
攻击方式:
IIS
PUT写文件:利用IIS漏洞,put方法直接将文件放置到服务器上
短文件名泄漏:这种一般没啥影响
解析漏洞:详细见apache服务
案例分享:
徐州市教育系统大量IIS PUT漏洞
用友软件IIS写权限(PUT)导致可获取webshell控制服务器
国家电网某分站存在iis短文件名漏洞
 
Apache/Tomcat/Nginx/Axis2
 
默认端口:80/8080
攻击方式:
爆破:弱口令(爆破manager后台)
HTTP慢速攻击:可以把服务器打死,对一些大型的网站有影响;
解析漏洞:请参考
案例分享:
安卓开发平台存在上传漏洞和Apache解析漏洞,成功获取webshell
腾讯分站Apache漏洞
 
WebLogic
 
默认端口:7001
攻击方式:
爆破:弱口令4组:用户名密码均一致:system weblogic(密码可能weblogic123)portaladmin guest
Congsole后台部署webshell:
Java反序列化:
泄漏源代码/列目录:这个太老了,估计网上都没有了吧!
SSRF窥探内网:央视网SSRF可窥探内网
案列分享:
福建省人力资源和社会保障厅下属某WEBLOGIC弱口令
利用Weblogic进行入侵的一些总结
 
Jboss
 
默认端口8080;其他端口1098/1099/4444/4445/8080/8009/8083/8093
攻击方式:
爆破:弱口令(爆破jboss系统后台)
远程代码执行:http://www.cnblogs.com/Safe3/archive/2010/01/08/1642371.html
Java反序列化:
案例分享
中华人民共和国民政部JBoss配置不当
JBOSS安全问题总结
中国科学院某处jboss应用漏洞
 
Websphere
 
默认端口:908*;第一个应用就是9080,第二个就是9081;控制台9090
攻击方式:
爆破:弱口令(控制台)
任意文件泄漏:(CVE-2014-0823)
Java反序列化
案例分享:
中国电信某通用型业务系统(Websphere)GetShell漏洞
大汉网络有限公司远程命令执行漏洞(WebSphere案例)
 
GlassFish
 
默认端口:http 8080;IIOP 3700;控制台4848
攻击方式:
爆破:弱口令(对于控制台)
任意文件读取:
认证绕过:
案例分享:
应用服务器glassfish存在通用任意文件读取漏洞
Oracle GlassFish Server认证绕过 http://www.tuicool.com/articles/ZRJriy
 
Jenkins
 
默认端口:8080、8089
攻击方式:
爆破:弱口令(默认管理员)
未授权访问:
反序列化:
案例分享:
酷6Jenkins系统未授权访问可执行系统命令
 
Resin
 
默认端口:8080
攻击方式:
目录遍历
远程文件读取
案例分享:
爱奇艺Resin配置漏洞
Resin漏洞利用案例之目录遍历/以金蝶某系统为例
 
Jetty
 
默认端口:8080
攻击方式:
远程共享缓冲区溢出
 
Lotus
 
影响的都是一些大型的企业,特别需要注意,经过以前的测试发现弱口令这个问题经常都存在,可能是很多管理员不知道如何去修改(不要打我)。
默认端口:1352
攻击方式:
爆破:弱口令(admin password)控制台
信息泄露
跨站脚本攻击
案例分享:
Lotus Domino WebMail一处越权访问
中电投集团某系统弱口令直达内网涉及/OA系统/内部邮箱/财务系统/人力资源系统
中国某大型金融机构地方业务弱口令导致数万商户信息泄露&访问Lotus Domino后台
数据库服务端口渗透
 
针对所有的数据库攻击方式都存在SQL注入,这里先提出来在下面就不一一写了免得大家说我占篇幅;当然不同的数据库注入技巧可能不一样,特别是NoSQL与传统的SQL数据库不太一样。但是这不是本文需要介绍的重点,后面有时间会写一篇不同数据库的渗透技巧。
 
MySQL数据库
 
默认端口:3306
攻击方式:
爆破:弱口令
身份认证漏洞:CVE-2012-2122 http://www.freebuf.com/vuls/3815.html
拒绝服务攻击:利用sql语句是服务器进行死循环打死服务器
Phpmyadmin万能密码绕过:用户名:‘localhost’@’@”密码任意
案例分享:
漏洞分享 https://www.seebug.org/appdir/MySQL
和讯网某站点存在mysql注入漏洞
MySQL提权总结 http://www.waitalone.cn/mysql-tiquan-summary.html?replytocom=390
 
MSSQL数据库
 
默认端口:1433(Server数据库服务)、1434(Monitor数据库监控)
攻击方式:
爆破:弱口令/使用系统用户
案例分享:
MSSQL注射总结
上海安脉综合管理系统mssql注射漏洞
解密MSSQL连接数据库密码
从攻击MSSQL到提权:使用msf针对mssql的一次完整渗透 http://www.freebuf.com/articles/database/22997.html
 
