端口渗透总结
服务默认端口
公认端口(Well Known Ports):0-1023,他们紧密绑定了一些服务;
注册端口(Registered Ports):1024-49151,他们松散的绑定了一些服务;
动态/私有:49152-65535,不为服务分配这些端口;
文件共享服务端口渗透
FTP服务
FTP服务:ftp服务我分为两种情况,第一种是使用系统软件来配置,比如IIS中的FTP文件共享或Linux中的默认服务软件;第二种是通过第三方软件来配置,比如Serv-U还有一些网上写的简易ftp服务器等;
默认端口:
20(数据端口);21(控制端口);69(tftp小型文件传输协议)
攻击方式:
- 爆破:ftp的爆破工具有很多,这里我推荐owasp的Bruter 以及msf中ftp爆破模块;
- 匿名访问:用户名:anonymous 密码:为空或任意邮箱
1 | 用户名:FTP 密码:FTP或为空 |
NFS服务
nfs:网络文件系统,允许网络中的计算机通过TCP/IP网络共享资源。基于Linux系统,配置方面很简单,详细配置请参考案例分享。在nfs配置中,有不做任何限制的,有限制用户,有限制IP,以及在版本2.x中我们还可以使用证书来验证用户。当然不同的限制可以采用的攻击方式也不一样;就目前而言网上关于nfs的攻击还是比较少的!
默认端口:2049
攻击方式:
- 未授权访问:未限制IP以及用户权限设置错误
Samba服务
Samba服务:对于这个可以在windows与Linux之间进行共享文件的服务同样是我们攻击的关注点;samba登录分为两种方式,一种是需要用户名口令;另一种是不需要用户名口令。在很多时候不光是pc机,还有一些服务器,网络设备都开放着此服务,方便进行文件共享,但是同时也给攻击者提供了便利。
默认端口:
137(主要用户NetBIOS Name Service;NetBIOS名称服务)、139(NetBIOS Session Service,主要提供samba服务)
攻击方式:
- 爆破:弱口令(爆破工具采用hydra)hydra -l username -P PassFile IP smb
- 未授权访问:给予public用户高权限
- 远程代码执行漏洞:CVE-2015-0240等等
LDAP协议
ldap:轻量级目录访问协议,最近几年随着ldap的广泛使用被发现的漏洞也越来越多。但是毕竟主流的攻击方式仍旧是那些,比如注入,未授权等等;这些问题的出现也都是因为配置不当而造成的。
默认端口:389
攻击方式:
- 注入攻击:盲注
- 未授权访问:
- 爆破:弱口令
远程连接服务端口渗透
SSH服务
SSH服务:这个服务基本会出现在我们的Linux服务器,网络设备,安全设备等设备上,而且很多时候这个服务的配置都是默认的;对于SSH服务我们可能使用爆破攻击方式较多。
默认端口:22
攻击方式
- 爆破:弱口令、
- 漏洞:28退格漏洞、OpenSSL漏洞
Telnet服务
Telnet服务:在SSH服务崛起的今天我们已经很难见到使用telnet的服务器,但是在很多设备上同样还是有这个服务的;比如cisco、华三,深信服等厂商的设备;我就有很多次通过telnet弱口令控制这些设备;
默认端口:23
攻击方式
- 爆破:弱口令
- 嗅探:此种情况一般发生在局域网;
Windows远程连接
远程桌面连接:作为windows上进行远程连接的端口,很多时候我们在得到系统为windows的shell的时候我们总是希望可以登录3389实际操作对方电脑;这个时候我们一般的情况分为两种。一种是内网,需要先将目标机3389端口反弹到外网;另一种就是外网,我们可以直接访问;当然这两种情况我们利用起来可能需要很苛刻的条件,比如找到登录密码等等;
默认端口:3389
攻击方式:
- 爆破:3389端口爆破工具就有点多了
- Shift粘滞键后门:5次shift后门
- 3389漏洞攻击:利用ms12-020攻击3389端口,导致服务器关机;请参考
VNC服务
VNC:一款优秀的远控工具,常用语类UNIX系统上,简单功能强大;也
默认端口:
5900+桌面ID(5901;5902)
攻击方式:
- 爆破:弱口令
- 认证口令绕过:
- 拒绝服务攻击:(CVE-2015-5239)
- 权限提升:(CVE-2013-6886)
Pcanywhere服务
PyAnywhere服务:一款远控工具,有点类似vnc的功能;这个服务在以前很多黑客发的视频里面都有,利用pcanywhere来进行提权;
默认端口:5632
攻击方式:
- 提权控制服务:
- 拒绝服务攻击:
- 代码执行:请参考
Web应用服务端口渗透
HTTP服务:对于http服务其实是我们目前这几年比较常见的攻击入口,所以这里会针对http服务进行一个详细的详解;
注:这个板块的所有攻击方式,如果涉及到常规的web漏洞不会提出来,除非是特定的服务器才会产生的漏洞;
IIS服务
默认端口:80/81/443
攻击方式:
- IIS PUT写文件:利用IIS漏洞,put方法直接将文件放置到服务器上
- 短文件名泄漏:这种一般没啥影响
- 解析漏洞:详细见apache服务
Apache/Tomcat/Nginx/Axis2
默认端口:80/8080
攻击方式:
- 爆破:弱口令(爆破manager后台)
- HTTP慢速攻击:可以把服务器打死,对一些大型的网站有影响;
- 解析漏洞:请参考
WebLogic
默认端口:7001
攻击方式:
- 爆破:弱口令 4组:用户名密码均一致:system weblogic(密码可能weblogic123) portaladmin guest
- Congsole后台部署webshell:
- Java反序列化:
- 泄漏源代码/列目录:这个太老了,估计网上都没有了吧!
