此处仅仅只挑选了一些实战中真正能协助快速getshell的服务,其它的一些相对边缘性的服务均未提及,同样,已按 "实际攻击利用的难易程度" 及 "获取到的shell权限高低"为标准进行了详细排序如下,就每个端口的具体攻击利用方式,进行了简要说明
Top Port List
Mssql [ 默认工作在tcp 1433端口, 弱口令, 敏感账号密码泄露, 提权, 远程执行, 后门植入 ]
SMB
[ 默认工作在tcp 445端口, 弱口令, 远程执行, 后门植入 ]
WMI
[ 默认工作在tcp 135端口, 弱口令, 远程执行, 后门植入 ]
WinRM [ 默认工作在tcp 5985端口,此项主要针对某些高版本Windows, 弱口令, 远程执行, 后门植入 ]
RDP
[ 默认工作在tcp 3389端口, 弱口令, 远程执行, 别人留的shift类后门 ]
SSH
[ 默认工作在tcp 22端口, 弱口令, 远程执行, 后门植入 ]
ORACLE [ 默认工作在tcp 1521端口, 弱口令, 敏感账号密码泄露, 提权, 远程执行, 后门植入 ]
Mysql
[ 默认工作在tcp 3306端口, 弱口令, 敏感账号密码泄露, 提权(只适用于部分老系统) ]
REDIS [ 默认工作在tcp 6379端口, 弱口令, 未授权访问, 写文件(webshell,启动项,计划任务), 提权 ]
POSTGRESQL[ 默认工作在tcp 5432端口, 弱口令, 敏感信息泄露 ]
LDAP
[ 默认工作在tcp 389端口, 未授权访问, 弱口令, 敏感账号密码泄露 ]
SMTP
[ 默认工作在tcp 25端口, 服务错误配置导致的用户名枚举漏洞, 弱口令, 敏感信息泄露 ]
POP3
[ 默认工作在tcp 110端口, 弱口令, 敏感信息泄露 ]
IMAP
[ 默认工作在tcp 143端口, 弱口令, 敏感信息泄露 ]
Exchange [ 默认工作在tcp 443端口, 接口弱口令爆破 eg: Owa,ews,oab,AutoDiscover... pth脱邮件, 敏感信息泄露 ... ]
VNC
[ 默认工作在tcp 5900端口, 弱口令 ]
FTP
[ 默认工作在tcp 21端口, 弱口令, 匿名访问/可写, 敏感信息泄露 ]
Rsync
[ 默认工作在tcp 873端口, 未授权, 弱口令, 敏感信息泄露 ]
Mongodb [ 默认工作在tcp 27017端口, 未授权, 弱口令 ]
TELNET [ 默认工作在tcp 23端口, 弱口令, 后门植入 ]
SVN
[ 默认工作在tcp 3690端口, 弱口令, 敏感信息泄露 ]
JAVA RMI [ 默认工作在tcp 1099端口, 可能存在反序列化利用 ]
CouchDB [ 默认工作在tcp 5984端口, 未授权访问 ]
传统钓鱼攻击利用,实际护网场景中用的非常频繁,细节非常多,此处不一一列举,防御重点
发信前期准备
枚举有效的目标邮箱用户名列表
批量探测目标邮箱弱口令
伪造发信人 [ 发信邮服搭建 ]
钓鱼信 [ 针对不同行业一般也都会事先准备好各种各样的针对性的发信话术模板,以此来提到实际发信成功率 ]
......
典型投递方式
第一种,直接给目标发送各种常规木马信
传统宏利用
捆绑
exe[zip,7z]
lnk
chm
自解压
木马链接
OLE
CVE-2017-11882 [ 利用漏洞触发 ]
...
第二种,给目标发送各种钓鱼链接,比如, 利用各种目标登录口的钓鱼页面来窃取各种内网账号密码
***
Mail
OA
Net ntlm hash [ 远程模板注入,pdf...钓hash,国内ISP过滤SMB流量不适用 ]
......