Oracle数据库
 
默认端口:1521(数据库端口)、1158(Oracle EMCTL端口)、8080(Oracle XDB数据库)、210(Oracle XDB FTP服务)
攻击方式:
爆破:弱口令
注入攻击;
漏洞攻击;
案例分享:
Oracle盲注结合XXE漏洞远程获取数据
 
PostgreSQL数据库
 
PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统,可以说是目前世界上最先进,功能最强大的自由数据库管理系统。包括我们kali系统中msf也使用这个数据库;浅谈postgresql数据库攻击技术大部分关于它的攻击依旧是sql注入,所以注入才是数据库不变的话题。
默认端口:5432
攻击方式:
爆破:弱口令:postgres postgres
缓冲区溢出:CVE-2014-2669
案例分享:
Hacking postgresql
关于postgresql的那些事
 
MongoDB数据库
 
MongoDB:NoSQL数据库;攻击方法与其他数据库类似;关于它的安全讲解:请在乌云镜像库搜索
默认端口:27017
攻击方式:
爆破:弱口令
未授权访问;github有攻击代码;https://github.com/yangbh/Hammer/blob/master/plugins/System/mongodb_unauth_access.py
案例分享:
MongoDB phpMoAdmin远程代码执行  http://bobao.360.cn/learning/detail/274.html
搜狐MongoDB未授权访问
新浪微米未授权访问
解决MongoDB各种隐患问题
 
Redis数据库
 
redis:是一个开源的使用c语言写的,支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年还是很火的,暴露出来的问题也很多。特别是前段时间暴露的未授权访问。Exp:https://yunpan.cn/cYjzHxawFpyVt访问密码e547
默认端口:6379
攻击方式:
爆破:弱口令
未授权访问+配合ssh key提权;
案例分享:
中国铁建网redis+ssh-keygen免认证登录
 
SysBase数据库
 
默认端口:服务端口5000;监听端口4100;备份端口:4200
攻击方式:
爆破:弱口令
命令注入:
案例分享:
广西自考信息系统Sybase数据库注入
Sybase EAServer命令注入漏洞 http://www.venustech.com.cn/NewsInfo/124/22061.Html
 
DB2数据库
 
默认端口:5000
攻击方式:
安全限制绕过:成功后可执行未授权操作(CVE-2015-1922)
案例分享:
哈尔滨银行主站DB2注入
总结一下:对于数据库,我们得知端口很多时候可以帮助我们去渗透,比如得知mysql的数据库,我们就可以使用SQL注入进行mof、udf等方式提权;如果是mssql我们就可以使用xp_cmdshell来进行提权;如果是其它的数据库,我们也可以采用对应的方式;比如各大数据库对应它们的默认口令,版本对应的漏洞!
顺便提一下:很多时候银行企业采用的都是oracle、db2等大型数据库;
邮件服务端口渗透
 
SMTP协议
 
smtp:邮件协议,在linux中默认开启这个服务,可以向对方发送钓鱼邮件!
默认端口:25(smtp)、465(smtps)
攻击方式:
爆破:弱口令
未授权访问
案例分享:
腾讯邮箱smtp注册时间限制绕过漏洞
邮件伪造详解
qq邮箱伪造发件地址,容易被钓鱼利用
众多厂商邮件系统配置不当可伪造邮件人
 
POP3协议
 
默认端口:109(POP2)、110(POP3)、995(POP3S)
攻击方式:
爆破;弱口令
未授权访问;
案例分享:
中国联通沃邮箱等部分Android客户端免密码登陆(可获取任意联通用户pop3密码)
中航信邮箱密码泄漏及VPN账号和大量邮箱弱口令导致可内网漫游拿到域控
 
IMAP协议
 
默认端口:143(imap)、993(imaps)
攻击方式:
爆破:弱口令
配置不当
案例分享:
163邮箱二次验证饶过缺陷
南方周末邮件服务器任意文件读取漏洞
网络常见协议端口渗透
 
DNS服务
 
默认端口:53
攻击方式:
区域传输漏洞

案例分享:
全球Top1000Websites中存在DNS区域传送漏洞的网站列表
团购王某站DNS域传送漏洞
DNS泛解析与内容投毒
 
DHCP服务
 
默认端口:67&68、546(DHCP Failover做双机热备的)
攻击方式:
DHCP劫持;

案例分享:
流氓DHCP服务器内网攻击测试http://www.freebuf.com/articles/network/74995.html
 
SNMP协议
 
默认端口:161
攻击方式:
爆破:弱口令
案例分享:
snmp弱口令引起的信息泄漏
基于snmp的反射攻击的理论及其实现
华为某服务器SNMP弱口令
其他端口渗透
 
