滲透測試中經常使用端口利用總結

端口	服務	入侵方式
21	ftp/tftp/vsftpd文件傳輸協議	爆破/嗅探/溢出/後門
22	ssh遠程鏈接	爆破/openssh漏洞
23	Telnet遠程鏈接	爆破/嗅探/弱口令
25	SMTP郵件服務	郵件僞造
53	DNS域名解析系統	域傳送/劫持/緩存投毒/欺騙
67/68	dhcp服務	劫持/欺騙
110	pop3	爆破/嗅探
139	Samba服務	爆破/未受權訪問/遠程命令執行
143	Imap協議	爆破
161	SNMP協議	爆破/蒐集目標內網信息
389	Ldap目錄訪問協議	注入/未受權訪問/弱口令
445	smb	ms17-010/端口溢出
512/513/514	Linux Rexec服務	爆破/Rlogin登錄
873	Rsync服務	文件上傳/未受權訪問
1080	socket	爆破
1352	Lotus domino郵件服務	爆破/信息泄漏
1433	mssql	爆破/注入/SA弱口令
1521	oracle	爆破/注入/TNS爆破/反彈shell
2049	Nfs服務	配置不當
2181	zookeeper服務	未受權訪問
2375	docker remote api	未受權訪問
3306	mysql	爆破/注入
3389	Rdp遠程桌面連接	爆破/shift後門
4848	GlassFish控制檯	爆破/認證繞過
5000	sybase/DB2數據庫	爆破/注入/提權
5432	postgresql	爆破/注入/緩衝區溢出
5632	pcanywhere服務	抓密碼/代碼執行
5900	vnc	爆破/認證繞過
6379	Redis數據庫	未受權訪問/爆破
7001/7002	weblogic	java反序列化/控制檯弱口令
80/443	http/https	web應用漏洞/心臟滴血
8069	zabbix服務	遠程命令執行/注入
8161	activemq	弱口令/寫文件
8080/8089	Jboss/Tomcat/Resin	爆破/PUT文件上傳/反序列化
8083/8086	influxDB	未受權訪問
9000	fastcgi	遠程命令執行
9090	Websphere控制檯	爆破/java反序列化/弱口令
9200/9300	elasticsearch	遠程代碼執行
11211	memcached	未受權訪問
27017/27018	mongodb	未受權訪問/爆破

21端口滲透剖析

FTP一般用做對遠程服務器進行管理，典型應用就是對web系統進行管理。一旦FTP密碼泄露就直接威脅web系統安全，甚至黑客經過提權能夠直接控制服務器。這裏剖析滲透FTP服務器的幾種方法。

（1）基礎爆破：ftp爆破工具不少，這裏我推owasp的Bruter,hydra以及msf中的ftp爆破模塊。
（2) ftp匿名訪問：用戶名：anonymous 密碼：爲空或者任意郵箱
（3）後門vsftpd ：version 2到2.3.4存在後門漏洞，攻擊者能夠經過該漏洞獲取root權限。（https://www.freebuf.com/column/143480.html）
（4）嗅探：ftp使用明文傳輸技術（可是嗅探給予局域網並須要欺騙或監聽網關）,使用Cain進行滲透。
（5）ftp遠程代碼溢出。（https://blog.csdn.net/weixin_42214273/article/details/82892282）（6）ftp跳轉攻擊。（https://blog.csdn.net/mgxcool/article/details/48249473）

22端口滲透剖析　　

SSH 是協議，一般使用 OpenSSH 軟件實現協議應用。SSH 爲 Secure Shell 的縮寫，由 IETF 的網絡工做小組（Network Working Group）所制定；SSH 爲創建在應用層和傳輸層基礎上的安全協議。SSH 是目前較可靠，專爲遠程登陸會話和其它網絡服務提供安全性的協議。利用 SSH 協議能夠有效防止遠程管理過程當中的信息泄露問題。

（1）弱口令，可以使用工具hydra，msf中的ssh爆破模塊。
（2）防火牆SSH後門。（https://www.secpulse.com/archives/69093.html）
（3）28退格 OpenSSL
（4）openssh 用戶枚舉 CVE-2018-15473。（https://www.anquanke.com/post/id/157607）

