實戰對端口的滲透進行更加深刻的剖析

端口滲透過程當中咱們須要關注幾個問題：

一、  端口的banner信息

二、  端口上運行的服務

三、  常見應用的默認端口

固然對於上面這些信息的獲取，咱們有各式各樣的方法，最爲常見的應該就是nmap了吧！

服務默認端口

公認端口(Well Known Ports)：0-1023，他們緊密綁定了一些服務；

註冊端口(Registered Ports)：1024-49151，他們鬆散的綁定了一些服務；

動態/私有：49152-65535，不爲服務分配這些端口；

固然這些端口均可以經過修改來達到欺騙攻擊者的目的，可是這就安全了嗎？攻擊者又可使用什麼攻擊方式來攻擊這些端口呢？

關於爆破之我見

 在對這些端口進行實戰講解時，我須要先闡述一下我對爆破這個方式的一些見解；

爆破：技術最簡單，須要的技術能力基本爲0，工做效率與網絡、硬件等相關，在我看來爆破實際上是最強大的攻擊方式，特別是結合一些特製的字典，結合社
工咱們能夠在很短的時間達到最大的效果，只不過由於咱們的pc或者字典不夠強大，因此不少時候咱們不能進行一次優秀的爆破攻擊；固然如今不少web應用以
及服務端口都限制了暴力破解；對於這種作了限制的咱們可能就須要利用到本文提到的其餘攻擊了！

0x01 實戰測試

文件共享服務端口滲透

ftp服務

FTP服務：ftp服務我分爲兩種狀況，第一種是使用系統軟件來配置，好比IIS中的FTP文件共享或Linux中的默認服務軟件；第二種是經過第三方軟件來配置，好比Serv-U還有一些網上寫的簡易ftp服務器等；

默認端口：20（數據端口）；21（控制端口）；69（tftp小型文件傳輸協議）

攻擊方式：

 爆破：ftp的爆破工具備不少，這裏我推薦owasp的Bruter 以及msf中ftp爆破模塊；

 匿名訪問：用戶名：anonymous  密碼：爲空或任意郵箱

 用戶名：FTP            密碼：FTP或爲空

用戶名：USET         密碼：pass

固然還有不須要用戶名密碼直接訪問的，通常出如今局域網中；

嗅探：ftp使用明文傳輸技術（可是嗅探給予局域網並須要欺騙或監聽網關）

後門技術：在linux的vsftp某一版本中，存在着一個後門程序，只要在用戶名後面加上 就會在6200上打開一個監聽Shell，咱們可使用telnet直接鏈接；詳細請點擊

遠程溢出漏洞：6.10.1 IIS FTP遠程溢出漏洞，在IIS FTP服務器中NLST命令存在一個緩衝區溢出漏洞，這個漏洞多是攻擊者在服務器運行一條非法命令。

跳轉攻擊：（Bounce
Attacks）攻擊者發送一個FTP」PORT」命令給目標FTP服務器，其中包含該主機的網絡地址和被攻擊的服務的端口號。這樣，客戶端就能命令
FTP服務器發一個文件給被攻擊的服務。這個文件可能包括根被攻擊的服務有關的命令（如SMTP,NNTP等）。因爲是命令第三方去鏈接到一種服務，而不
是直接鏈接，就使得跟蹤攻擊者變得困難，而且還避開了基於網絡地址的訪問限制。

（注：此種狀況小白並無遇到過，只是總結一下，歡迎大牛指教）

 NFS服務

nfs：網絡文件系統，容許網絡中的計算機經過TCP/IP網絡共享資源。基於Linux系統，配置方面很簡單，詳細配置請參考案例分享。在nfs
配置中，有不作任何限制的，有限制用戶，有限制IP，以及在版本2.x中咱們還可使用證書來驗證用戶。固然不一樣的限制能夠採用的攻擊方式也不同；就目
前而言網上關於nfs的攻擊仍是比較少的!

默認端口：2049

攻擊方式：

未受權訪問：未限制IP以及用戶權限設置錯誤

Samba服務

Samba服務：對於這個能夠在windows與Linux之間進行共享文件的服務一樣是咱們攻擊的關注點；samba登陸分爲兩種方式，一種是需
要用戶名口令；另外一種是不須要用戶名口令。在不少時候不光是pc機，還有一些服務器，網絡設備都開放着此服務，方便進行文件共享，可是同時也給攻擊者提供
了便利。

默認端口：137（主要用戶NetBIOS Name Service；NetBIOS名稱服務）、139（NetBIOS Session Service，主要提供samba服務）

攻擊方式：

爆破：弱口令（爆破工具採用hydra）hydra -l username -P
PassFile IP smb

未受權訪問：給予public用戶高權限

遠程代碼執行漏洞：CVE-2015-0240等等

LDAP協議

ldap：輕量級目錄訪問協議，最近幾年隨着ldap的普遍使用被發現的漏洞也愈來愈多。可是畢竟主流的攻擊方式仍舊是那些，好比注入，未受權等等；這些問題的出現也都是由於配置不當而形成的。

默認端口：389

攻擊方式：

注入攻擊：盲注

未受權訪問：

爆破：弱口令

遠程鏈接服務端口滲透

SSH服務

SSH服務：這個服務基本會出如今咱們的Linux服務器，網絡設備，安全設備等設備上，並且不少時候這個服務的配置都是默認的；對於SSH服務咱們可能使用爆破攻擊方式較多。

默認端口：22

攻擊方式

爆破：弱口令、

漏洞：28退格漏洞、OpenSSL漏洞

Telnet服務

Telnet服務：在SSH服務崛起的今天咱們已經很難見到使用telnet的服務器，可是在不少設備上一樣仍是有這個服務的；好比cisco、華三，深信服等廠商的設備；我就有不少次經過telnet弱口令控制這些設備；

默認端口：23

攻擊方式

爆破：弱口令

嗅探：此種狀況通常發生在局域網；

Windows遠程鏈接

遠程桌面鏈接：做爲windows上進行遠程鏈接的端口，不少時候咱們在獲得系統爲windows的shell的時候咱們老是但願能夠登陸3389
實際操做對方電腦；這個時候咱們通常的狀況分爲兩種。一種是內網，須要先將目標機3389端口反彈到外網；另外一種就是外網，咱們能夠直接訪問；固然這兩種
狀況咱們利用起來可能須要很苛刻的條件，好比找到登陸密碼等等；

 默認端口：3389

 攻擊方式：

 爆破：3389端口爆破工具就有點多了

 Shift粘滯鍵後門：5次shift後門

 3389漏洞攻擊：利用ms12-020攻擊3389端口，致使服務器關機；請參考

 VNC服務

 VNC：一款優秀的遠控工具，經常使用語類UNIX系統上，簡單功能強大；也

 默認端口：5900+桌面ID（5901；5902）

 攻擊方式：

爆破：弱口令

認證口令繞過：

拒絕服務攻擊：（CVE-2015-5239）

權限提高：（CVE-2013-6886）