渗透测试中经常使用端口利用总结

时间 2019-11-09

标签渗透测试中经常使端口利用总结繁體版

原文原文链接

端口	服务	入侵方式
21	ftp/tftp/vsftpd文件传输协议	爆破/嗅探/溢出/后门
22	ssh远程链接	爆破/openssh漏洞
23	Telnet远程链接	爆破/嗅探/弱口令
25	SMTP邮件服务	邮件伪造
53	DNS域名解析系统	域传送/劫持/缓存投毒/欺骗
67/68	dhcp服务	劫持/欺骗
110	pop3	爆破/嗅探
139	Samba服务	爆破/未受权访问/远程命令执行
143	Imap协议	爆破
161	SNMP协议	爆破/搜集目标内网信息
389	Ldap目录访问协议	注入/未受权访问/弱口令
445	smb	ms17-010/端口溢出
512/513/514	Linux Rexec服务	爆破/Rlogin登录
873	Rsync服务	文件上传/未受权访问
1080	socket	爆破
1352	Lotus domino邮件服务	爆破/信息泄漏
1433	mssql	爆破/注入/SA弱口令
1521	oracle	爆破/注入/TNS爆破/反弹shell
2049	Nfs服务	配置不当
2181	zookeeper服务	未受权访问
2375	docker remote api	未受权访问
3306	mysql	爆破/注入
3389	Rdp远程桌面连接	爆破/shift后门
4848	GlassFish控制台	爆破/认证绕过
5000	sybase/DB2数据库	爆破/注入/提权
5432	postgresql	爆破/注入/缓冲区溢出
5632	pcanywhere服务	抓密码/代码执行
5900	vnc	爆破/认证绕过
6379	Redis数据库	未受权访问/爆破
7001/7002	weblogic	java反序列化/控制台弱口令
80/443	http/https	web应用漏洞/心脏滴血
8069	zabbix服务	远程命令执行/注入
8161	activemq	弱口令/写文件
8080/8089	Jboss/Tomcat/Resin	爆破/PUT文件上传/反序列化
8083/8086	influxDB	未受权访问
9000	fastcgi	远程命令执行
9090	Websphere控制台	爆破/java反序列化/弱口令
9200/9300	elasticsearch	远程代码执行
11211	memcached	未受权访问
27017/27018	mongodb	未受权访问/爆破

21端口渗透剖析

FTP一般用做对远程服务器进行管理，典型应用就是对web系统进行管理。一旦FTP密码泄露就直接威胁web系统安全，甚至黑客经过提权能够直接控制服务器。这里剖析渗透FTP服务器的几种方法。php

（1）基础爆破：ftp爆破工具不少，这里我推owasp的Bruter,hydra以及msf中的ftp爆破模块。
（2) ftp匿名访问：用户名：anonymous 密码：为空或者任意邮箱
（3）后门vsftpd ：version 2到2.3.4存在后门漏洞，攻击者能够经过该漏洞获取root权限。（https://www.freebuf.com/column/143480.html）
（4）嗅探：ftp使用明文传输技术（可是嗅探给予局域网并须要欺骗或监听网关）,使用Cain进行渗透。
（5）ftp远程代码溢出。（https://blog.csdn.net/weixin_42214273/article/details/82892282）（6）ftp跳转攻击。（https://blog.csdn.net/mgxcool/article/details/48249473）

22端口渗透剖析　　

SSH 是协议，一般使用 OpenSSH 软件实现协议应用。SSH 为 Secure Shell 的缩写，由 IETF 的网络工做小组（Network Working Group）所制定；SSH 为创建在应用层和传输层基础上的安全协议。SSH 是目前较可靠，专为远程登陆会话和其它网络服务提供安全性的协议。利用 SSH 协议能够有效防止远程管理过程当中的信息泄露问题。html

（1）弱口令，可以使用工具hydra，msf中的ssh爆破模块。
（2）防火墙SSH后门。（https://www.secpulse.com/archives/69093.html）
（3）28退格 OpenSSL
（4）openssh 用户枚举 CVE-2018-15473。（https://www.anquanke.com/post/id/157607）