Hadoop文件服务
 
默认端口:请参考 http://hsrong.iteye.com/blog/1374734
案例分享:
Apache Hadoop远程命令执行
新浪漏洞系列第六弹–大量hadoop应用对外访问
 
Zookeeper服务
 
zookeeper:分布式的,开放源码的分布式应用程序协调服务;提供功能包括:配置维护、域名服务、分布式同步、组服务等。详情请参考百度百科
默认端口:2181
攻击方式:
未授权访问;
案例分享:
zookeeper未授权访问漏洞
网上关于这方面的案例暂时不多,但是对于大数据逐渐泛滥的今天,这些漏洞未来会在乌云上出现一大波!
 
Zabbix服务
 
zabbix:基于Web界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。监视各种网络参数,保证服务器系统的安全运营。
默认端口:8069
攻击方式:
远程命令执行:
案例分享:
当渗透遇到zabbix–小谈zabbix安全
Zabbix的前台SQL注射漏洞利用 https://www.secpulse.com/archives/2089.html
网易zabbix运维不当,导致任意命令执行。(可提权、可内网渗透)
 
elasticsearch服务
 
elasticsearch:请百度
默认端口:9200()、9300()
攻击方式:
未授权访问;
远程命令执行;
文件遍历;
低版本webshell植入;
案例分享:
ElasticSearch远程代码执行漏洞 https://www.secpulse.com/archives/5401.html
elasticsearch漏洞利用工具 http://www.freebuf.com/sectool/38025.html
 
memcache服务
 
默认端口:11211
案例分享:
Memcache安全配置
memcache未授权访问漏洞 https://help.aliyun.com/knowledge_detail/37553.html
 
Linux R服务
 
R服务:TCP端口512,513和514为著名的rlogin提供服务。在系统中被错误配置从而允许远程访问者从任何地方访问(标准的,rhosts + +)。
默认端口:512(remote process execution);513(remote login a la
telnet);514(cmd)
攻击方式:
使用rlogin直接登录对方系统;
 
RMI
 
RMI:我们使用这两个端口很少的原因是因为必须是java,而且rmi穿越防火墙并不好穿越;这里我不会去涉及其他的东西,这里提出RMI只是因为在前段时间的java反序列化中,我们的小伙伴Bird写过一个weblogic利用工具,里面涉及到了RMI的一些东西,在有的时候使用socket不能成功时,我们可以使用RMI方式来进行利用;
默认端口:1090()、1099()
攻击方式:
远程命令执行(java反序列化,调用rmi方式执行命令)
这就是RMI的魅力了!
 
Rsync服务
 
Rsync:类UNIX系统下的数据备份工具(remote sync),属于增量备份;关于它的功能,大家自行百度百科吧,其实上面很多大家也看到了说是端口渗透,其实就是端口对应服务的渗透,服务一般出错就在配置或者版本问题上,rsync也不例外。Rsync默认允许匿名访问,如果在配置文件中没有相关的用户认证以及文件授权,就会触发隐患。
默认端口:873
攻击方式:
未授权访问;
本地提权:rsync默认以root运行,利用rsync上传一个文件,只要这个文件具有s权限,我们执行我们的攻击脚本就可以具有root权限。
案例分享:
搜狐几处rsync未授权访问
 
Socket代理
 
默认端口:1080
Socket代理针对代理来说没有什么漏洞,一般只是在渗透过程中作为我们的代理,进入内网,或者渗透域和林的时候有帮助。这里不做过多描述,但是可以尝试爆破一下代理的用户名和密码,万一运气好能登录,不也~~~~
案例分享:
利用php socket5代理渗透内网
 
0x02图解端口渗透
 

 
端口号    端口说明    攻击技巧
21/22/69    ftp/tftp:文件传输协议    爆破
嗅探
溢出;后门
22    ssh:远程连接    爆破
OpenSSH;28个退格
23    telnet:远程连接    爆破
嗅探
25    smtp:邮件服务    邮件伪造
53    DNS:域名系统    DNS区域传输
DNS劫持
DNS缓存投毒
DNS欺骗
深度利用:利用DNS隧道技术刺透防火墙
67/68    dhcp    劫持
欺骗
110    pop3    爆破
139    samba    爆破
未授权访问
远程代码执行
143    imap    爆破
161    snmp    爆破
389    ldap    注入攻击
未授权访问
512/513/514    linux r    直接使用rlogin
873    rsync    未授权访问
1080    socket    爆破:进行内网渗透
1352    lotus    爆破:弱口令
信息泄漏:源代码
1433    mssql    爆破:使用系统用户登录
注入攻击
1521    oracle    爆破:TNS
注入攻击
2049    nfs    配置不当
2181    zookeeper    未授权访问
3306    mysql    爆破
拒绝服务
注入
3389    rdp    爆破
Shift后门
4848    glassfish    爆破:控制台弱口令
认证绕过
5000    sybase/DB2    爆破
注入
5432    postgresql    缓冲区溢出
注入攻击
爆破:弱口令
5632    pcanywhere    拒绝服务
代码执行
5900    vnc    爆破:弱口令
认证绕过
6379    redis    未授权访问
爆破:弱口令
7001    weblogic    Java反序列化
控制台弱口令
控制台部署webshell
80/443/8080    web    常见web攻击
控制台爆破
对应服务器版本漏洞
8069    zabbix    远程命令执行
9090    websphere控制台    爆破:控制台弱口令
Java反序列
9200/9300    elasticsearch    远程代码执行
11211    memcacache    未授权访问
27017    mongodb    爆破
未授权访问