以下只单独挑了一些在 通用性, 稳定性, 易用性, 实际成功率都相对较好的洞和方式,其它的一些"边缘性"的利用都暂未提及
Windows 系统漏洞 本地提权 [ 成功的前提是,保证事先已做好各种针对性免杀 ]
BypassUAC [ win7 / 8 / 8.1 / 10 ]
MS14-058[KB3000061]
[重点]
MS14-068[KB3011780]
[重点]
ms15-051[KB3045171]
[重点]
MS15-077[KB3077657]
[重点]
MS16-032[KB3124280]
[重点]
ms16-075
[重点]
MS16-135[KB3199135]
[重点]
MS17-010[KB4013389]
[重点]
cve-2019-0708
[重点]
CVE-2019-0803
[重点]
CVE-2019-1322 & CVE-2019-1405
[重点]
cve-2019-12750 [ 赛门铁克(用的较多)本地提权 ]
[重点]
linux 内核漏洞 本地提权 [ linux-exploit-suggester ]
CVE-2016-5195
[重点]
CVE-2017-16995
CVE-2019-13272
利用各类第三方服务 / 软件工具提权
Mssql
[重点]
Oracle
[重点]
Mysql
各类第三方软件dll劫持
[重点]
suid权限
计划任务
各种错误服务配置利用
搜集当前已控"跳板机"的各类敏感信息
注: 如下某些操作肯定是需要事先自己想办法先拿到管理权限后才能正常进行的,此处不再赘述
查看当前shell权限 及 详细系统内核版本
获取当前系统的 详细ip配置,包括 所在域, ip, 掩码, 网关, 主备 dns ip
获取当前系统最近的用户登录记录
获取当前用户的所有命令历史记录 [ 主要针对linux,里面可能包含的有各类敏感账号密码,ip,敏感服务配置... ]
获取本机所有 服务/进程 [包括各个进程的详细权限,也包括目标系统中的可疑恶意进程(有可能是同行的马)]/端口/网络连接信息
获取本机所用杀软 / 监控种类 [ 后续好针对性的做免杀 ]
获取本机 rdp / ssh 端口开启状态 及 其默认端口号
获取本机所有用户的rdp外连记录
获取本机的所有SSH登录记录
获取当前系统所有登录成功的日志 [ 针对windows ]
获取本机所有已安装软件的详细列表 [ 主要为抓密码,提权,留后门做准备 ]
获取本机各个浏览器中保存的 所有书签页 及 历史浏览记录
获取当前用户创建的所有计划任务列表 及 计划任务所对应的执行脚本内容 [ 有些执行脚本中很可能存的有各种连接账号密码 ]
获取当前用户 桌面 及 回收站 里的所有文件列表
获取当前系统的所有存在suid权限的二进制程序
获取当前系统代理 [ ip & 端口 ]
获取当前系统所有的自启动注册表项值
获取当前系统的所有 ipc 连接 及 已启用共享
获取当前系统的所有挂载[mount]
获取当前系统的防火墙状态
获取当前系统所有分区/盘符及其详细使用情况
获取本机的累计开机时长
获取本机arp / dns缓存
获取当前机器环境变量 [ 主要想看看目标机器上有无python,jdk,ruby...等语言的执行环境,后期可设法利用 ]
获取当前系统所有本地用户及组列表
获取当前系统host文件内容
获取当前机器硬件设备信息[ 主要为判断当前机器是否为虚拟机 ]
远程截屏捕捉目标用户敏感操作
由于上述大部分的搜集动作都是基于系统内置工具和接口,故,可完全依靠EDR来实时捕捉各类敏感进程上报恶意操作
利用当前已控 "跳板机", 分析目标内网大致网络拓扑及所有关键性业务机器分布
批量抓取内网所有windows机器名 和 所在 "域" / "工作组名" [smb探测扫描]
针对内网的各种高危敏感服务定位["安全" 端口扫描 (在避免对方防护报警拦截的情况下进行各种常规服务探测识别)]
内网批量 Web Banner 抓取,获取关键目标业务系统如下