神出鬼没的Enderman

漏洞发现-API接口服务之漏洞探针类型利用修复

端口服务类安全测试

• 根据前期信息收集针对目标端口服务类探针后进行的安全测试，主要涉及攻击方法：口令安全，WEB 类漏洞，版本漏洞等，其中产生的危害可大可小。属于端口服务/第三方服务类安全测试面。一般在 已知应用无思路的情况下选用的安全测试方案。

常见的端口说明

端口号	端口说明	攻击技巧
21/22/69	ftp/tftp:文件传输协议	爆破嗅探,溢出,后门
22	ssh:远程连接	爆破,OpenSSH,28个退格
23	telnet:远程连接	爆破,嗅探
25	smtp:邮件服务	邮件伪造
53	DNS:域名系统	DNS区域传输,DNS劫持,DNS缓存投毒,DNS欺骗,利用DNS隧道技术刺透防火墙
67/68	dhcp	劫持,欺骗
110	pop3	爆破
139	samba	爆破,未授权访问,远程代码执行
143	imap	爆破
161	snmp	爆破
389	ldap	注入攻击,未授权访问
512/513/514	linux,r	直接使用rlogin远程登录
873	rsync	未授权访问
1080	socket	爆破:进行内网渗透
1352	lotus	爆破:弱口令,信息泄漏:源代码
1433	mssql	爆破:使用系统用户登录,注入攻击
1521	oracle	爆破:TNS,注入攻击
2049	nfs	配置不当
2181	zookeeper	未授权访问
3306	mysql	爆破,拒绝服务,注入
3389	RDP远程桌面	爆破,Shift后门
4848	glassfish	爆破:控制台弱口令,认证绕过
5000	sybase/DB2	爆破,注入
5432	postgresql	缓冲区溢出,注入攻击,爆破:弱口令
5632	pcanywhere	拒绝服务,代码执行
5900	vnc	爆破:弱口令,认证绕过
6379	redis	未授权访问,爆破:弱口令
7001	weblogic	Java反序列化,控制台弱口令,控制台部署webshell
80/443/8080	web	常见web攻击控制台爆破,对应服务器版本漏洞
8069	zabbix	远程命令执行
9090	websphere控制台	爆破:控制台弱口令,Java反序列
9200/9300	elasticsearch	远程代码执行
11211	memcacache	未授权访问
27017	mongodb	爆破,未授权访问

web服务类

端口号	端口说明	攻击技巧
80/8080/8009	tomcat	manager弱口令,put上传webshell,HTTP慢速攻击,jar文件包含漏洞-CVE-2020-1938
8080	Jboss	后台弱口,console后台部署war包,JAVA反序列化,远程代码执行
90	webSphere	后台弱口令,任意文件泄露,JAVA反序列化
7001/7002	weblogic	后台弱口令,console后台部署war包,SSRF,测试页面上传webshell,JAVA反序列,CVE-2018-2628,CVE-2018-2893,CVE-2017-10271,CVE-2019-2725,CVE-2019-2729
8080/4848	Glassfish	暴力破解,任意文件读取,认证绕过
8080	Jetty	远程共享缓冲区溢出
80/8080	Apache	HTTP慢速攻击,解析漏洞,目录遍历
8983	ApacheSolr	远程命令执行,CVE-2017-12629,CVE-2019-0193
80	IIS	put上传webshell,IIS解析漏洞,IIS提权,IIS远程远程代码执行-CVE-2017-7269
8080	Resin	目录遍历,远程文件读取
8080	Axis2	后台弱口令
1352	Lutos	后台弱口令,信息泄露,跨站脚本攻击
80/443	Nginx	HTTP慢速攻击,解析漏洞

数据库类

端口号	端口说明	攻击技巧
3306	Mysql	弱口令,身份认证漏洞-cve-2012-2122,拒绝服务攻击,phpmyadmin万能密码or弱口令,UDF/MOF提权
1433	Mssql	弱口令,存储过程提权
1521	Oralce	弱口令,TNS漏洞
6379	Redis	弱口令,未经授权访问
5432	PostgreSQL	弱口令,缓冲区溢出-cve-2014-2669
27001	MongoDB	弱口令,未经授权访问
5000	DB2	安全限制绕过进行未经授权操作-cve-2015-1922
5000/4100	SysBase	弱口令,命令注入
11211	Memcache	未经授权访问,配置漏洞
9200/9300	ElasticSearch	未经授权访问,远程代码执行,文件办理,写入webshell

大数据类

端口号	端口说明	攻击技巧
50010	Hadoop	远程命令执行
2181	Zookeeper	未经授权访问

文件共享

端口号	端口说明	攻击技巧
21	Ftp	弱口令,匿名访问,上传后门,远程溢出,跳转攻击
2049	NFS	未经授权访问
137	Samba	弱口令,未经授权访问,远程代码执行-CVE-2015-0240
389	LDAP	弱口令,注入,未经授权访问

远程访问

端口号	端口说明	攻击技巧
22	SSH	弱口令,28退格漏洞,OpenSSL漏洞,用户名枚举
23	Telent	弱口令
3389	RDP	弱口令,Shitf粘滞键后门,缓冲区溢出,MS12-020,CVE-2019-0708
5901	VNC	弱口令,认证口令绕过,拒绝服务攻击-CVE-2015-5239,权限提升-CVE-2013-6886
5632	Pcanywhere	拒绝服务攻击,权限提升,代码执行
6000	X11	未经授权访问-CVE-1999-0526

邮件服务

端口号	端口说明	攻击技巧
25/465	SMTP	弱口令,未经授权访问,邮件伪造
110/995	POP3	弱口令,未经授权访问
143/993	IMAP	弱口令,任意文件读取

其它服务

端口号	端口说明	攻击技巧
53	DNS	DNS区域传输,DNS劫持,DNS欺骗,DNS缓存投毒,DNS隧道
67/68	DHCP	DHCP劫持,DHCP欺骗
161	SNMP	弱口令
512/513/514	Rlogin	rlogin登录
873	Rsync	未经授权访问,本地权限提升
8069	Zabbix	远程命令执行
1090/1099	RMI	JAVA反序列化
2375	Docker	未经授权访问

端口服务类-tomcat弱口令安全问题

• https://vulhub.org/#/environments/tomcat/tomcat8/

进入靶场

然后利用弱口令进入Application Manager,然后上传war包，然后直接获取shell

端口服务类-GlassFish任意文件读取

• https://vulhub.org/#/environments/glassfish/4.1.0/

打开靶场

• java语言中会把%c0%ae解析为\uC0AE，最后转义为ASCCII字符的.。利用%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/来向上跳转，达到目录穿越、任意文件读取的效果

尝试进行访问/etc/passwd

• https://192.168.50.10:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd

其它补充类-基于域名web站点

进入网站

子域名收集（www.axgc168.com）

• 三级域名的变化:bbs.axgc168.com,old.axgc168.com
• 顶级域名的变化:www.axgc168.cn,www.axgc168.net,www.axgc168.org

站长之家网站备案:查询域名的注册人

万网查询域名注册信息（查找已经注册的）

访问这三个网站

百度/谷歌查找网站的标题/关键词等等（注意查看关键字搜索出来的网页的URL）

利用layer子域名字典爆破收集（很高效，但是收集的子域名很多都访问不了）

总结

• 信息挖掘的核心思想就是根据现有的唯一信息中,发现能利用的信息进行搜索,如此反复直到无法获取到新的信息