端口渗透总结 作者未知

1、 端口渗透总结作者：未知原文链接：http:/docs.ioin.in/writeup//_archives_577/index.html 收集整理：/test/index.php本文由 干货1 端口渗透总结 在前段时间的渗透中，我发现通过端口来进行渗透有时会提升我们的效率，所以才有了这篇文章的诞生； 首先分享一份关于端口及他们对应的服务文件：/cYyNXEpZNYvxQ 访问 983e这里再分享一篇我曾经在百度文库提交的端口渗透文章：请点我 再次看这篇文章发现写的很简单，也只描述了几个常见的端口

2、渗透；而且一般我们都是可以修改默认端口的，所以平时在渗透过程中，对端口信息的收集就是一个很重要的过程；然后对症下药就可以更快的渗透进入我们需要的服务器；接下来就详细通过渗透实战对端口的渗透进行更加深入的剖析； 端口渗透过程中我们需要关注几个问题： 1、 端口的banner信息2、 端口上运行的服务 3、 常见应用的默认端口 当然对于上面这些信息的获取，我们有各式各样的方法，最为常见的应该就是nmap了吧！我们也可以结合其他的端口扫描工具，比如专门的3389、1433等等的端口扫描工具； 服务默认端口 公认端口(Well Known Ports)：0-1023，他们紧密绑定了一些服务；注册端口(

3、Registered Ports)：1024-49151，他们松散的绑定了一些服务； 动态/私有：49152-65535，不为服务分配这些端口； 当然这些端口都可以通过修改来达到欺骗攻击者的目的，但是这就安全了吗？攻击者又可以使用什么攻击方式来攻 击这些端口呢？ 还需要注明的一点是：很多木马工具也有特定的端口，本文并没有涉及到这块的内容，大家可以自己去收集收集！ 2 关于爆破之我见 在对这些端口进行实战讲解时，我需要先阐述一下我对爆破这个方式的一些看法； 爆破：技术最简单，需要的技术能力基本为0，工作效率与网络、硬件等相关，在我看来爆破其实是最强大的攻击方式，特别是结合一些特制的字典，结合社工

4、我们可以在很短的时间达到最大的效果，只不过因为我们的pc或者 字典不够强大，所以很多时候我们不能进行一次优秀的爆破攻击；当然现在很多web应用以及服务端口都限制了暴 力破解；对于这种做了限制的我们可能就需要利用到本文提到的其他攻击了！ 分享一个团队sai总结的字典： 声明：本文总结的都是近两年的常见漏洞，以前的老版漏洞以及性不大的漏洞没有总结，望大家谅解！ 文件共享服务端口渗透 ftp服务FTP服务：ftp服务我分为两种情况，第一种是使用系统软件来配置，比如IIS中的FTP文件共享或Linux中的默认服 务软件；第二种是通过第三方软件来配置，比如Serv-U还有一些网上写的简易ftp服务器等；

5、 默认端口：20（数据端口）；21（控制端口）；69（tftp小型文件传输协议） 攻击方式：爆破：ftp的爆破工具有很多，这里我推荐owasp的Bruter 以及msf中ftp爆破模块； 访问：用户名：anonymous：为空或任意邮箱 用户名：FTP用户名：USET：FTP或为空 ：pass当然还有不需要用户名直接访问的，一般出现在局域网中； 3 嗅探：ftp使用明文传输技术（但是嗅探给予局域网并需要欺骗或网关） 后门技术：在linux的vsftp某一版本中，存在着一个后门程序，只要在用户名后面加上 就会在6200上打开一个Shell，我们可以使用telnet直接连接；详细 远程溢出漏洞：6

6、.10.1 IIS FTP远程溢出漏洞，在IIS FTP服务器中NLST命令存在一个缓冲区溢出漏洞，这个 漏洞可能是攻击者在服务器运行一条非法命令。 跳转攻击：（BounceAttacks）攻击者发送一个FTP”PORT”命令给目标FTP服务器，其中包含该主机的网络地址和被攻击的服务的端。这样，客户端就能命令FTP服务器发一个文件给被攻击的服务。这个文件可能包括根被攻击的服务有关的命令（如SMTP,NNTP等）。由于是命令第三方去连接到一种服务，而不是直接连接，就使 得跟踪攻击者变得困难，并且还避开了基于网络地址的访问限制。（注：此种情况小白并没有遇到过，只是总结一 下，欢迎大牛指教） 案例分