以上所有没有标注链接的案例分享请到http://wooyun.bystudent.com搜索查看,就搜案例分享的名字。楼主到目前为止也还未把案例一一看完,因为牵扯的知识量太大了,案例里面写得非常详细,在此分享给大家希望大家共同进步,secevery越来越好!

HellRaiser: 基于端口的漏洞扫描及CVE标识

Web安全渗透Mosuan 发表了文章 • 3 个评论 • 447 次浏览 • 2016-09-22 16:58 • 来自相关话题

转自:http://www.mottoin.com/89085.html
 项目地址:https://github.com/m0nad/HellRaiser
 
环境:

安装ruby,bundler 与 rails. https://gorails.com/setup/ubuntu/16.04
安装 redis-server与 nmap.sudo apt-get update
sudo apt-get install redis-server nmap

git clone https://github.com/m0nad/HellRaiser/
cd HellRaiser/hellraiser/
bundle install
bundle exec rake db:migrate启动 redis服务
redis-server

启动Sidekiq
bundle exec sidekiq

启动redis
rails s访问:http://127.0.0.1:3000 查看全部
转自:http://www.mottoin.com/89085.html
 项目地址:https://github.com/m0nad/HellRaiser
 
环境:

安装ruby,bundler 与 rails. https://gorails.com/setup/ubuntu/16.04
安装 redis-server与 nmap.
sudo apt-get update
sudo apt-get install redis-server nmap

git clone https://github.com/m0nad/HellRaiser/
cd HellRaiser/hellraiser/
bundle install
bundle exec rake db:migrate
启动 redis服务
redis-server

启动Sidekiq
bundle exec sidekiq

启动redis
rails s
访问:http://127.0.0.1:3000

WEB踩点

Web安全渗透小六儿~ 发表了文章 • 2 个评论 • 365 次浏览 • 2016-09-22 14:46 • 来自相关话题

 对于白帽子来说,在开始渗透之前,必须先完成信息收集,那么信息收集的第一步是什么呢?就是WEB踩点。  
一、什么是踩点
踩点:就是对指定目标进行系统的网站信息收集,攻击者将尽可能多的收集目标单位的安全情况的方方面面。

二、为什么要踩点  
知己知彼,百战不殆。  
每个人都有自己的习惯、思维方式,发掘他的习惯、思维方式,就是他的弱点。踩点是最辛苦的任务之一,它也是最枯燥的,同样也是最重要的任务之一。

三、WEB踩点的常见手段
 
0x01  网站共享主机(旁注)  
旁注是网络上比较流行的一种入侵方法,在字面上解释就是"从旁注入",利用同一主机上面不同网站的漏洞得到 webshell,从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。  
网站共享主机漏洞是更为严谨的学术叫法。    

- 关于c段旁注    
旁注与C段嗅探的意义,旁注的意思就是从同台服务器上的其他网站入手,提权,然后把服务器端了,就自然把那个网站端了。C段嗅探,每个IP有 ABCD 四个段,举个例子192.168.0.1,A段就是192,B段是168,C段0,D 段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255 中的一台服务器,然后利用工具嗅探拿下该服务。     

- 旁站入侵和C段入侵哪个更理想
旁站入侵更为理想。C段嗅探还涉及到提权,ARP。还要等待管理员登陆,才能抓取到密码。

- 常用工具  
k8_c段旁注查询工具

0x02  WHOIS服务
利用whois服务,可以获取与目标相关的具体信息,包括注册人邮箱,IP地址,公司DNS主机名以及地址和电话号码等信息。
 
- whois信息一定可以查到所需要信息的吗?如果查不到是什么原因?  
不一定哦,稍微有安全意识的注册人会设置隐私保护
- 常用工具  
站长之家,爱站网

0x03  二级域名
- 搜索引擎 site指令    
百度,谷歌,必应
- dns区域传送/域名暴力枚举    
fierce 是使用多种技术来扫描目标主机IP地址和主机名的一个DNS服务枚举工具。    
工作原理:先通过查询本地DNS服务器来查询目标DNS服务器,然后使用目标DNS服务器来查找子域名。    
具体命令:fierce -dns ccb.com -threads(线程数) 100

