目录
- 端口服务类安全测试
- API接口-webservice RESTful APT
- 演示案例:
- 端口服务类-Tomcat弱口令安全问题
- 端口服务类-Glassfish任意文件读取
- 其他补充类-基于端口WEB站点又测试
- 其他补充类-基于域名WEB站点又测试
- 其他补充类-基于IP配合端口信息再收集
- 口令安全脚本工具简要使用-Snetcracker
- API接口类-网络服务类探针利用测试-AWVS
- 涉及资源:
信息收集越多的话,在漏洞发现上的机率就会越大
端口服务类安全测试
根据前期信息收集针对目标端口服务类探针后进行的安全测试,主要涉及攻击方法:口令安全,WEB类漏洞,版本漏洞等,其中产生的危害可大可小,属于端口服务/第三方服务类安全测试面。一般是在已知应用无思路的情况下选用的安全测试方案。
API接口-webservice RESTful APT
https://xz.aliyun.com/t/2412
https://github.com/SmartBear/soapui
根据应用自身的功能方向决定,安全测试目标需有API接口才能进行此类测试,主要涉及的安全问题:自身安全,配合WEB,业务逻辑等,其中产生的危害可大可小,属于应用API接口网络服务测试面,一般也是在存在接口调用的情况下的测试方案。
WSDL(网络服务描述语言,web services description language)是一门基于XML的语言,用于描述web services 以及如何对他们进行访问。
基本上这种端口的漏洞大部分是它的弱口令,再是它的漏洞本身利用
1.web服务类
tomcat--80/8080/8009
manager弱口令
put上传webshell
HTTP慢速攻击
ajr文件包含漏洞 CVE-2020-1938
Jboss--8080
后台弱口令
console后台部署war包
Java反序列化
远程代码执行
webSphere--9080
后台弱口令
任意文件泄露
Java反序列化
Weblogic--7001/7002
后台弱口令
console后台部署war包
SSRF
测试页面上传webshell
Java反序列化
CVE-2018-2628
CVE-2018-2893
CVE-2017-10271
CVE-2019-2725
CVE-2019-2729
Glassfish--8080/4848
暴力破解
任意文件读取
认证绕过
Jetty--8080
远程共享缓冲区溢出
Apache--80/8080
HTTP慢速攻击
解析漏洞
目录遍历
Apache Solr--8983
远程命令执行
CVE-2017-12629
CVE-2019-0193
IIS--80
put上传webshell
IIS解析漏洞
IIS提权
IIS远程代码执行 CVE-2017-7269
Resin-8080
目录遍历
远程文件读取
Axis2--8080
后台弱口令
Lutos--1352
后台弱口令
信息泄露
跨站脚本攻击
Nginx--80/443
HTTP慢速攻击
解析漏洞
2.数据库类
MySQL--3306
弱口令
身份认证漏洞 CVE-2012-2122
拒绝服务攻击
phpmyadmin万能密码or弱口令
UDF/MOF提权
Mssql--1433
弱口令
存储过程提权
Oralce--1521
弱口令
TNS漏洞
Redis--6379
弱口令
未授权访问
PostgreSQL--5432
弱口令
缓冲区溢出 CVE-2014-2669
MongoDB--27001
弱口令
未授权访问
DB2--5000
安全限制绕过进行未授权操作 CVE-2015-1922
SysBase--5000/4100
弱口令
命令注入
Memcache-11211
未授权访问
配置漏洞
ElasticSearch--9200/9300
未授权访问
远程代码执行
文件办理
写入Webshell
3.大数据类
Hadoop--50010
远程命令执行
Zookeeper--2181
未授权访问
4.文件共享
ftp--21
弱口令
匿名访问
上传后们
远程溢出
漏洞攻击
NFS--2049
未授权访问
Samba--137
弱口令
未授权访问
远程代码执行 CVE-2015-0240
LDAP--389
弱口令
注入
未授权访问
5.远程访问
