配置不当的网络服务
配置不当的网络服务
利用 Web 漏洞与社会工程学攻击是突破边界的主要手段,并且对于企业来说,例如 FTP 之类的网络服务越来越少在互联网上被公开,但这不意味着通过配置不当的网络服务突破边界是不可做到的事情。需要注意的是,我们讨论的是网络服务的不当配置,而不是利用漏洞,或者即便有漏洞可利用(拒绝服务漏洞)也不会给予我们额外优势。同利用漏洞一样,有时候我们需要将多个线索进行组合利用。以下是一些常见的网络服务以及常见的不当配置(不讨论弱口令以及 CVE漏CVE 漏洞)。虽然这些服务更多时候出现在内网,但将它们暴露给互联网本身也是不必要且不应该的。
FTP:允许
| 服务 | 默认端口 | 脆弱配置 |
| FTP | 21 | 匿名访问 |
| SMTP | 25 | 开放中继 |
| MSRPC | 135 | 系统进程与信息泄露 |
| NBT- |
139 | 空会话访问 |
| SMB | 445 | 空会话 |
| VNC | 5900/5901 | 无认证 |
| WinRM | 5985/5986 | 系统与
|
| X11 | 6000 | 无认证 |
| MSSQL | 1433 | 系统与域信息 |
| RDP | 3389 | 系统与域信息泄露 |
| Redis | 6379 | 无认证,任意文件写权限 |
| Rsync | 873 | 无认证 |
| MongoDB | 27017 | 无认证 |
Rsync:未实施认证
以及其他
在使用 Nmap 扫描过 raven-medicine.org 之后,我们发现端口 21 是开放的,通常是 FTP 服务的端口。我们针对该端口进行更加详细的服务扫描:
└─# nmap -p21 -sV -vv raven-medicine.org
Starting Nmap 7.92 ( https://nmap.org ) at 2023-02-26 12:54 PST
NSE: Loaded 45 scripts for scanning.
Initiating Ping Scan at 12:54
Scanning raven-medicine.org (185.2.101.114) [4 ports]
Completed Ping Scan at 12:54, 0.15s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 12:54
Completed Parallel DNS resolution of 1 host. at 12:54, 0.22s elapsed
Initiating SYN Stealth Scan at 12:54
Scanning raven-medicine.org (185.2.101.114) [1 port]
Discovered open port 21/tcp on 185.2.101.114
Completed SYN Stealth Scan at 12:54, 0.15s elapsed (1 total ports)
Initiating Service scan at 12:54
Scanning 1 service on raven-medicine.org (185.2.101.114)
Completed Service scan at 12:54, 1.45s elapsed (1 service on 1 host)
NSE: Script scanning 185.2.101.114.
NSE: Starting runlevel 1 (of 2) scan.
Initiating NSE at 12:54
Completed NSE at 12:54, 0.00s elapsed
NSE: Starting runlevel 2 (of 2) scan.
Initiating NSE at 12:54
Completed NSE at 12:54, 0.00s elapsed
Nmap scan report for raven-medicine.org (185.2.101.114)
Host is up, received reset ttl 110 (0.11s latency).
rDNS record for 185.2.101.114: m2314.contaboserver.net
Scanned at 2023-02-26 12:54:55 PST for 2s
PORT STATE SERVICE REASON VERSION
21/tcp open ftp syn-ack ttl 110 vsftpd 3.0.3
Service Info: OS: Unix
Read data files from: /usr/bin/../share/nmap
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 2.43 seconds
Raw packets sent: 5 (196B) | Rcvd: 2 (84B)
该服务确实为 FTP,软件以及版本为 VsFTPD 3.0.3。该版本的 FTP 服务器较新,不具有严重漏洞。
检查一下该服务是否允许匿名访问。检测匿名访问,通常尝试使用用户 anonymous 或 ftp。该目标的确允许匿名访问,并且该服务器上还存储着一些文件。
我们可以使用 wget 将可下载的文件全部下载到本地,慢慢分析
└─# wget -m ftp://anonymous:admin@raven-medicine.org
--2023-02-26 13:00:38-- ftp://anonymous:*password*@raven-medicine.org/
=> ‘raven-medicine.org/.listing’
Resolving raven-medicine.org (raven-medicine.org)... 185.2.101.114
Connecting to raven-medicine.org (raven-medicine.org)|185.2.101.114|:21... connected.
Logging in as anonymous ... Logged in!
==> SYST ... done. ==> PWD ... done.
==> TYPE I ... done. ==> CWD not needed.
==> PASV ... done. ==> LIST ... done.
raven-medicine.org/.listing [ <=> ] 246 --.-KB/s in 0s
2023-02-26 13:00:41 (38.8 MB/s) - ‘raven-medicine.org/.listing’ saved [246]
--2023-02-26 13:00:41-- ftp://anonymous:*password*@raven-medicine.org/note.txt
我们在这些文件中发现一个 txt 文件,看起来是个便签,但是似乎记录了一组 Github 的明文凭证。文件夹里似乎是一个叫 chat.js 应用的源代码
我们使用该账户尝试登陆 Github,发现登陆成功。
该帐号有一个公开的仓库,存放着一个脚本。尽管目前为止我们还不知道该信息对于我们有何作用,但在之后的渗透过程中可以来回顾该信息,以打开新的通道。