0x04 CDN后的真实IP
 
- CDN概述    
CDN的全称是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决Internet网络拥挤的状况,% 查看全部
 对于白帽子来说,在开始渗透之前,必须先完成信息收集,那么信息收集的第一步是什么呢?就是WEB踩点。  
一、什么是踩点
踩点:就是对指定目标进行系统的网站信息收集,攻击者将尽可能多的收集目标单位的安全情况的方方面面。

二、为什么要踩点  
知己知彼,百战不殆。  
每个人都有自己的习惯、思维方式,发掘他的习惯、思维方式,就是他的弱点。踩点是最辛苦的任务之一,它也是最枯燥的,同样也是最重要的任务之一。

三、WEB踩点的常见手段
 
0x01  网站共享主机(旁注)  
旁注是网络上比较流行的一种入侵方法,在字面上解释就是"从旁注入",利用同一主机上面不同网站的漏洞得到 webshell,从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。  
网站共享主机漏洞是更为严谨的学术叫法。    

- 关于c段旁注    
旁注与C段嗅探的意义,旁注的意思就是从同台服务器上的其他网站入手,提权,然后把服务器端了,就自然把那个网站端了。C段嗅探,每个IP有 ABCD 四个段,举个例子192.168.0.1,A段就是192,B段是168,C段0,D 段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255 中的一台服务器,然后利用工具嗅探拿下该服务。     

- 旁站入侵和C段入侵哪个更理想
旁站入侵更为理想。C段嗅探还涉及到提权,ARP。还要等待管理员登陆,才能抓取到密码。

- 常用工具  
k8_c段旁注查询工具

0x02  WHOIS服务
利用whois服务,可以获取与目标相关的具体信息,包括注册人邮箱,IP地址,公司DNS主机名以及地址和电话号码等信息。
 
- whois信息一定可以查到所需要信息的吗?如果查不到是什么原因?  
不一定哦,稍微有安全意识的注册人会设置隐私保护
- 常用工具  
站长之家,爱站网

0x03  二级域名
- 搜索引擎 site指令    
百度,谷歌,必应
- dns区域传送/域名暴力枚举    
fierce 是使用多种技术来扫描目标主机IP地址和主机名的一个DNS服务枚举工具。    
工作原理:先通过查询本地DNS服务器来查询目标DNS服务器,然后使用目标DNS服务器来查找子域名。    
具体命令:fierce -dns ccb.com -threads(线程数) 100

0x04 CDN后的真实IP
 
- CDN概述    
CDN的全称是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决Internet网络拥挤的状况,%

WEB踩点

Web安全渗透小六儿~ 发表了文章 • 0 个评论 • 342 次浏览 • 2016-09-22 14:46 • 来自相关话题

 对于白帽子来说,在开始渗透之前,必须先完成信息收集,那么信息收集的第一步是什么呢?就是WEB踩点。  
一、什么是踩点
踩点:就是对指定目标进行系统的网站信息收集,攻击者将尽可能多的收集目标单位的安全情况的方方面面。

二、为什么要踩点  
知己知彼,百战不殆。  
每个人都有自己的习惯、思维方式,发掘他的习惯、思维方式,就是他的弱点。踩点是最辛苦的任务之一,它也是最枯燥的,同样也是最重要的任务之一。

三、WEB踩点的常见手段
 
0x01  网站共享主机(旁注)  
旁注是网络上比较流行的一种入侵方法,在字面上解释就是"从旁注入",利用同一主机上面不同网站的漏洞得到 webshell,从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。  
网站共享主机漏洞是更为严谨的学术叫法。    

- 关于c段旁注    
旁注与C段嗅探的意义,旁注的意思就是从同台服务器上的其他网站入手,提权,然后把服务器端了,就自然把那个网站端了。C段嗅探,每个IP有 ABCD 四个段,举个例子192.168.0.1,A段就是192,B段是168,C段0,D 段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255 中的一台服务器,然后利用工具嗅探拿下该服务。     

- 旁站入侵和C段入侵哪个更理想
旁站入侵更为理想。C段嗅探还涉及到提权,ARP。还要等待管理员登陆,才能抓取到密码。

- 常用工具  
k8_c段旁注查询工具

0x02  WHOIS服务
利用whois服务,可以获取与目标相关的具体信息,包括注册人邮箱,IP地址,公司DNS主机名以及地址和电话号码等信息。
 
- whois信息一定可以查到所需要信息的吗?如果查不到是什么原因?  
不一定哦,稍微有安全意识的注册人会设置隐私保护
- 常用工具  
站长之家,爱站网

0x03  二级域名
- 搜索引擎 site指令    
百度,谷歌,必应
- dns区域传送/域名暴力枚举    
fierce 是使用多种技术来扫描目标主机IP地址和主机名的一个DNS服务枚举工具。    
工作原理:先通过查询本地DNS服务器来查询目标DNS服务器,然后使用目标DNS服务器来查找子域名。    
具体命令:fierce -dns ccb.com -threads(线程数) 100