SSH--22
弱口令
28退格漏洞
OpenSSL漏洞
用户名枚举
Telnet--23
弱口令
RDP--3389
弱口令
shift粘滞键后门
缓冲区溢出
MS12-020
CVE-2019-0708
WNC--5901
弱口令
认证口令绕过
拒绝服务攻击 CVE-2015-5239
权限提升 CVE-2013-6886
Pcanywhere-5632
拒绝服务攻击
权限提升
代码执行
X11-6000
未授权访问 CVE-1999-0526
6.邮件服务
SMTP--25/465
弱口令
未授权访问
邮件伪造
POP3-110/995
弱口令
未授权访问
IMAP-143/993
弱口令
任意文件读取
7.其他服务
DNS--53
DNS区域传输
DNS劫持
DNS欺骗
DNS缓存投毒
DNS隧道
DHCP-67/68
DHCP劫持
DHCP欺骗
SNMP--161
弱口令
Rlogin-512/513/514
rlogin登录
Rsync--873
未授权访问
本地权限提升
Zabbix-8069
远程命令执行
RMI--1090/1099
java反序列化
Docker-2375
未授权访问
上面这些东西是为了告诉大家,这些服务曾经报过安全问题,出过相关攻击的面,以后,我们在端口探针发现这些服务的话,不妨用到弱口令和漏洞对它进行安全测试,这就是我们的安全问题
演示案例:
端口服务类-Tomcat弱口令安全问题
漏洞这块是讲不完的,因为有很多漏洞,你不可能每个漏洞都去演示一下吧
我们先判断出有tomcat,然后再结合网上公开的一些攻击方式,发现他上面是存在弱口令攻击,然后就可以使用弱口令
如果VM网络出现问题,直接还原就完事了,搞其它的麻烦
我们先对IP地址进行端口扫描
访问IP地址,输入相关的弱口令
这个弱口令是可以使用网上的工具和脚本进行破解的
进去之后,就可以直接拿shell,网上有相关的教程
你知道这个端口开放对应的是什么服务,那就知道这个服务有没有报过相关的安全问题和攻击方式,有基于弱口令攻击,有基于自身的
端口服务类-Glassfish任意文件读取
通过端口扫描发现Glassfish,然后在利用他上面存在的攻击面,有个漏洞,在利用这个漏洞进行测试
在网上搜索相关漏洞复现文章,
访问https://192.168.28.128:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd,返回服务器文件。
这个就是任意文件读取漏洞,完全就是用网上公开漏洞做的事情
一个目标不可能没有端口,肯定还有更多的,上面还有FTP,FTP还会涉及到其它的攻击方式和漏洞,你除非是把所有漏洞都尝试了一遍没有漏洞,那没办法就是没办法,只要是有就可以测试了,所以这种情况就是建立在端口扫描的攻击
其他补充类-基于端口WEB站点又测试
很多网站域名是一个网站,域名+端口又是一个网站,这样当你渗透测试时,相当于多了一个目标,相应的成功几率也会变高。举例:http://yc.zjgsu.edu.cn和http://yc.zjgsu.edu.cn:8080/
所以我们收集它的端口和信息是非常有必要的
其他补充类-基于域名WEB站点又测试
我们可以进行子域名收集,这里还会存在一种情况,一个网站可能存在多个域名
收集这些信息,可以帮助我们对网站进行最大化的收集,我们的目标就会越来越多
基本上前面保持一致,后缀不一样的话,有80%的机率这两个网站是有关系的,除非刚好有人跟你注册的差不多,当然这种情况是比较少的
一些网站为了前期的拓展,一些公司在注册的时候,用的.com,它发现.com不好,不如.cn这种情况,所以前期发现这些相似的域名是有帮助的
谁注册的就查一下这个人当前注册了那些网站,这些域名有机率跟你当前注册的目标是相同的东西,从注册人的地方去查
查网站的特有信息,网站标题,发现有个域名也叫这个名字,很有可能这个域名也是我注册的,那就又是一套应用
思路1:当我们拿到一个域名时,比如www.jmisd.cn,我们可能首先会去查询它的子域名,这是一个方向。这里我们提供另外一种思路,查询它的相关域名,方法是百度 域名查询,会有很多可以查询域名是否已被注册的网站,比如西部数码网站,我们进入后搜索jmisd,会显示以下3个域名已被注册,然后我们分别查看它们的whois信息、下方版权信息等,查看它们是否与原网站有相同点,若有,说明这两个网站是同一个公司的,然后就为渗透这个网站找到了一条新路。
