网站程序是什么?,外管局网站收汇如何做延期,WordPress用户自定义头衔,如何部置网站到iis一、背景
在网络环境复杂的当下#xff0c;我们努力做一个清醒且明白的个人#xff0c;在个人信息维护的时候可以更加有针对性#xff0c;当前网络环境各方势力都对我们虎视眈眈#xff0c;再这样的环境中一方面我们要避免成为黑暗的一面#xff0c;但另一方面我们要了解…一、背景
在网络环境复杂的当下我们努力做一个清醒且明白的个人在个人信息维护的时候可以更加有针对性当前网络环境各方势力都对我们虎视眈眈再这样的环境中一方面我们要避免成为黑暗的一面但另一方面我们要了解黑暗背后将其公之于众今天我们介绍一种技术是对目标靶机进行渗透攻击的操作。
二、前期准备工作
首先我们要有靶机需要一个模拟真实环境的靶机。这个靶机通常包括一台或多台主机这些主机的操作系统可能包括Windows7Windows Server 2003和Windows Server 2008等。此外还需要安装一台攻击机常用的操作系统为Kali Linux它包含了大量的渗透测试工具。 准备好这些之后接下来我们要进行信息收集相关工作
三、信息收集和试图攻击
信息收集是非常重要的一步收集到信息的多少给后期进行渗透攻击的难易程度是不一样的尽量多的手机目标的信息会给后续的渗透事半功倍的效果。收集信息的思路有很多例如域名信息收集、页面信息收集、敏感信息收集、子域名信息收集、端口探测、CMS指纹识别、查找真实IP、敏感目录/文件收集、操作系统识别、社会工程学等等。信息收集详情可参考渗透测试——信息收集详细上面这些信息收集方式确实非常适用可以在逐一使用收集信息但是今天我们就在局域网对靶机攻击其他的就不聊单聊局域网中信息收集手段。
3.1 查看同网段IP
主要目的是探测同网段的ip地址以找到靶机的地址 使用netdiscover -r ip/mask 命令进行局域网中一个网段的ip进行探测例如 netdiscover -r 192.168.0.0/24探测同网段ip地址找到靶机的地址。 Netdiscover是一种网络扫描工具通过ARP扫描发现活动主机可以通过主动和被动两种模式进行ARP扫描。通过主动发送ARP请求检查网络ARP流量通过自动扫描模式扫描网络地址 选项 说明 i device 网络接口 -r range 扫描范围例如192.168.0.0/24仅支持/8, /16和/24 -l file 扫描范围列表文件每行一个范围 -p 被动模式不发生任何报文仅嗅探 -m file 扫描已知Mac地址和主机名的列表文件 -F filter 自定义pcap filter表达式(默认“arp”) -s time 每个ARP请求间的休眠时间(毫秒,默认1ms) -c count 发送每个ARP请求的次数用于丢失数据包的网络默认1次 -n node 扫描最后的源IP默认为67(x.x.x.67),允许范围为2-253 -d 忽略自动扫描和快速模式的主配置文件,扫描默认的范围和IP -f 启用快速模式扫描,扫描每个网段的.1、.100 和 .254 -P 产生输出到文件或者其他解析程序扫描完成后退出例如netdiscover -P -r 192.168.20.0/16 | grep 192.168.20.100 -L 与-P类似但在主动扫描后继续捕获ARP包 -N 不打印表头仅在-P 或者-L启用时有效 通过上面的命令我们可以找到局域网中的靶机位置也就是它的IP地址。接下来针对这个已知的IP我们可以进行端口信息收集工作
3.2 端口探测
主要采用nmap工具对给定IP进行扫描探测这个ip的那些端口是存在服务也许这些服务可以被利用 使用命令nmap -sV 目标ip 主机发现 -sL列表扫描只需列出要扫描的目标 -sPPing扫描只需确定主机是否处于可以互通的状态 -P0将所有主机视为是互通状态跳过主机发现 -PS or PA or PU [端口列表]TCP SYN/ACK 或UDP发现探测到给定的端口 -PE or PP or PMICMP回显、时间戳和网络掩码请求发现探测器 -n从不执行DNS解析 -R始终DNS解析 扫描技术 -sSTCP SYN扫描 优点执行快在没有入侵防火墙的网络上每秒钟可以扫描数千个端口可以明确可靠地区分open(开放的) closed(关闭的)和filtered(被过滤的) 状态 -sTTCP connec()扫描 优点当SYN扫描不能用时CP Connect()扫描就是默认的TCP扫描。