23端口滲透剖析

telnet是一種舊的遠程管理方式，使用telnet工具登陸系統過程當中，網絡上傳輸的用戶和密碼都是以明文方式傳送的，黑客可以使用嗅探技術截獲到此類密碼。

（1）暴力破解技術是經常使用的技術，使用hydra,或者msf中telnet模塊對其進行破解。
（2）在linux系統中通常採用SSH進行遠程訪問，傳輸的敏感數據都是通過加密的。而對於windows下的telnet來講是脆弱的，由於默認沒有通過任何加密就在網絡中進行傳輸。使用cain等嗅探工具可輕鬆截獲遠程登陸密碼。

　　

25/465端口滲透剖析

smtp：郵件協議，在linux中默認開啓這個服務，能夠向對方發送釣魚郵件。

默認端口：25（smtp）、465（smtps）
（1）爆破：弱口令
（2）未受權訪問

 

53端口滲透剖析

53端口是DNS域名服務器的通訊端口，一般用於域名解析。也是網絡中很是關鍵的服務器之一。這類服務器容易受到攻擊。對於此端口的滲透，通常有三種方式。

（1）使用DNS遠程溢出漏洞直接對其主機進行溢出攻擊，成功後可直接得到系統權限。（https://www.seebug.org/vuldb/ssvid-96718）
（2）使用DNS欺騙攻擊，可對DNS域名服務器進行欺騙，若是黑客再配合網頁木馬進行掛馬攻擊，無疑是一種殺傷力很強的攻擊，黑客可不費吹灰之力就控制內網的大部分主機。這也是內網滲透慣用的技法之一。（https://baijiahao.baidu.com/s?id=1577362432987749706&wfr=spider&for=pc）
（3）拒絕服務攻擊，利用拒絕服務攻擊可快速的致使目標服務器運行緩慢，甚至網絡癱瘓。若是使用拒絕服務攻擊其DNS服務器。將致使用該服務器進行域名解析的用戶沒法正常上網。（http://www.edu.cn/xxh/fei/zxz/201503/t20150305_1235269.shtml）（4）DNS劫持。（https://blog.csdn.net/qq_32447301/article/details/77542474）

　　

80端口滲透剖析

80端口一般提供web服務。目前黑客對80端口的攻擊典型是採用SQL注入的攻擊方法，腳本滲透技術也是一項綜合性極高的web滲透技術，同時腳本滲透技術對80端口也構成嚴重的威脅。

（1）對於windows2000的IIS5.0版本，黑客使用遠程溢出直接對遠程主機進行溢出攻擊，成功後直接得到系統權限。
（2）對於windows2000中IIS5.0版本，黑客也嘗試利用‘Microsoft IISCGI’文件名錯誤解碼漏洞攻擊。使用X-SCAN可直接探測到IIS漏洞。
（3）IIS寫權限漏洞是因爲IIS配置不當形成的安全問題，攻擊者可向存在此類漏洞的服務器上傳惡意代碼，好比上傳腳本木馬擴大控制權限。
（4）普通的http封包是沒有通過加密就在網絡中傳輸的，這樣就可經過嗅探類工具截取到敏感的數據。如使用Cain工具完成此類滲透。
（5）80端口的攻擊，更多的是採用腳本滲透技術，利用web應用程序的漏洞進行滲透是目前很流行的攻擊方式。
（6）對於滲透只開放80端口的服務器來講，難度很大。利用端口複用工具可解決此類技術難題。
（7）CC攻擊效果不及DDOS效果明顯，可是對於攻擊一些小型web站點仍是比較有用的。CC攻擊可以使目標站點運行緩慢，頁面沒法打開，有時還會爆出web程序的絕對路徑。

　　

135端口滲透剖析

135端口主要用於使用RPC協議並提供DCOM服務，經過RPC能夠保證在一臺計算機上運行的程序能夠順利地執行遠程計算機上的代碼；使用DCOM能夠經過網絡直接進行通訊，可以跨包括HTTP協議在內的多種網絡傳輸。同時這個端口也爆出過很多漏洞，最嚴重的就是緩衝區溢出漏洞，曾經瘋狂一時的‘衝擊波’病毒就是利用這個漏洞進行傳播的。對於135端口的滲透，黑客的滲透方法爲:

（1）查找存在RPC溢出的主機，進行遠程溢出攻擊，直接得到系統權限。如用‘DSScan’掃描存在此漏洞的主機。對存在漏洞的主機可以使用‘ms05011.exe’進行溢出，溢出成功後得到系統權限。（https://wenku.baidu.com/view/68b3340c79563c1ec5da710a.html）
（2）掃描存在弱口令的135主機，利用RPC遠程過程調用開啓telnet服務並登陸telnet執行系統命令。系統弱口令的掃描通常使用hydra。對於telnet服務的開啓可以使用工具kali連接。（https://wenku.baidu.com/view/c8b96ae2700abb68a982fbdf.html）

 

139/445端口滲透剖析

139端口是爲‘NetBIOS SessionService’提供的，主要用於提供windows文件和打印機共享以及UNIX中的Samba服務。445端口也用於提供windows文件和打印機共享，在內網環境中使用的很普遍。這兩個端口一樣屬於重點攻擊對象，139/445端口曾出現過許多嚴重級別的漏洞。下面剖析滲透此類端口的基本思路。

（1）對於開放139/445端口的主機，通常嘗試利用溢出漏洞對遠程主機進行溢出攻擊，成功後直接得到系統權限。利用msf的ms-017永恆之藍。（https://blog.csdn.net/qq_41880069/article/details/82908131）
（2）對於攻擊只開放445端口的主機，黑客通常使用工具‘MS06040’或‘MS08067’.可以使用專用的445端口掃描器進行掃描。NS08067溢出工具對windows2003系統的溢出十分有效，工具基本使用參數在cmd下會有提示。（https://blog.csdn.net/god_7z1/article/details/6773652）
（3）對於開放139/445端口的主機，黑客通常使用IPC$進行滲透。在沒有使用特色的帳戶和密碼進行空鏈接時，權限是最小的。得到系統特定帳戶和密碼成爲提高權限的關鍵了，好比得到administrator帳戶的口令。（https://blog.warhut.cn/dmbj/145.html）
（4）對於開放139/445端口的主機，可利用共享獲取敏感信息，這也是內網滲透中收集信息的基本途徑。

　　

1433端口滲透剖析

1433是SQLServer默認的端口，SQL Server服務使用兩個端口：tcp-143三、UDP-1434.其中1433用於供SQLServer對外提供服務，1434用於向請求者返回SQLServer使用了哪些TCP/IP端口。1433端口一般遭到黑客的攻擊，並且攻擊的方式層出不窮。最嚴重的莫過於遠程溢出漏洞了，如因爲SQL注射攻擊的興起，各種數據庫時刻面臨着安全威脅。利用SQL注射技術對數據庫進行滲透是目前比較流行的攻擊方式，此類技術屬於腳本滲透技術。1433是SQLServer默認的端口，SQL Server服務使用兩個端口：tcp-143三、UDP-1434.其中1433用於供SQLServer對外提供服務，1434用於向請求者返回SQLServer使用了哪些TCP/IP端口。1433端口一般遭到黑客的攻擊，並且攻擊的方式層出不窮。最嚴重的莫過於遠程溢出漏洞了，如因爲SQL注射攻擊的興起，各種數據庫時刻面臨着安全威脅。利用SQL注射技術對數據庫進行滲透是目前比較流行的攻擊方式，此類技術屬於腳本滲透技術。

（1）對於開放1433端口的SQL Server2000的數據庫服務器，黑客嘗試使用遠程溢出漏洞對主機進行溢出測試，成功後直接得到系統權限。（https://blog.csdn.net/gxj022/article/details/4593015）
（2）暴力破解技術是一項經典的技術。通常破解的對象都是SA用戶。經過字典破解的方式很快破解出SA的密碼。（https://blog.csdn.net/kali_linux/article/details/50499576）
（3）嗅探技術一樣能嗅探到SQL Server的登陸密碼。
（4）因爲腳本程序編寫的不嚴密，例如，程序員對參數過濾不嚴等，這都會形成嚴重的注射漏洞。經過SQL注射可間接性的對數據庫服務器進行滲透，經過調用一些存儲過程執行系統命令。可使用SQL綜合利用工具完成。

　　

1521端口滲透剖析

1521是大型數據庫Oracle的默認監聽端口，估計新手還對此端口比較陌生，平時你們接觸的比較多的是Access，MSSQL以及MYSQL這三種數據庫。通常大型站點纔會部署這種比較昂貴的數據庫系統。對於滲透這種比較複雜的數據庫系統，黑客的思路以下：