23端口渗透剖析

telnet是一种旧的远程管理方式，使用telnet工具登陆系统过程当中，网络上传输的用户和密码都是以明文方式传送的，黑客可以使用嗅探技术截获到此类密码。java

（1）暴力破解技术是经常使用的技术，使用hydra,或者msf中telnet模块对其进行破解。
（2）在linux系统中通常采用SSH进行远程访问，传输的敏感数据都是通过加密的。而对于windows下的telnet来讲是脆弱的，由于默认没有通过任何加密就在网络中进行传输。使用cain等嗅探工具可轻松截获远程登陆密码。

25/465端口渗透剖析

smtp：邮件协议，在linux中默认开启这个服务，能够向对方发送钓鱼邮件。mysql

默认端口：25（smtp）、465（smtps）
（1）爆破：弱口令
（2）未受权访问

53端口渗透剖析

53端口是DNS域名服务器的通讯端口，一般用于域名解析。也是网络中很是关键的服务器之一。这类服务器容易受到攻击。对于此端口的渗透，通常有三种方式。linux

（1）使用DNS远程溢出漏洞直接对其主机进行溢出攻击，成功后可直接得到系统权限。（https://www.seebug.org/vuldb/ssvid-96718）
（2）使用DNS欺骗攻击，可对DNS域名服务器进行欺骗，若是黑客再配合网页木马进行挂马攻击，无疑是一种杀伤力很强的攻击，黑客可不费吹灰之力就控制内网的大部分主机。这也是内网渗透惯用的技法之一。（https://baijiahao.baidu.com/s?id=1577362432987749706&wfr=spider&for=pc）
（3）拒绝服务攻击，利用拒绝服务攻击可快速的致使目标服务器运行缓慢，甚至网络瘫痪。若是使用拒绝服务攻击其DNS服务器。将致使用该服务器进行域名解析的用户没法正常上网。（http://www.edu.cn/xxh/fei/zxz/201503/t20150305_1235269.shtml）（4）DNS劫持。（https://blog.csdn.net/qq_32447301/article/details/77542474）

80端口渗透剖析

80端口一般提供web服务。目前黑客对80端口的攻击典型是采用SQL注入的攻击方法，脚本渗透技术也是一项综合性极高的web渗透技术，同时脚本渗透技术对80端口也构成严重的威胁。git

（1）对于windows2000的IIS5.0版本，黑客使用远程溢出直接对远程主机进行溢出攻击，成功后直接得到系统权限。
（2）对于windows2000中IIS5.0版本，黑客也尝试利用‘Microsoft IISCGI’文件名错误解码漏洞攻击。使用X-SCAN可直接探测到IIS漏洞。
（3）IIS写权限漏洞是因为IIS配置不当形成的安全问题，攻击者可向存在此类漏洞的服务器上传恶意代码，好比上传脚本木马扩大控制权限。
（4）普通的http封包是没有通过加密就在网络中传输的，这样就可经过嗅探类工具截取到敏感的数据。如使用Cain工具完成此类渗透。
（5）80端口的攻击，更多的是采用脚本渗透技术，利用web应用程序的漏洞进行渗透是目前很流行的攻击方式。
（6）对于渗透只开放80端口的服务器来讲，难度很大。利用端口复用工具可解决此类技术难题。
（7）CC攻击效果不及DDOS效果明显，可是对于攻击一些小型web站点仍是比较有用的。CC攻击可以使目标站点运行缓慢，页面没法打开，有时还会爆出web程序的绝对路径。

135端口渗透剖析

135端口主要用于使用RPC协议并提供DCOM服务，经过RPC能够保证在一台计算机上运行的程序能够顺利地执行远程计算机上的代码；使用DCOM能够经过网络直接进行通讯，可以跨包括HTTP协议在内的多种网络传输。同时这个端口也爆出过很多漏洞，最严重的就是缓冲区溢出漏洞，曾经疯狂一时的‘冲击波’病毒就是利用这个漏洞进行传播的。对于135端口的渗透，黑客的渗透方法为:程序员