思路2:当我们拿到一个域名时,通过查看它的whois信息、下方版权信息等获取到该网站特有的一些关键信息,然后直接百度搜索这些信息,就有可能得到一些与该网站相关的其他域名。
其他补充类-基于IP配合端口信息再收集
扫目录的话,扫ip跟扫域名是2个意思,IP以及IP:端口、域名都要扫描
思路1:假设xx.com对应目录d:/wwwroot/xx/,192.168.33.2对应目录d:/wwwroot/,此时目录d:/wwwroot/下有一个网站备份压缩包xx.zip,那么访问xx.com/xx.zip不能下载,但是访问192.168.33.2/xx.zip可以成功下载。
思路2:给定一个域名,我们先找到对应的ip,然后扫描IP,可以发现开放的端口,我们进行目录扫描或敏感文件扫描时,不仅需要对域名扫描,还要对IP以及IP:端口进行扫描,这样会发现更多的漏洞。
总之我们能联想到的我们就扫,有可能就是那一分钟的事情,出现了转机点,有些目标看上去很难,有的人一个目标搞了一个月、两个月、三个月甚至一年,但是他最终还是弄下了,他花了那么长的时间在干嘛,其实就是在不断的扫,不断的去测试,其实就是找了一个点,就进去了,有的人搞一个目标花了一个月、两个月,他就是在做这个事情,不是说它用了什么高深的技术,找了一个0day干进去了,这种机率也有,但是大部分不是这种情况,那如果有那种好的东西的话,那谁还去学呢,学这些信息收集干嘛,直接用0day干就完事了,大部分情况,我们还是需要老老实实的做信息收集
口令安全脚本工具简要使用-Snetcracker
tomcat是网页端的,就是你爆破要建立在网页端请求的http数据包上面的爆破,tomcat爆破走的是web协议,这个工具对端口的爆破是端口自身协议的,不用浏览器,web去访问的
Snetcarcker下载:https://github.com/shack2/SNETCracker/releases
SNETCracker超级弱口令检查工具是一款Windows平台的弱口令审计工具,支持批量多线程检查,可快速发现弱密码、弱口令账号,密码支持和用户名结合进行检查,大大提高成功率,支持自定义服务端口和字典。
工具采用C#开发,需要安装.NET Framework 4.0,工具目前支持SSH、RDP、SMB、MySQL、SQLServer、Oracle、FTP、MongoDB、Memcached、PostgreSQL、Telnet、SMTP、SMTP_SSL、POP3、POP3_SSL、IMAP、IMAP_SSL、SVN、VNC、Redis等服务的弱口令检查工作。
工具特点:
1.支持多种常见服务的口令破解,支持RDP(3389远程桌面)弱口令检查。
2.支持批量导入IP地址或设置IP段,同时进行多个服务的弱口令检查。
3.程序自带端口扫描功能,可以不借助第三方端口扫描工具进行检查。
4.支持自定义检查的口令,自定义端口。
其他工具:hydra
API接口类-网络服务类探针利用测试-AWVS
网站应用这块,有时候会调用网络服务、API的接口,对它的网站有相应的操作,比如支付的,短信的,各种各样的,这些都不是他写的,都是他用别人的,可以理解为是网站的插件或者第三方的东西,按正常来讲,我们可以不用这个东西,我们只是有这个业务,我们就用它,大家如果有做过开发,我相信大家有这个事情
API 接口渗透测试:https://xz.aliyun.com/t/2412
这个就是接口
我们直接使用awvs对它进行扫描就完事了,我们关注的是接口有没有漏洞,我们不关心网站有没有bug
有调用接口的,才会有下面的网页,如果他没有这个网页,那就是没有调用接口
这个都是它的接口
这个是它传递的参数
我们发现这个地方存在sql注入
使用专业的sqlmap工具就可以了
像这些关键字都是可以测试的,放进去测试就可以了,有没有漏洞,工具说话
涉及资源:
awvs下载:https://www.cnblogs.com/xyongsec/p/12370488.html
超级弱口令检查工具下载:https://github.com/shack2/SNETCracker/releases
https://github.com/SmartBear/soapui
API 接口渗透测试:https://xz.aliyun.com/t/2412
