记录一些端口渗透时的方法和思路
本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.
- Tips
- 7
- 21
- 22
- 23
- 25/465/587
- 43
- 53
- 67/68
- 102
- 137/139/389/445/901
- 139/445
- 161
- 389
- 443
- 445
- 502
- 554/8554
- 873
- 1090/1099
- 1433
- 1494
- 1521
- 2049
- 2181
- 2375
- 2598
- 3306
- 3389
- 4100
- 4592
- 4848
- 5000
- 5432
- 5632
- 5800/5900/5901
- 5984
- 6379
- 7001/7002
- 80/443/8080~10000
- 11211
- 27017/27018
- 50000/50001
- 50010/50030/50070
相关文章
-
对于少见的端口号,建议可以在 shodan 上搜索看看,找找同类业务,找找灵感.
-
2019-11-14:最近发现火绒会拦截本地对外扫描(包括虚拟机) POC 的流量,等我注意到时真是感觉亏了1个亿,同理,其他杀软也可能会有这种情况,所以对于漏扫明明爆出漏洞,EXP 却利用不了的时候请看看是不是自己本地的问题.
echo
-
概述
echo 服务正在此主机上运行。 回声服务旨在用于测试和测量目的,并且可以侦听 TCP 和 UDP 协议。 服务器将发送回接收到的所有数据,而无需进行任何修改。
通过将 echo 服务连接到同一台或另一台计算机上的 echo 服务,可能会导致拒绝服务。 由于产生的数据包数量过多,可能会有效地使受影响的计算机停止服务。
-
测试访问
nc -uvn <IP> 7 Hello echo #This is wat you send Hello echo #This is the response
FTP
/ tftp
/ vsftpd
- 试试匿名账号 anonymous anony@mous
- 爆破弱口令
SSH
- 试试服务账号,比如他有承载 ORACLE 数据库,就试试 oracle、orcl 这种,其他服务同理,略
- 用户名枚举,例如 CVE-2018-15473
- 爆破弱口令
Telnet
- 爆破弱口令
- 推荐工具 : SNETCracker
SMTP
- SMTP相关
- 枚举用户
- 伪造邮件
WHOIS
-
概述
WHOIS 是一个查询和响应协议,它被广泛用于查询数据库,以存储互联网资源的注册用户或受让人,如域名、IP地址块或自治系统,但也用于更广泛的其他信息。
-
枚举信息
whois -h <HOST> -p <PORT> "domain.tld" echo "domain.ltd" | nc -vn <HOST> <PORT>
-
注入
WHOIS服务始终需要使用数据库来存储和提取信息。 因此,从用户提供的某些信息查询数据库时,可能会出现SQLInjection。
whois -h <HOST> -p 43 "a') or 1=1#"
DNS
- DNS 相关
- 域传送漏洞 - 现在域传送漏洞也少了,可以考虑的方向是子域名接管
- CVE-2015-7547
DHCP
S7comm
/ S7CommPlus
Samba
- samba 相关漏洞
- 未授权访问
- CVE-2015-0240 远程代码执行漏洞
- CVE-2017-7494 远程代码执行漏洞
SMB
/ microsoft-ds
- SMB 相关
- 枚举用户
- 暴力破解
SNMP
- SNMP 相关
- 爆破,默认团体字符串"public"
LDAP
- LDAP 相关
- 弱口令
HTTPS
- SSL&TLS 安全性测试
- 心脏出血
Modbus
rtsp
rsync
vmware_authentication_daemon
sftp
RMI
mssql
- 信息收集,nmap 提供相应 脚本
- 账号很多都是默认的
sa
- 爆破弱口令
Citrix Receiver
oracle
- Linux环境,一般 SSH 也会有个 oracle 的账号,可以爆破一下
- 信息收集,nmap 提供相应 脚本 , 爆出账号密码可以用 odat 工具尝试 getshell
- CVE-2012-1675 爆破TNS
- 爆破弱口令
- 注: Oracle 帐户在密码被连续输入错误 3 次的情况下就会锁定,而锁定后必须手动解除,否则这个帐户一直在锁定状态下,不能使用,爆破时请注意
nfs
ZooKeeper
Docker
Citrix Receiver
Gitea
/ ppp
squid
mysql、mariadb
- 信息收集,nmap 提供相应 脚本
- 爆破弱口令,爆出账号密码可以用 sqlmap 尝试 getshell
stratum
fofa: protocol="stratum"
RDP
-
CVE 漏洞
- MS12-020 , 虽然很古老,但部分企业内网中还是存在
- MS17-010 , MSF 都有 poc 和 exp 直接 search 就行
- CVE-2019-0708 , MSF 都有 poc 和 exp 直接 search 就行
-
爆破弱口令
- foryujian/yujianrdpcrack - 御剑 RDP 爆破工具 - 效果还行
- SNETCracker
Sysbase
- 爆破弱口令
WebAccess
GlassFish
- 爆破弱口令
sybase
/ DB2
- 爆破弱口令
PostgreSQL
- 未授权访问
- 爆破弱口令
- 权限提升
pcanywhere
VNC
一般来说,VNC 认证只需要密码,只有在多用户登录的场景才会需要 "用户名"
关于多用户登录的场景可以参考以下2篇文章
Couchdb
Redis
- 爆破弱口令
- Redis未授权访问
通常是 weblogic
中间件端口
- 弱口令,ssrf,反序列化
- weblogic渗透
ClickHouse
/?query=SHOW%20DATABASES
通常是 IIS
/ apache
/ tomcat
- 对于 IIS 测试短文件名泄露或 MS15-034
- 直接访问出现默认页面或报错可能是路径不对,可以尝试爆破路径
- 对于 tomcat,可以尝试爆破弱口令 tomcat 的管理页面账号密码,注意:tomcat 默认是没有管理员账户的,这个只有开发配置后才有,所以先确认一下目标有没有配置管理账号,如果你点击 Manager App 或 Host Manager 就直接报错说明没有配置当然也可能是限制了访问.
- 框架和中间件渗透
其他各类 web 服务
- 如果有登录页面就去搜搭建教程尝试默认口令,或访问初始化安装的页面
- 如果目标采用的是开源服务,去看看项目 issue
- 这块内容太多就不一一列举 详情请看 BS-Exploits
memcached
mongodb
shodan : "product:MongoDB" shodan : "MongoDB Server Information" port:27017 -authentication
- 弱口令
- 未授权访问
SAP
http://<target>:50000/ctc/servlet/com.sap.ctc.util.ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd.exe /c ipconfig /all
http://<target>:50000/ctc/servlet/com.sap.ctc.util.ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cat /etc/passwd
Hadoop