- SSRF窥探内网:央视网SSRF可窥探内网
Jboss
默认端口8080
其他端口1098/1099/4444/4445/8080/8009/8083/8093
攻击方式:
- 爆破:弱口令(爆破jboss系统后台)
- 远程代码执行:由于配置不当造成
- Java反序列化:
Websphere
默认端口:908*
第一个应用就是9080,第二个就是9081;控制台9090
攻击方式:
- 爆破:弱口令(控制台)
- 任意文件泄漏:(CVE-2014-0823)
- Java反序列化
GlassFish
默认端口:
http 8080;IIOP 3700;控制台4848
攻击方式:
- 爆破:弱口令(对于控制台)
- 任意文件读取:
- 认证绕过:
Jenkins
默认端口:
8080、8089
攻击方式:
- 爆破:弱口令(默认管理员)
- 未授权访问:
- 反序列化:
Resin
默认端口:8080
攻击方式:
- 目录遍历
- 远程文件读取
Jetty
默认端口:8080
攻击方式:
- 远程共享缓冲区溢出
Lotus
影响的都是一些大型的企业,特别需要注意,经过以前的测试发现弱口令这个问题经常都存在,可能是很多管理员不知道如何去修改(不要打我)。
默认端口:1352
攻击方式:
- 爆破:弱口令(admin password)控制台
- 信息泄露
- 跨站脚本攻击
数据库服务端口渗透
针对所有的数据库攻击方式都存在SQL注入,这里先提出来在下面就不一一写了免得大家说我占篇幅;当然不同的数据库注入技巧可能不一样,特别是NoSQL与传统的SQL数据库不太一样。但是这不是本文需要介绍的重点,后面有时间会写一篇不同数据库的渗透技巧。
MySQL数据库
默认端口:3306
攻击方式:
- 爆破:弱口令
- 身份认证漏洞:CVE-2012-2122
- 拒绝服务攻击:利用sql语句是服务器进行死循环打死服务器
- Phpmyadmin万能密码绕过:用户名:‘localhost’@’@” 密码任意
MSSQL数据库
默认端口:
1433(Server 数据库服务)、1434(Monitor 数据库监控)
攻击方式:
- 爆破:弱口令/使用系统用户
Oracle数据库
默认端口:
1521(数据库端口)、1158(Oracle EMCTL端口)、8080(Oracle XDB数据库)、210(Oracle XDB FTP服务)
攻击方式:
- 爆破:弱口令
- 注入攻击;
- 漏洞攻击;
PostgreSQL数据库
PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统,可以说是目前世界上最先进,功能最强大的自由数据库管理系统。包括我们kali系统中msf也使用这个数据库;浅谈postgresql数据库攻击技术 大部分关于它的攻击依旧是sql注入,所以注入才是数据库不变的话题。
默认端口:5432
攻击方式:
- 爆破:弱口令:postgres postgres
- 缓冲区溢出:CVE-2014-2669
MongoDB数据库
MongoDB:NoSQL数据库;攻击方法与其他数据库类似;关于它的安全讲解:请参考
默认端口:27017
攻击方式:
- 爆破:弱口令
- 未授权访问;github有攻击代码;请点击
Redis数据库
redis:是一个开源的使用c语言写的,支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年还是很火的,暴露出来的问题也很多。特别是前段时间暴露的未授权访问。Exp:https://yunpan.cn/cYjzHxawFpyVt 访问密码 e547
默认端口:6379
攻击方式:
- 爆破:弱口令
- 未授权访问+配合ssh key提权;
SysBase数据库
默认端口:
服务端口5000;监听端口4100;备份端口:4200
攻击方式:
- 爆破:弱口令
- 命令注入:
DB2数据库
默认端口:5000
攻击方式:
- 安全限制绕过:成功后可执行未授权操作(CVE-2015-1922)
CouchDB数据库
CouchDB 是一个开源的面向文档的数据库管理系统,可以通过 RESTful JavaScript Object Notation (JSON) API 访问。CouchDB会默认会在5984端口开放Restful的API接口,用于数据库的管理功能。
默认端口:5984
攻击方式
- 未授权访问
总结一下:对于数据库,我们得知端口很多时候可以帮助我们去渗透,比如得知mysql的数据库,我们就可以使用SQL注入进行mof、udf等方式提权;如果是mssql我们就可以使用xp_cmdshell来进行提权;如果是其它的数据库,我们也可以采用对应的方式;比如各大数据库对应它们的默认口令,版本对应的漏洞!