（1）Oracle擁有很是多的默認用戶名和密碼，爲了得到數據庫系統的訪問權限，破解數據庫系統用戶以及密碼是黑客必須攻破的一道安全防線。
（2）SQL注射一樣對Oracle十分有效，經過注射可得到數據庫的敏感信息，包括管理員密碼等。
（3）在注入點直接建立java，執行系統命令。（4）https://www.leiphone.com/news/201711/JjzXFp46zEPMvJod.html

　　

2049端口滲透剖析

NFS（Network File System）即網絡文件系統，是FreeBSD支持的文件系統中的一種，它容許網絡中的計算機之間經過TCP/IP網絡共享資源。在NFS的應用中，本地NFS的客戶端應用能夠透明地讀寫位於遠端NFS服務器上的文件，就像訪問本地文件同樣。現在NFS具有了防止被利用導出文件夾的功能，但遺留系統中的NFS服務配置不當，則仍可能遭到惡意攻擊者的利用。

未受權訪問。（https://www.freebuf.com/articles/network/159468.html） (http://www.secist.com/archives/6192.htm)

　　

3306端口滲透剖析

3306是MYSQL數據庫默認的監聽端口，一般部署在中型web系統中。在國內LAMP的配置是很是流行的，對於php+mysql構架的攻擊也是屬於比較熱門的話題。mysql數據庫容許用戶使用自定義函數功能，這使得黑客可編寫惡意的自定義函數對服務器進行滲透，最後取得服務器最高權限。對於3306端口的滲透，黑客的方法以下:

（1）因爲管理者安全意識淡薄，一般管理密碼設置過於簡單，甚至爲空口令。使用破解軟件很容易破解此類密碼，利用破解的密碼登陸遠程mysql數據庫，上傳構造的惡意UDF自定義函數代碼進行註冊，經過調用註冊的惡意函數執行系統命令。或者向web目錄導出惡意的腳本程序，以控制整個web系統。
（2）功能強大的‘cain’一樣支持對3306端口的嗅探，同時嗅探也是滲透思路的一種。
（3）SQL注入一樣對mysql數據庫威脅巨大，不只能夠獲取數據庫的敏感信息，還可以使用load_file()函數讀取系統的敏感配置文件或者從web數據庫連接文件中得到root口令等，導出惡意代碼到指定路徑等。

　　

3389端口滲透剖析

3389是windows遠程桌面服務默認監聽的端口，管理員經過遠程桌面對服務器進行維護，這給管理工做帶來的極大的方便。一般此端口也是黑客們較爲感興趣的端口之一，利用它可對遠程服務器進行控制，並且不須要另外安裝額外的軟件，實現方法比較簡單。固然這也是系統合法的服務，一般是不會被殺毒軟件所查殺的。使用‘輸入法漏洞’進行滲透。

（1）對於windows2000的舊系統版本，使用‘輸入法漏洞’進行滲透。
（2）cain是一款超級的滲透工具，一樣支持對3389端口的嗅探。
（3）Shift粘滯鍵後門：5次shift後門
（4）社會工程學一般是最可怕的攻擊技術，若是管理者的一切習慣和規律被黑客摸透的話，那麼他管理的網絡系統會由於他的弱點被滲透。（5）爆破3389端口。這裏仍是推薦使用hydra爆破工具。（6）ms12_020死亡藍屏攻擊。（https://www.cnblogs.com/R-Hacker/p/9178066.html）（7）https://www.cnblogs.com/backlion/p/9429738.html

　　

4899端口滲透剖析

4899端口是remoteadministrator遠程控制軟件默認監聽的端口，也就是平時常說的radmini影子。radmini目前支持TCP/IP協議，應用十分普遍，在不少服務器上都會看到該款軟件的影子。對於此軟件的滲透，思路以下：

（1）radmini一樣存在很多弱口令的主機，經過專用掃描器可探測到此類存在漏洞的主機。
（2）radmini遠控的鏈接密碼和端口都是寫入到註冊表系統中的，經過使用webshell註冊表讀取功能可讀取radmini在註冊表的各項鍵值內容，從而破解加密的密碼散列。

　　

5432端口滲透剖析

PostgreSQL是一種特性很是齊全的自由軟件的對象–關係型數據庫管理系統，能夠說是目前世界上最早進，功能最強大的自由數據庫管理系統。包括kali系統中msf也使用這個數據庫；淺談postgresql數據庫攻擊技術 大部分關於它的攻擊依舊是sql注入，因此注入纔是數據庫不變的話題。

