0x01 前言
第一次做渗透测试,结果虽然不太满意,但是还是收获了许多。下面总结一下在本次渗透测试中的流程和套路。
0x02 流程
在渗透测试中,信息收集是十分重要的,特别的重要!!由于是黑盒测试,我们对目标网站一无所知,所以收集信息是第一个阶段。而且搜集的信息多少也决定着后面进行渗透的顺利与否。
在看见一个网站中,我们首先要对目标网站的域名进行一个whois查询,推荐:whoisz站长之家,云悉指纹等工具。纪录域名注册人的信息,有时可以对其进行社会工程学,在爆破后台密码中也会有一些帮助。
之后,我们需要对目标网站的端口进行扫描,查看有什么开放的端口可以进行攻击。这里我们使用nmap中的 nmap xxx.xxx.xxx.xxx -Pn查询哪些端口是开放的。nmap -A xxx.xxx.xxx.xxx --version-trace 探测端口开放服务的版本,有助于漏洞的查询。下面给出各个端口的漏洞(简要概括)
端口号 端口说明 攻击技巧
21/22/69 ftp/tftp:文件传输协议 爆破\嗅探\溢出\后门
22 ssh:远程连接 爆破OpenSSH;28个退格
23 telnet:远程连接 爆破\嗅探
25 smtp:邮件服务 邮件伪造
53 DNS:域名系统 DNS区域传输\DNS劫持\DNS缓存投毒\DNS欺骗\利用DNS隧道技术刺透防火墙
67/68 dhcp 劫持\欺骗
110 pop3 爆破
139 samba 爆破\未授权访问\远程代码执行
143 imap 爆破
161 snmp 爆破(弱口令 public) 进行主机信息的读取
389 ldap 注入攻击\未授权访问
512/513/514 linux r 直接使用rlogin
873 rsync 未授权访问
1080 socket 爆破:进行内网渗透
1352 lotus 爆破:弱口令\信息泄漏:源代码
1433 mssql 爆破:使用系统用户登录\注入攻击
1521 oracle 爆破:TNS\注入攻击
2049 nfs 配置不当
2181 zookeeper 未授权访问
3306 mysql 爆破\拒绝服务\注入
3389 rdp 爆破\Shift后门
4848 glassfish 爆破:控制台弱口令\认证绕过
5000 sybase/DB2 爆破\注入
5432 postgresql 缓冲区溢出\注入攻击\爆破:弱口令
5632 pcanywhere 拒绝服务\代码执行
5900 vnc 爆破:弱口令\认证绕过
6379 redis 未授权访问\爆破:弱口令
7001 weblogic Java反序列化\控制台弱口令\控制台部署webshell
80/443/8080 web 常见web攻击\控制台爆破\对应服务器版本漏洞
8069 zabbix 远程命令执行
9090 websphere控制台 爆破:控制台弱口令\Java反序列
9200/9300 elasticsearch 远程代码执行
11211 memcacache 未授权访问
27017 mongodb 爆破\未授权访问
除了利用端口漏洞,我们也可以寻找web方面的漏洞,如今流行的jboss、tomcat、weblogic、Discuz!、strus等等流行的web服务和web应用框架都存在着许多漏洞,如果没有及时打补丁,直接可以利用漏洞获取权限。除此之外还可以自己寻找漏洞,可以利用的工具:awvs,nessus,appscan等对全站进行扫描自动化获取漏洞信息。比较有危险的漏洞:文件上传,sql注入,存储型xss,缓冲区溢出等。除了这些经典的漏洞之外,还有一个比较致命的威胁--弱口令。在渗透测试中,弱口令的存在大大的危害了目标网站,攻击方可以直接利用弱口令获取权限,在后台寻找文件上传点,上传webshell得到整个服务器的控制权限。
如果主站的防护比较好,几乎没有认可有价值的漏洞可以利用,这个时候我们就需要进行c段渗透(利用nmap -sV xxx.xxx.xxx.0/24 -PT -PI进行c段扫描)或者旁站注入(webscan),从其他的服务器或者本服务器的其他网站进行漏洞的挖掘。有时旁站的web应用的防御并不是特别的坚固,例如,登陆框防爆破手段不足,sql注入语句过滤不足等等,就会让攻击方获取到主站所在服务器的数据库信息,从而登陆主站获取权限。利用c段其他服务器则可以进行横向渗透,从网段内部对同一网段的服务器发起攻击,获取目标网站服务器的权限。
0x03感受
渗透路漫漫,学无止境。希望在之后的学习中,再多学一些骚套路。还要再说一句,弱口令真可怕!