（1）查找存在RPC溢出的主机，进行远程溢出攻击，直接得到系统权限。如用‘DSScan’扫描存在此漏洞的主机。对存在漏洞的主机可以使用‘ms05011.exe’进行溢出，溢出成功后得到系统权限。（https://wenku.baidu.com/view/68b3340c79563c1ec5da710a.html）
（2）扫描存在弱口令的135主机，利用RPC远程过程调用开启telnet服务并登陆telnet执行系统命令。系统弱口令的扫描通常使用hydra。对于telnet服务的开启可以使用工具kali连接。（https://wenku.baidu.com/view/c8b96ae2700abb68a982fbdf.html）

139/445端口渗透剖析

139端口是为‘NetBIOS SessionService’提供的，主要用于提供windows文件和打印机共享以及UNIX中的Samba服务。445端口也用于提供windows文件和打印机共享，在内网环境中使用的很普遍。这两个端口一样属于重点攻击对象，139/445端口曾出现过许多严重级别的漏洞。下面剖析渗透此类端口的基本思路。github

（1）对于开放139/445端口的主机，通常尝试利用溢出漏洞对远程主机进行溢出攻击，成功后直接得到系统权限。利用msf的ms-017永恒之蓝。（https://blog.csdn.net/qq_41880069/article/details/82908131）
（2）对于攻击只开放445端口的主机，黑客通常使用工具‘MS06040’或‘MS08067’.可以使用专用的445端口扫描器进行扫描。NS08067溢出工具对windows2003系统的溢出十分有效，工具基本使用参数在cmd下会有提示。（https://blog.csdn.net/god_7z1/article/details/6773652）
（3）对于开放139/445端口的主机，黑客通常使用IPC$进行渗透。在没有使用特色的帐户和密码进行空链接时，权限是最小的。得到系统特定帐户和密码成为提高权限的关键了，好比得到administrator帐户的口令。（https://blog.warhut.cn/dmbj/145.html）
（4）对于开放139/445端口的主机，可利用共享获取敏感信息，这也是内网渗透中收集信息的基本途径。

1433端口渗透剖析

1433是SQLServer默认的端口，SQL Server服务使用两个端口：tcp-143三、UDP-1434.其中1433用于供SQLServer对外提供服务，1434用于向请求者返回SQLServer使用了哪些TCP/IP端口。1433端口一般遭到黑客的攻击，并且攻击的方式层出不穷。最严重的莫过于远程溢出漏洞了，如因为SQL注射攻击的兴起，各种数据库时刻面临着安全威胁。利用SQL注射技术对数据库进行渗透是目前比较流行的攻击方式，此类技术属于脚本渗透技术。1433是SQLServer默认的端口，SQL Server服务使用两个端口：tcp-143三、UDP-1434.其中1433用于供SQLServer对外提供服务，1434用于向请求者返回SQLServer使用了哪些TCP/IP端口。1433端口一般遭到黑客的攻击，并且攻击的方式层出不穷。最严重的莫过于远程溢出漏洞了，如因为SQL注射攻击的兴起，各种数据库时刻面临着安全威胁。利用SQL注射技术对数据库进行渗透是目前比较流行的攻击方式，此类技术属于脚本渗透技术。web

（1）对于开放1433端口的SQL Server2000的数据库服务器，黑客尝试使用远程溢出漏洞对主机进行溢出测试，成功后直接得到系统权限。（https://blog.csdn.net/gxj022/article/details/4593015）
（2）暴力破解技术是一项经典的技术。通常破解的对象都是SA用户。经过字典破解的方式很快破解出SA的密码。（https://blog.csdn.net/kali_linux/article/details/50499576）
（3）嗅探技术一样能嗅探到SQL Server的登陆密码。
（4）因为脚本程序编写的不严密，例如，程序员对参数过滤不严等，这都会形成严重的注射漏洞。经过SQL注射可间接性的对数据库服务器进行渗透，经过调用一些存储过程执行系统命令。可使用SQL综合利用工具完成。

1521端口渗透剖析

1521是大型数据库Oracle的默认监听端口，估计新手还对此端口比较陌生，平时你们接触的比较多的是Access，MSSQL以及MYSQL这三种数据库。通常大型站点才会部署这种比较昂贵的数据库系统。对于渗透这种比较复杂的数据库系统，黑客的思路以下：算法