它比SYN扫描效率高 不足可能会被目标机记录下连接IDS可能会捕捉到 -sUUDP扫描 DNSSNMP和DHCP (注册的端口是53161/162和67/68)是最常见的三个。 因为UDP扫描一般较慢比TCP更困难一些安全审核人员忽略这些端口。 可以和-sS结合使用来同时检测两种协议 -sN;-sF;-sXTCP Null FIN Xmas扫描不经常使用 优点它们能躲过一些无状态防火墙和报文过滤路由器这些扫描类型甚至比SYN扫描还要隐秘一些但是现如今多数的IDS可以发现它 -sATCP ACK扫描 优点它用于发现防火墙规则确定它们是有状态的还是无状态的哪些端口是被过滤的。 端口扫描 -p只扫描指定的端口 -p-从端口1扫描到65535 -F快速有限端口扫描 在nmap的nmap-services 文件中(对于-sO是协议文件)指定您想要扫描的端口。 这比扫描所有65535个端口快得多。 -r连续扫描端口不随机 服务及版本探测 -sV版本探测也可以用-A同时打开操作系统探测和版本探测 -sRRPC扫描这种方法和许多端口扫描方法联合使用 操作系统探测 -O启用操作系统检测 时间性能 -T0-5:0-5选择常被与其他参数组合使用 模板名称有paranoid (0)、sneaky (1)、polite (2)、normal(3)、 aggressive (4)和insane (5)。前两种模式用于IDS躲避Polite模式降低了扫描 速度以使用更少的带宽和目标主机资源。默认模式为Normal因此-T3 实际上是未做任何优化。Aggressive模式假设用户具有合适及可靠的网络从而加速 扫描。Insane模式假设用户具有特别快的网络或者愿意为获得速度而牺牲准确性。 3.3分析探测到端口
对nmap找到的端口我们逐一分析看能否找到可用的信息比如我们找到某一个端口部署了一个web站点那么可以去找一下web站点的源代码进行源码分析找一下是否存在漏洞 如果发现了一个web站点我们还可以通过dirb命令探测网站隐藏页面命令dirb http://ip:port 通过这一步我们也许可以得到一个robot.txt描述文件或者一些隐藏目录可以被嗅探出来。 一些常见服务的端口
常见数据库端口
服务名称端口Mysql3306Oracle1521Mssql1433MongoDB27017Redis6379
远程连接端口
端口服务名称可能存在的漏洞22SSH远程连接爆破、SSH隧道及内网代理转发、文件传输23Telnet远程连接爆破、嗅探、弱口令3389Rdp远程桌面连接Shift后门(需要winserver2003以下的系统)、爆破5900VNC弱口令爆破5632PyAnywhere服务抓密码、代码执行
文件共享服务端口
端口服务名称可能存在的漏洞21/22/69Ftp/Tftp文件传输协议允许匿名上传、下载、爆破和嗅探2049Nfs服务配置不当139Samba爆破、未授权访问、远程代码执行389Ldap目录访问协议注入、允许匿名访问、弱口令
Web应用服务端口:
端口服务名称可能存在的漏洞80/443/8080常见的web服务端口web攻击、爆破、对应服务器版本漏洞7001/7002WebLogic控制台Java反序列化、弱口令8080/8089Jboss/Resin/Jetty/Jenkins反序列化、控制台弱口令9090WebSpere控制台java反序列化、弱口令4848GlassFish控制台弱口令1352Lotus domino邮件服务弱口令、信息泄露、爆破10000Webmin-Wen控制面板弱口令
邮件服务端口:
端口服务名称可能存在的漏洞25SMTP邮件服务邮件伪造110POP3协议爆破、嗅探143IMAP协议爆破
网络常见协议端口:
端口服务名称可能存在的漏洞53DNS域名系统允许区域传送、DNS劫持、缓存投毒、欺骗67/68DHCP服务劫持、欺骗161SNMP协议爆破、搜索目标内网信息
特殊服务端口:
端口服务名称可能存在的漏洞2181Zookeeper服务未授权访问8069Zabbix服务远程执行、SQL注入9200/9300Elasticsearch服务远程执行11211Memcache服务未授权访问512/513/514Linux Rexec服务爆破、Rlogin登录873Rsync服务匿名访问、文件上传3690Svn服务Svn泄露、未授权访问50000SAP management Console远程执行