0x04 CDN后的真实IP
 
- CDN概述    
CDN的全称是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决Internet网络拥挤的状况,% 查看全部
 对于白帽子来说,在开始渗透之前,必须先完成信息收集,那么信息收集的第一步是什么呢?就是WEB踩点。  
一、什么是踩点
踩点:就是对指定目标进行系统的网站信息收集,攻击者将尽可能多的收集目标单位的安全情况的方方面面。

二、为什么要踩点  
知己知彼,百战不殆。  
每个人都有自己的习惯、思维方式,发掘他的习惯、思维方式,就是他的弱点。踩点是最辛苦的任务之一,它也是最枯燥的,同样也是最重要的任务之一。

三、WEB踩点的常见手段
 
0x01  网站共享主机(旁注)  
旁注是网络上比较流行的一种入侵方法,在字面上解释就是"从旁注入",利用同一主机上面不同网站的漏洞得到 webshell,从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。  
网站共享主机漏洞是更为严谨的学术叫法。    

- 关于c段旁注    
旁注与C段嗅探的意义,旁注的意思就是从同台服务器上的其他网站入手,提权,然后把服务器端了,就自然把那个网站端了。C段嗅探,每个IP有 ABCD 四个段,举个例子192.168.0.1,A段就是192,B段是168,C段0,D 段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255 中的一台服务器,然后利用工具嗅探拿下该服务。     

- 旁站入侵和C段入侵哪个更理想
旁站入侵更为理想。C段嗅探还涉及到提权,ARP。还要等待管理员登陆,才能抓取到密码。

- 常用工具  
k8_c段旁注查询工具

0x02  WHOIS服务
利用whois服务,可以获取与目标相关的具体信息,包括注册人邮箱,IP地址,公司DNS主机名以及地址和电话号码等信息。
 
- whois信息一定可以查到所需要信息的吗?如果查不到是什么原因?  
不一定哦,稍微有安全意识的注册人会设置隐私保护
- 常用工具  
站长之家,爱站网

0x03  二级域名
- 搜索引擎 site指令    
百度,谷歌,必应
- dns区域传送/域名暴力枚举    
fierce 是使用多种技术来扫描目标主机IP地址和主机名的一个DNS服务枚举工具。    
工作原理:先通过查询本地DNS服务器来查询目标DNS服务器,然后使用目标DNS服务器来查找子域名。    
具体命令:fierce -dns ccb.com -threads(线程数) 100

0x04 CDN后的真实IP
 
- CDN概述    
CDN的全称是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决Internet网络拥挤的状况,%