（1）Oracle拥有很是多的默认用户名和密码，为了得到数据库系统的访问权限，破解数据库系统用户以及密码是黑客必须攻破的一道安全防线。
（2）SQL注射一样对Oracle十分有效，经过注射可得到数据库的敏感信息，包括管理员密码等。
（3）在注入点直接建立java，执行系统命令。（4）https://www.leiphone.com/news/201711/JjzXFp46zEPMvJod.html

2049端口渗透剖析

NFS（Network File System）即网络文件系统，是FreeBSD支持的文件系统中的一种，它容许网络中的计算机之间经过TCP/IP网络共享资源。在NFS的应用中，本地NFS的客户端应用能够透明地读写位于远端NFS服务器上的文件，就像访问本地文件同样。现在NFS具有了防止被利用导出文件夹的功能，但遗留系统中的NFS服务配置不当，则仍可能遭到恶意攻击者的利用。

未受权访问。（https://www.freebuf.com/articles/network/159468.html） (http://www.secist.com/archives/6192.htm)

3306端口渗透剖析

3306是MYSQL数据库默认的监听端口，一般部署在中型web系统中。在国内LAMP的配置是很是流行的，对于php+mysql构架的攻击也是属于比较热门的话题。mysql数据库容许用户使用自定义函数功能，这使得黑客可编写恶意的自定义函数对服务器进行渗透，最后取得服务器最高权限。对于3306端口的渗透，黑客的方法以下:

（1）因为管理者安全意识淡薄，一般管理密码设置过于简单，甚至为空口令。使用破解软件很容易破解此类密码，利用破解的密码登陆远程mysql数据库，上传构造的恶意UDF自定义函数代码进行注册，经过调用注册的恶意函数执行系统命令。或者向web目录导出恶意的脚本程序，以控制整个web系统。
（2）功能强大的‘cain’一样支持对3306端口的嗅探，同时嗅探也是渗透思路的一种。
（3）SQL注入一样对mysql数据库威胁巨大，不只能够获取数据库的敏感信息，还可以使用load_file()函数读取系统的敏感配置文件或者从web数据库连接文件中得到root口令等，导出恶意代码到指定路径等。

3389端口渗透剖析

3389是windows远程桌面服务默认监听的端口，管理员经过远程桌面对服务器进行维护，这给管理工做带来的极大的方便。一般此端口也是黑客们较为感兴趣的端口之一，利用它可对远程服务器进行控制，并且不须要另外安装额外的软件，实现方法比较简单。固然这也是系统合法的服务，一般是不会被杀毒软件所查杀的。使用‘输入法漏洞’进行渗透。

（1）对于windows2000的旧系统版本，使用‘输入法漏洞’进行渗透。
（2）cain是一款超级的渗透工具，一样支持对3389端口的嗅探。
（3）Shift粘滞键后门：5次shift后门
（4）社会工程学一般是最可怕的攻击技术，若是管理者的一切习惯和规律被黑客摸透的话，那么他管理的网络系统会由于他的弱点被渗透。（5）爆破3389端口。这里仍是推荐使用hydra爆破工具。（6）ms12_020死亡蓝屏攻击。（https://www.cnblogs.com/R-Hacker/p/9178066.html）（7）https://www.cnblogs.com/backlion/p/9429738.html

4899端口渗透剖析

4899端口是remoteadministrator远程控制软件默认监听的端口，也就是平时常说的radmini影子。radmini目前支持TCP/IP协议，应用十分普遍，在不少服务器上都会看到该款软件的影子。对于此软件的渗透，思路以下：

（1）radmini一样存在很多弱口令的主机，经过专用扫描器可探测到此类存在漏洞的主机。
（2）radmini远控的链接密码和端口都是写入到注册表系统中的，经过使用webshell注册表读取功能可读取radmini在注册表的各项键值内容，从而破解加密的密码散列。