7、享：山东电信Serv-U Web客户端弱口令长虹ftp弱口令导致全网数据泄漏 NFS服务nfs：网络文件系统，允许网络中的计算机通过TCP/IP网络共享资源。基于Linux系统，配置方面很简单，详细配置 请参考案例分享。在nfs配置中，有不做任何限制的，有限制用户，有限制IP，以及在版本2.x中我们还可以使用证 书来验证用户。当然不同的限制可以采用的攻击方式也不一样；就目前而言网上关于nfs的攻击还是比较少的!默认端口：2049攻击方式：4 未授权访问：未限制IP以及用户权限设置错误 案例分享：Nfs配置不当导致被入侵 NFS服务全攻略 Samba服务Samba服务：对于这个可以在window

8、s与Linux之间进行共享文件的服务同样是我们攻击的关注点；samba登录分为两种方式，一种是需要用户名口令；另一种是不需要用户名口令。在很多时候不光是pc机，还有一些服务器， 网络设备都开放着此服务，方便进行文件共享，但是同时也给攻击者提供了便利。 默认端口：137（主要用户NetBIOS Name Service；NetBIOS名称服务）、139（NetBIOS Session Service，主要 提供samba服务） 攻击方式：爆破：弱口令（爆破工具采用hydra）hydra -l username -P PassFile IP smb未授权访问：给予public用户高权限 远程代码执

9、行漏洞：CVE-2015-0240等等 案例分享：Samba远程代码执行漏洞 未授权访问文件系统漏洞LDAP协议ldap：轻量级目录访问协议，最近几年随着ldap的广泛使用被发现的漏洞也越来越多。但是毕竟主流的攻击方式仍 旧是那些，比如注入，未授权等等；这些问题的出现也都是因为配置不当而造成的。 默认端口：389攻击方式：注入攻击：盲注未授权访问：5 爆破：弱口令案例分享：LDAP注入与防御剖析 欧朋LDAP服务访问 使用LDAP查询快速提升域权限 远程连接服务端口渗透 SSH服务SSH服务：这个服务基本会出现在我们的Linux服务器，网络设备，安全设备等设备上，而且很多时候这个服务的 配置都

10、是默认的；对于SSH服务我们可能使用爆破攻击方式较多。 默认端口：22攻击方式爆破：弱口令、漏洞：28退格漏洞、OpenSSL漏洞案例分享：安宇创新科技ssh弱口令 宜信贷某站存在OpenSSL漏洞 Telnet服务Telnet服务：在SSH服务崛起的今天我们已经很难见到使用telnet的服务器，但是在很多设备上同样还是有这个服务 的；比如cisco、华三，深信服等厂商的设备；我就有很多次通过telnet弱口令控制这些设备； 默认端口：23攻击方式爆破：弱口令嗅探：此种情况一般发生在局域网； 6 案例分享：大量惠普打印机远程telnet可被查看和操作 Windows远程连接远程桌面连接：作为w

11、indows上进行远程连接的端口，很多时候我们在得到系统为windows的shell的时候我们总是 希望可以登录3389实际操作对方电脑；这个时候我们一般的情况分为两种。一种是内网，需要先将目标机3389端 口反弹到外网；另一种就是外网，我们可以直接访问；当然这两种情况我们利用起来可能需要很苛刻的条件，比如找到登录等等； 默认端口：3389攻击方式：爆破：3389端破工具就有点多了 Shift粘滞键后门：5次shift后门3389漏洞攻击：利用ms12-020攻击3389端口，导致服务器关机；请参考 VNC服务VNC：一款优秀的远控工具，常用语类UNIX系统上，简单功能强大；也 默认端口：59

12、00+桌面ID（5901；5902）攻击方式：爆破：弱口令认证口令绕过：拒绝服务攻击：（CVE-2015-5239） 权限提升：（CVE-2013-6886） 案例分享：广西电信客服服务器使用VNC存在弱口令可直接控制 Pcanywhere服务PyAnywhere服务：一款远控工具，有点类似vnc的功能；这个服务在以前很多发的视频里面都有，利 7 用pcanywhere来进行提权； 默认端口：5632攻击方式：提权控务：拒绝服务攻击：代码执行：请参考案例分享：黑龙江物价局多处安全漏洞可能导致服务器沦陷(pcAnywhere提权+突破)Web应用服务端口渗透 HTTP服务：对于http服务其实是