WEB踩点

Web安全渗透小六儿~ 发表了文章 • 0 个评论 • 320 次浏览 • 2016-09-22 14:44 • 来自相关话题

【转载】Nmap速查手册

Kyhvedn 发表了文章 • 3 个评论 • 346 次浏览 • 2016-09-22 11:53 • 来自相关话题

Nmap参数详解
Nmap支持主机名,ip,网段的表示方式-iL filename 从文件中读取待检测的目标,文件中的表示方法支持机名,ip,网段
-iR hostnum 随机选取,进行扫描.如果-iR指定为0,则是无休止的扫描
--exclude host1[, host2] 从扫描任务中需要排除的主机
--exculdefile exclude_file 排除文件中的IP,格式和-iL指定扫描文件的格式相同0x00 主机发现-sL 仅仅是显示,扫描的IP数目,不会进行任何扫描
-sn ping扫描,即主机发现
-Pn 不检测主机存活
-PS/PA/PU/PY[portlist] TCP SYN Ping/TCP ACK Ping/UDP Ping发现
-PE/PP/PM 使用ICMP echo, timestamp and netmask 请求包发现主机
-PO[prococol list] 使用IP协议包探测对方主机是否开启
-n/-R 不对IP进行域名反向解析/为所有的IP都进行域名的反响解析0x01 扫描技巧-sS/sT/sA/sW/sM TCP SYN/TCP connect()/ACK/TCP窗口扫描/TCP Maimon扫描
-sU UDP扫描
-sN/sF/sX TCP Null,FIN,and Xmas扫描
--scanflags 自定义TCP包中的flags
-sI zombie host[:probeport] Idlescan
-sY/sZ SCTP INIT/COOKIE-ECHO 扫描
-sO 使用IP protocol 扫描确定目标机支持的协议类型
-b “FTP relay host” 使用FTP bounce scan0x02 指定端口和扫描顺序-p 特定的端口 -p80,443 或者 -p1-65535
-p U:PORT 扫描udp的某个端口, -p U:53
-F 快速扫描模式,比默认的扫描端口还少
-r 不随机扫描端口,默认是随机扫描的
--top-ports "number" 扫描开放概率最高的number个端口,出现的概率需要参考nmap-services文件,ubuntu中该文件位于/usr/share/nmap.nmap默认扫前1000个
--port-ratio "ratio" 扫描指定频率以上的端口0x03 服务版本识别-sV 开放版本探测,可以直接使用-A同时打开操作系统探测和版本探测
--version-intensity "level" 设置版本扫描强度,强度水平说明了应该使用哪些探测报文。数值越高,服务越有可能被正确识别。默认是7
--version-light 打开轻量级模式,为--version-intensity 2的别名
--version-all 尝试所有探测,为--version-intensity 9的别名
--version-trace 显示出详细的版本侦测过程信息0x04 脚本扫描-sC 根据端口识别的服务,调用默认脚本
--script=”Lua scripts” 调用的脚本名
--script-args=n1=v1,[n2=v2] 调用的脚本传递的参数
--script-args-file=filename 使用文本传递参数
--script-trace 显示所有发送和接收到的数据
--script-updatedb 更新脚本的数据库
--script-help=”Lua script” 显示指定脚本的帮助0x05 OS识别-O 启用操作系统检测,-A来同时启用操作系统检测和版本检测
--osscan-limit 针对指定的目标进行操作系统检测(至少需确知该主机分别有一个open和closed的端口)
--osscan-guess 推测操作系统检测结果,当Nmap无法确定所检测的操作系统时,会尽可能地提供最相近的匹配,Nmap默认进行这种匹配0x06 防火墙/IDS躲避和欺骗-f; --mtu value 指定使用分片、指定数据包的MTU.
-D decoy1,decoy2,ME 使用诱饵隐蔽扫描
-S IP-ADDRESS 源地址欺骗
-e interface 使用指定的接口
-g/ --source-port PROTNUM 使用指定源端口
--proxies url1,[url2],... 使用HTTP或者SOCKS4的代理

--data-length NUM 填充随机数据让数据包长度达到NUM
--ip-options OPTIONS 使用指定的IP选项来发送数据包
--ttl VALUE 设置IP time-to-live域
--spoof-mac ADDR/PREFIX/VEBDOR MAC地址伪装
--badsum 使用错误的checksum来发送数据包0x07 输出-oN 将标准输出直接写入指定的文件
-oX 输出xml文件
-oS 将所有的输出都改为大写
-oG 输出便于通过bash或者perl处理的格式,非xml
-oA BASENAME 可将扫描结果以标准格式、XML格式和Grep格式一次性输出
-v 提高输出信息的详细度
-d level 设置debug级别,最高是9
--reason 显示端口处于带确认状态的原因
--open 只输出端口状态为open的端口
--packet-trace 显示所有发送或者接收到的数据包
--iflist 显示路由信息和接口,便于调试
--log-errors 把日志等级为errors/warings的日志输出
--append-output 追加到指定的文件
--resume FILENAME 恢复已停止的扫描
--stylesheet PATH/URL 设置XSL样式表,转换XML输出
--webxml 从namp.org得到XML的样式
--no-sytlesheet 忽略XML声明的XSL样式表0x08 其他选项-6 开启IPv6
-A OS识别,版本探测,脚本扫描和traceroute
--datedir DIRNAME 说明用户Nmap数据文件位置
--send-eth / --send-ip 使用原以太网帧发送/在原IP层发送
--privileged 假定用户具有全部权限
--unprovoleged 假定用户不具有全部权限,创建原始套接字需要root权限
-V 打印版本信息
-h 输出帮助
原文地址:http://www.2cto.com/Article/201412/362188.html
 