5432端口渗透剖析

PostgreSQL是一种特性很是齐全的自由软件的对象–关系型数据库管理系统，能够说是目前世界上最早进，功能最强大的自由数据库管理系统。包括kali系统中msf也使用这个数据库；浅谈postgresql数据库攻击技术大部分关于它的攻击依旧是sql注入，因此注入才是数据库不变的话题。

（1）爆破：弱口令：postgres postgres
（2）缓冲区溢出：CVE-2014-2669。（http://drops.xmd5.com/static/drops/tips-6449.html）（3）远程代码执行：CVE-2018-1058。（https://www.secpulse.com/archives/69153.html）

5631端口渗透剖析

5631端口是著名远程控制软件pcanywhere的默认监听端口，同时也是世界领先的远程控制软件。利用此软件，用户能够有效管理计算机并快速解决技术支持问题。因为软件的设计缺陷，使得黑客可随意下载保存链接密码的*.cif文件，经过专用破解软件进行破解。这些操做都必须在拥有必定权限下才可完成，至少经过脚本渗透得到一个webshell。一般这些操做在黑客界被称为pcanywhere提权技术。

PcAnyWhere提权。（https://blog.csdn.net/Fly_hps/article/details/80377199）

5900端口渗透剖析

5900端口是优秀远程控制软件VNC的默认监听端口，此软件由著名的AT&T的欧洲研究实验室开发的。VNC是在基于unix和linux操做系统的免费的开放源码软件，远程控制能力强大，高效实用，其性能能够和windows和MAC中的任何一款控制软件媲美。对于该端口的渗透，思路以下：

（1）VNC软件存在密码验证绕过漏洞，此高危漏洞可使得恶意攻击者不须要密码就能够登陆到一个远程系统。
（2）cain一样支持对VNC的嗅探，同时支持端口修改。
（3）VNC的配置信息一样被写入注册表系统中，其中包括链接的密码和端口。利用webshell的注册表读取功能进行读取加密算法，而后破解。（4）VNC拒绝服务攻击（CVE-2015-5239）。（http://blogs.360.cn/post/vnc%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%BC%8F%E6%B4%9Ecve-2015-5239%E5%88%86%E6%9E%90.html）（5）VNC权限提高（CVE-2013-6886）。

6379端口渗透剖析

Redis是一个开源的使用c语言写的，支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年仍是很火的，暴露出来的问题也不少。特别是前段时间暴露的未受权访问。

（1）爆破：弱口令
（2）未受权访问+配合ssh key提权。（http://www.alloyteam.com/2017/07/12910/）

7001/7002端口渗透剖析

7001/7002一般是weblogic中间件端口

（1）弱口令、爆破，弱密码通常为weblogic/Oracle@123 or weblogic
（2）管理后台部署 war 后门
（3）SSRF
（4）反序列化漏洞
（5）weblogic_uachttps://github.com/vulhub/vulhub/tree/master/weblogic/ssrfhttps://bbs.pediy.com/thread-224954.htmhttps://fuping.site/2017/06/05/Weblogic-Vulnerability-Verification/https://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html

8080端口渗透剖析

8080端口一般是apache_Tomcat服务器默认监听端口，apache是世界使用排名第一的web服务器。国内不少大型系统都是使用apache服务器，对于这种大型服务器的渗透，主要有如下方法：

（1）Tomcat远程代码执行漏洞（https://www.freebuf.com/column/159200.html）
（2）Tomcat任意文件上传。（http://liehu.tass.com.cn/archives/836）
（3）Tomcat远程代码执行&信息泄露。（https://paper.seebug.org/399/）
（4）Jboss远程代码执行。（http://mobile.www.cnblogs.com/Safe3/archive/2010/01/08/1642371.html）
（5）Jboss反序列化漏洞。（https://www.zybuluo.com/websec007/note/838374）
（6）Jboss漏洞利用。（https://blog.csdn.net/u011215939/article/details/79141624）

27017端口渗透剖析

MongoDB，NoSQL数据库；攻击方法与其余数据库相似

（1）爆破：弱口令
（2）未受权访问；（http://www.cnblogs.com/LittleHann/p/6252421.html）（3）http://www.tiejiang.org/19157.htm

转载自https://mp.weixin.qq.com/s/Tg1-puJFgztNqtY9KoMeog