【Death Note】网吧战神之7天爆肝渗透测试死亡笔记

最新推荐文章于 2022-11-03 00:48:00 发布

原创

最新推荐文章于 2022-11-03 00:48:00 发布 · 854 阅读

13 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全 #渗透测试 #sql #web #安全

本文详细介绍了网络安全领域的常见端口及其可能的攻击方式，包括文件共享、远程连接、Web应用、数据库和邮件服务等。此外，还探讨了SQL注入的原理和tamper脚本的使用，以及Burp Suite和Nmap的工具功能。内容涵盖端口扫描、WAF绕过、SQLMap和Metasploit等渗透测试工具和技术。

前言：

本人大概花了1-2周的空闲时间整理完了这手册，后面由于自己电脑坏了，所以只能去网吧了...

常见端口及攻击方向

文件共享服务端口

 端口号 端口说明    攻击方向 21/22/69    ftp/tftp文件传输协议  允许匿名的上传下载、爆破和嗅探操作 2049    nfs服务   配置不当 139 samba服务 爆破、未授权访问、远程代码执行 389 ldap目录访问协议  注入、允许匿名访问、弱口令

远程连接服务端口

 22  SSH远程连接 爆破、ssh隧道及内网代理转发、文件传输 23  Telnet远程连接  爆破、嗅探、弱口令 3389    rdp远程桌面连接   shift后门（需要Windows server 2003及以下的系统）、爆破 5900    vnc 弱口令爆破 5632    pyanywhere  抓密码、代码执行

WEB应用服务端口

 80/443/8080 常见的web服务端口  web攻击、爆破、对应服务器版本漏洞 7001/7002   weblogic控制台 java反序列化、弱口令 8080/8089   jboss/resin/jetty/jenkins   反序列化、控制台弱口令 9090    websphere控制台    java反序列化、弱口令 4848    glassfish控制台    弱口令 1352    lotusdomain邮件服务 弱口令、信息泄露、爆破 10000   webmin-web控制面板  弱口令

数据库服务端口

 3306    MySQL数据库    注入、提权、爆破 1433    mssql数据库    注入、提权、SA弱口令、爆破 1521    Oracle数据库   tns爆破、注入、反弹shell 5432    postgreSQL  爆破、注入、弱口令 27017/27018 mongodb 爆破、未授权访问 6379    Redis数据库    可尝试未授权访问、弱口令爆破 5000    sysbase/db2数据库  爆破、注入

邮件服务端口

 25  smtp邮件服务    邮件伪造 110 pop3协议  爆破、嗅探 143 IMAP协议  爆破

网络常见协议端口

 53  DNS域名系统 允许区域传送、DNS劫持、缓存投毒、欺骗 67/68   DHCP服务  劫持、欺骗 161 SNMP协议  爆破、搜集目标内网信息

特殊服务端口

 2181    zookeeper服务 未授权访问 8069    zabbix服务    远程执行、SQL注入 9200/9300   elasticsearch服务 远程执行 11211   memcache服务  未授权访问 512/513/514 linux rexec服务   匿名访问、文件上传 3690    SVN服务   SVN泄露、未授权访问 50000   SAP management console  远程执行

常见的CMS

 dedecms(织梦)、discuz、phpweb、phpwind、phpcms、ecshop、dvbbs、siteweaver、aspcms、帝国、z-blog、WordPress等

指纹识别工具

 御剑web指纹识别、whatweb、webrobo、椰树、轻量web指纹识别等

SQLMAP相关介绍

tamper作用

SQLMap在默认情况下除了使用CHAR（）函数防止出现单引号，没有对注入的数据进行修改，读者还可以使用 --tamper参数对数据做修改来绕过WAF等设备，其中大部分脚本主要用正则模块替换攻击载荷字符编码的方式尝试绕过WAF的检测规则，命令如下所示。

sqlmap.py XXXXX --tamper "模块名"

SQLMap1.4.9.3 本版本目前官方提供63个绕过脚本，下面是一个 tamper脚本的格式。

#!/usr/bin/env python
 
"""
Copyright (c) 2006-2020 sqlmap developers (http://sqlmap.org/)
See the file 'LICENSE' for copying permission
"""
 
from lib.core.enums import PRIORITY
 
__priority__ = PRIORITY.LOWEST
 
def dependencies():
    pass
 
def tamper(payload, **kwargs):
    """
    Replaces apostrophe character (') with its UTF-8 full width counterpart (e.g. ' -> %EF%BC%87)
    References:
        * http://www.utf8-chartable.de/unicode-utf8-table.pl?start=65280&number=128
        * http://lukasz.pilorz.net/testy/unicode_conversion/
        * http://sla.ckers.org/forum/read.php?13,11562,11850
        * http://lukasz.pilorz.net/testy/full_width_utf/index.phps
    >>> tamper("1 AND '1'='1")
    '1 AND %EF%BC%871%EF%BC%87=%EF%BC%871'
    """
 
    return payload.replace('\'', "%EF%BC%87") if payload else payload

这个脚本的作用是将引号替换为utf-8，用于过滤单引号。

使用脚本前语句为

1 AND '1'='1

使用脚本后

1 AND %EF%BC%871%EF%BC%87=%EF%BC%871

tamper格式

不难看出，一个最小的 tamper脚本结构为 priority变量定义和dependencies、 tamper函数定义。
priority定义脚本的优先级，用于有多个 tamper脚本的情况dependencies函数声明该脚本适用/不适用的范围，可以为空。

下面以一个转大写字符绕过的脚本为例， tamper绕过脚本主要由dependencies和 tamper两个函数构成。 def tamper(payload, **kwargs)函数接收 payload和**kwargs返回一个 Payload。下面这段代码的意思是通过正则匹配所有字符，将所有攻击载荷中的字符转换为大写字母。