顺便提一下:很多时候银行企业采用的都是oracle、db2等大型数据库;
邮件服务端口渗透
SMTP协议
smtp:邮件协议,在linux中默认开启这个服务,可以向对方发送钓鱼邮件!
默认端口:
25(smtp)、465(smtps)
攻击方式:
- 爆破:弱口令
- 未授权访问
POP3协议
默认端口:
109(POP2)、110(POP3)、995(POP3S)
攻击方式:
- 爆破;弱口令
- 未授权访问;
IMAP协议
默认端口:
143(imap)、993(imaps)
攻击方式:
- 爆破:弱口令
- 配置不当
网络常见协议端口渗透
DNS服务
默认端口:53
攻击方式:
- 区域传输漏洞
DHCP服务
默认端口:
67&68、546(DHCP Failover做双机热备的)
攻击方式:
- DHCP劫持;
SNMP协议
默认端口:161
攻击方式:
- 爆破:弱口令
其他端口渗透
Hadoop文件服务
默认端口:请参考
Zookeeper服务
zookeeper:分布式的,开放源码的分布式应用程序协调服务;提供功能包括:配置维护、域名服务、分布式同步、组服务等。详情请参考百度百科
默认端口:2181
攻击方式:
- 未授权访问;
Zabbix服务
zabbix:基于Web界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。监视各种网络参数,保证服务器系统的安全运营。
默认端口:8069
攻击方式:
- 远程命令执行:
elasticsearch服务
elasticsearch:请百度(因为我觉得我解释不清楚)
默认端口:
9200()、9300()
攻击方式:
- 未授权访问;
- 远程命令执行;
- 文件遍历;
- 低版本webshell植入;
memcache服务
默认端口:11211
Linux R服务
R服务:TCP端口512,513和514为著名的rlogin提供服务。在系统中被错误配置从而允许远程访问者从任何地方访问(标准的,rhosts + +)。
默认端口:
512(remote process execution);513(remote login a latelnet);514(cmd)
攻击方式:
- 使用rlogin直接登录对方系统;
RMI
RMI:我们使用这两个端口很少的原因是因为必须是java,而且rmi穿越防火墙并不好穿越;这里我不会去涉及其他的东西,这里提出RMI只是因为在前段时间的java反序列化中,我们的小伙伴Bird写过一个weblogic利用工具,里面涉及到了RMI的一些东西,在有的时候使用socket不能成功时,我们可以使用RMI方式来进行利用;
默认端口:1090()、1099()
攻击方式:
- 远程命令执行(java反序列化,调用rmi方式执行命令)
Rsync服务
Rsync:类UNIX系统下的数据备份工具(remote sync),属于增量备份;关于它的功能,大家自行百度百科吧,其实上面很多大家也看到了说是端口渗透,其实就是端口对应服务的渗透,服务一般出错就在配置或者版本问题上,rsync也不例外。Rsync默认允许匿名访问,如果在配置文件中没有相关的用户认证以及文件授权,就会触发隐患。
默认端口:873
攻击方式:
- 未授权访问;
- 本地提权:rsync默认以root运行,利用rsync上传一个文件,只要这个文件具有s权限,我们执行我们的攻击脚本就可以具有root权限。详细请参考 和 参考二
Socket代理
默认端口:1080
Socket代理针对代理来说没有什么漏洞,一般只是在渗透过程中作为我们的代理,进入内网,或者渗透域和林的时候有帮助。这里不做过多描述,但是可以尝试爆破一下代理的用户名和密码,万一运气好能登录,不也~~~~
Reference
总结来源于网络