（1）爆破：弱口令：postgres postgres
（2）緩衝區溢出：CVE-2014-2669。（http://drops.xmd5.com/static/drops/tips-6449.html）（3）遠程代碼執行：CVE-2018-1058。（https://www.secpulse.com/archives/69153.html）

　　

5631端口滲透剖析

5631端口是著名遠程控制軟件pcanywhere的默認監聽端口，同時也是世界領先的遠程控制軟件。利用此軟件，用戶能夠有效管理計算機並快速解決技術支持問題。因爲軟件的設計缺陷，使得黑客可隨意下載保存鏈接密碼的*.cif文件，經過專用破解軟件進行破解。這些操做都必須在擁有必定權限下才可完成，至少經過腳本滲透得到一個webshell。一般這些操做在黑客界被稱爲pcanywhere提權技術。

PcAnyWhere提權。（https://blog.csdn.net/Fly_hps/article/details/80377199）

　　

5900端口滲透剖析

5900端口是優秀遠程控制軟件VNC的默認監聽端口，此軟件由著名的AT&T的歐洲研究實驗室開發的。VNC是在基於unix和linux操做系統的免費的開放源碼軟件，遠程控制能力強大，高效實用，其性能能夠和windows和MAC中的任何一款控制軟件媲美。對於該端口的滲透，思路以下：

（1）VNC軟件存在密碼驗證繞過漏洞，此高危漏洞可使得惡意攻擊者不須要密碼就能夠登陸到一個遠程系統。
（2）cain一樣支持對VNC的嗅探，同時支持端口修改。
（3）VNC的配置信息一樣被寫入註冊表系統中，其中包括鏈接的密碼和端口。利用webshell的註冊表讀取功能進行讀取加密算法，而後破解。（4）VNC拒絕服務攻擊（CVE-2015-5239）。（http://blogs.360.cn/post/vnc%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%BC%8F%E6%B4%9Ecve-2015-5239%E5%88%86%E6%9E%90.html）（5）VNC權限提高（CVE-2013-6886）。

 

6379端口滲透剖析

Redis是一個開源的使用c語言寫的，支持網絡、可基於內存亦可持久化的日誌型、key-value數據庫。關於這個數據庫這兩年仍是很火的，暴露出來的問題也不少。特別是前段時間暴露的未受權訪問。

（1）爆破：弱口令
（2）未受權訪問+配合ssh key提權。（http://www.alloyteam.com/2017/07/12910/）

　　

7001/7002端口滲透剖析

7001/7002一般是weblogic中間件端口

（1）弱口令、爆破，弱密碼通常爲weblogic/Oracle@123 or weblogic
（2）管理後臺部署 war 後門
（3）SSRF
（4）反序列化漏洞
（5）weblogic_uachttps://github.com/vulhub/vulhub/tree/master/weblogic/ssrfhttps://bbs.pediy.com/thread-224954.htmhttps://fuping.site/2017/06/05/Weblogic-Vulnerability-Verification/https://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html

　　

8080端口滲透剖析

8080端口一般是apache_Tomcat服務器默認監聽端口，apache是世界使用排名第一的web服務器。國內不少大型系統都是使用apache服務器，對於這種大型服務器的滲透，主要有如下方法：

（1）Tomcat遠程代碼執行漏洞（https://www.freebuf.com/column/159200.html）
（2）Tomcat任意文件上傳。（http://liehu.tass.com.cn/archives/836）
（3）Tomcat遠程代碼執行&信息泄露。（https://paper.seebug.org/399/）
（4）Jboss遠程代碼執行。（http://mobile.www.cnblogs.com/Safe3/archive/2010/01/08/1642371.html）
（5）Jboss反序列化漏洞。（https://www.zybuluo.com/websec007/note/838374）
（6）Jboss漏洞利用。（https://blog.csdn.net/u011215939/article/details/79141624）

　　

27017端口滲透剖析

MongoDB，NoSQL數據庫；攻擊方法與其餘數據庫相似

（1）爆破：弱口令
（2）未受權訪問；（http://www.cnblogs.com/LittleHann/p/6252421.html）（3）http://www.tiejiang.org/19157.htm

　　

 

轉載自https://mp.weixin.qq.com/s/Tg1-puJFgztNqtY9KoMeog