3.4 进行漏洞攻击
信息收集完成之后我们需要从已知的信息参考以上暴露端口去推断可能存在的漏洞此时我们可以采用漏洞平台发布的漏洞payload进行攻击通过以上步骤也许我们就能进入靶机上面。但往往我们进入靶机并非root权限。
四、提权
提权非常必要因为入侵系统中是一个低权限的用户其实很多操作是无法执行的提权是提高自己在操作系统中的权限在网站入侵和系统入侵中使用。在计算机中权限分为不同的类别如匿名访问权限、来宾权限、用户权限、管理员权限以及系统权限。这些不同的权限对应着的权利各不相同。例如在普通用户权限下会有很多限制例如无法执行某些程序以及服务。因此提权的目的通常是为了获得更高的权限从而可以执行更多的操作或访问更多的资源。 如果是Linux可以参考内核提权、suid提权、sudo提权、环境变量提权、Cronjobs提权Linux的提权可参考 如果是Windows提权可参考web提权、普通用户提权、windows提权可参考 接下来讲一下横向渗透
五、横向渗透
如果通过突破某一个点然后以这个点为支点进行其他服务器的渗透。横向渗透就是在已经攻击到内网里时候通过肉鸡作为跳板去获取更多的计算机权限从而控制整个内网纵向渗透就是在一台肉鸡里获取更高的权限就是所谓的提权。 横向渗透分为横向渗透IPC$、PTT票据传递攻击、PTH哈希传递攻击、PTK密钥传递攻击 横向渗透方法可参考
六、清理和报告
这一点其实对于攻击者非常重要不然就会暴露其痕迹。常有windows系统痕迹清理和Linux系统痕迹清理。 在windows系统中主要的日志分为以下三类系统日志SysEvent、应用程序日志AppEvent、安全日志SecEvent。 我们可以通过winr eventvwr.msc 打开事件查看器。查看相应的事件信息。
6.1.Windows 日志清理命令 PowerShell -Command “ {Clear-Eventlog -Log Application,System,Security}” msf清理 显示日志信息 run event_manager -i #清除指定日志 run event_manager -c System #清除所有日志 run event_manager -c 6.2.Linux 系统日志清理
Linux 大多数日志文件就是文本常见痕迹清理位置/var/log。如下图日志比较多。 但是最常用的日志有 user.log 用户信息日志 auth.log 用户登录日志 btmp 登录失败日志 为了方便这里我们写了一个清理脚本。 #!/usr/bin/bash echo /var/log/syslog echo /var/log/messages echo /var/log/httpd/access_log echo /var/log/httpd/error_log echo /var/log/xferlog echo /var/log/secure echo /var/log/auth.log echo /var/log/user.log echo /var/log/wtmp echo /var/log/lastlog echo /var/log/btmp echo /var/run/utmp echo /var/log/dpkg.log echo /var/log/daemon.log echo /root/.bash_history history -c 6.3.清除Web日志
web日志会记录用户对web页面的访问操作,web日志会记录访问时间、访问IP地址、访问资源以及是否访问成功等信息。 这里我们以apache2为例、默认文件位置为var/log/apache2,常用的宝塔的日志文件/www/wwwlog
七、注意事项
本次纯粹进行的是技术交流和总结主要对渗透测试前期、中期 和 后期整个过程进行了总结在渗透测试操作的时候我们需要按照合法合规在公开透明的方式进行相应的漏洞攻击发现漏洞存在应及时告知系统相关运营方切记不用做任何非法的操作。
合法合规在进行渗透测试时必须遵守相关法律法规和道德规范不得侵犯他人的合法权益。保护机密信息在测试过程中要注意保护客户的机密信息避免泄露敏感数据。选择合适的测试对象应根据实际情况选择合适的测试对象避免浪费资源或对无关系统造成影响。与客户保持沟通在测试过程中要与客户保持良好的沟通及时反馈测试进展和结果。