白衣行侠,轻剑快马 查看全部
Nmap参数详解
Nmap支持主机名,ip,网段的表示方式
-iL filename                    从文件中读取待检测的目标,文件中的表示方法支持机名,ip,网段
-iR hostnum 随机选取,进行扫描.如果-iR指定为0,则是无休止的扫描
--exclude host1[, host2] 从扫描任务中需要排除的主机
--exculdefile exclude_file 排除文件中的IP,格式和-iL指定扫描文件的格式相同
0x00 主机发现
-sL                     仅仅是显示,扫描的IP数目,不会进行任何扫描
-sn ping扫描,即主机发现
-Pn 不检测主机存活
-PS/PA/PU/PY[portlist] TCP SYN Ping/TCP ACK Ping/UDP Ping发现
-PE/PP/PM 使用ICMP echo, timestamp and netmask 请求包发现主机
-PO[prococol list] 使用IP协议包探测对方主机是否开启
-n/-R 不对IP进行域名反向解析/为所有的IP都进行域名的反响解析
0x01 扫描技巧
-sS/sT/sA/sW/sM                 TCP SYN/TCP connect()/ACK/TCP窗口扫描/TCP Maimon扫描
-sU UDP扫描
-sN/sF/sX TCP Null,FIN,and Xmas扫描
--scanflags 自定义TCP包中的flags
-sI zombie host[:probeport] Idlescan
-sY/sZ SCTP INIT/COOKIE-ECHO 扫描
-sO 使用IP protocol 扫描确定目标机支持的协议类型
-b “FTP relay host” 使用FTP bounce scan
0x02 指定端口和扫描顺序
-p                      特定的端口 -p80,443 或者 -p1-65535
-p U:PORT 扫描udp的某个端口, -p U:53
-F 快速扫描模式,比默认的扫描端口还少
-r 不随机扫描端口,默认是随机扫描的
--top-ports "number" 扫描开放概率最高的number个端口,出现的概率需要参考nmap-services文件,ubuntu中该文件位于/usr/share/nmap.nmap默认扫前1000个
--port-ratio "ratio" 扫描指定频率以上的端口
0x03 服务版本识别
-sV                             开放版本探测,可以直接使用-A同时打开操作系统探测和版本探测
--version-intensity "level" 设置版本扫描强度,强度水平说明了应该使用哪些探测报文。数值越高,服务越有可能被正确识别。默认是7
--version-light 打开轻量级模式,为--version-intensity 2的别名
--version-all 尝试所有探测,为--version-intensity 9的别名
--version-trace 显示出详细的版本侦测过程信息
0x04 脚本扫描
-sC                             根据端口识别的服务,调用默认脚本
--script=”Lua scripts” 调用的脚本名
--script-args=n1=v1,[n2=v2] 调用的脚本传递的参数
--script-args-file=filename 使用文本传递参数
--script-trace 显示所有发送和接收到的数据
--script-updatedb 更新脚本的数据库
--script-help=”Lua script” 显示指定脚本的帮助
0x05 OS识别
-O              启用操作系统检测,-A来同时启用操作系统检测和版本检测
--osscan-limit 针对指定的目标进行操作系统检测(至少需确知该主机分别有一个open和closed的端口)
--osscan-guess 推测操作系统检测结果,当Nmap无法确定所检测的操作系统时,会尽可能地提供最相近的匹配,Nmap默认进行这种匹配
0x06 防火墙/IDS躲避和欺骗
-f; --mtu value                 指定使用分片、指定数据包的MTU.
-D decoy1,decoy2,ME 使用诱饵隐蔽扫描
-S IP-ADDRESS 源地址欺骗
-e interface 使用指定的接口
-g/ --source-port PROTNUM 使用指定源端口
--proxies url1,[url2],... 使用HTTP或者SOCKS4的代理

--data-length NUM 填充随机数据让数据包长度达到NUM
--ip-options OPTIONS 使用指定的IP选项来发送数据包
--ttl VALUE 设置IP time-to-live域
--spoof-mac ADDR/PREFIX/VEBDOR MAC地址伪装
--badsum 使用错误的checksum来发送数据包
0x07 输出
-oN                     将标准输出直接写入指定的文件
-oX 输出xml文件
-oS 将所有的输出都改为大写
-oG 输出便于通过bash或者perl处理的格式,非xml
-oA BASENAME 可将扫描结果以标准格式、XML格式和Grep格式一次性输出
-v 提高输出信息的详细度
-d level 设置debug级别,最高是9
--reason 显示端口处于带确认状态的原因
--open 只输出端口状态为open的端口
--packet-trace 显示所有发送或者接收到的数据包
--iflist 显示路由信息和接口,便于调试
--log-errors 把日志等级为errors/warings的日志输出
--append-output 追加到指定的文件
--resume FILENAME 恢复已停止的扫描
--stylesheet PATH/URL 设置XSL样式表,转换XML输出
--webxml 从namp.org得到XML的样式
--no-sytlesheet 忽略XML声明的XSL样式表
0x08 其他选项
-6                      开启IPv6
-A OS识别,版本探测,脚本扫描和traceroute
--datedir DIRNAME 说明用户Nmap数据文件位置
--send-eth / --send-ip 使用原以太网帧发送/在原IP层发送
--privileged 假定用户具有全部权限
--unprovoleged 假定用户不具有全部权限,创建原始套接字需要root权限
-V 打印版本信息
-h 输出帮助

原文地址:http://www.2cto.com/Article/201412/362188.html
 
白衣行侠,轻剑快马