13、我们目前这几年比较常见的攻击入口，所以这里会针对http服务进行一个详细的详 解； 注：这个板块的所有攻击方式，如果涉及到常规的web漏洞不会提出来，除非是特定的服务器才会产生的漏洞； IIS服务默认端口：80/81/443攻击方式：IISPUT写文件：利用IIS漏洞，put方法直接将文件放置到服务器上 短文件名泄漏：这种一般没啥影响 解析漏洞：详细见apache服务 案例分享：徐州市教育系统大量IISPUT漏洞用友软件IIS写权限(PUT)导致可获取webshell控务器 某分站存在iis短文件名漏洞 8Apache/Tomcat/Nginx/Axis2默认端口：80/8080 攻击方式：爆

14、破：弱口令（爆破manager） HTTP慢速攻击：可以把服务器，对一些大型的网站有影响； 解析漏洞：请参考案例分享：安卓开发平台存在上传漏洞和Apache解析漏洞,成功获取webshell腾讯分站 Apache 漏洞WebLogic默认端口：7001攻击方式：爆破：弱口令 4组：用户名均一致：system weblogic（可能weblogic123） portaladmin guestCongsole部署webshell：Java反序列化：泄漏源代码/列目录：这个太老了，估计网上都没有了吧！ SSRF窥探内网： SSRF可窥探内网 案列分享：福建省人力资源和社会保障厅下属某WEBLOGIC

15、弱口令利用Weblogic进行入侵的一些总结 Jboss默认端口8080；其他端口1098/1099/4444/4445/8080/8009/8083/8093攻击方式：9 爆破：弱口令（爆破jboss系统） 远程代码执行：由于配置不当造成 Java反序列化：案例分享 人民JBoss配置不当 JBOSS安全问题总结中国科学院某处jboss应用漏洞 Websphere默认端口：908*；第一个应用就是9080，第二个就是9081；控制台9090攻击方式：爆破：弱口令（控制台）任意文件泄漏：（CVE-2014-0823） Java反序列化案例分享：中国电信某通用型业务系统(Websphere)Ge

16、tShell漏洞 大汉网络远程命令执行漏洞(WebSphere案例)GlassFish默认端口：http 8080；IIOP 3700；控制台4848攻击方式：爆破：弱口令（对于控制台）任意文件读取：认证绕过：案例分享：10 应用服务器glassfish存在通用任意文件读取漏洞 Oracle GlassFish Server认证绕过Jenkins默认端口：8080、8089攻击方式：爆破：弱口令（默认管理员）未授权访问：反序列化：案例分享：酷6Jenkins系统未授权访问可执行系统命令 Resin默认端口：8080攻击方式：目录遍历远程文件读取案例分享：爱奇艺Resin配置漏洞 Resin漏洞

17、利用案例之目录遍历/以金蝶某系统为例 Jetty默认端口：8080攻击方式：远程共享缓冲区溢出11Lotus影响的都是一些大型的企业，特别需要注意，经过以前的测试发现弱口令这个问题经常都存在，可能是很多管理员 不知道如何去修改（不要打我）。 默认端口：1352攻击方式：爆破：弱口令（admin password）控制台信息泄露跨站脚本攻击案例分享：Lotus Domino WebMail一处越权访问 中电投集团某系统弱口令直达内网涉及/OA系统/内部邮箱/财务系统/人力资源系统 中国某大型金融机构地方业务弱口令导致数万商户信息泄露&访问Lotus Domino 数据库服务端口渗透 针对所有的数

18、据库攻击方式都存在SQL注入，这里先提出来在下面就不一一写了免得大家说我占篇幅；当然不同的数据库注入技巧可能不一样，特别是NoSQL与传统的SQL数据库不太一样。但是这不是本文需要介绍的重点，后面有时间会写一篇不同数据库的渗透技巧。 MySQL数据库默认端口：3306攻击方式：爆破：弱口令身份认证漏洞：CVE-2012-2122拒绝服务攻击：利用sql语句是服务器进行死循环服务器 Phpmyadmin万能绕过：用户名：localhost”任意 案例分享：12 漏洞分享和讯网某站点存在mysql注入漏洞 MySQL提权总结MSSQL数据库默认端口：1433（Server 数据库服务）、1434（

19、Monitor 数据库监控） 攻击方式：爆破：弱口令/使用系统用户案例分享：MSSQL注射总结上海安脉综合管理系统mssql注射漏洞 MSSQL连接数据库 从攻击MSSQL到提权: 使用msf针对mssql的一次完整渗透Oracle数据库默认端口：1521（数据库端口）、1158（Oracle EMCTL端口）、8080（Oracle XDB数据库）、210（Oracle XDB FTP服务） 攻击方式：爆破：弱口令注入攻击；漏洞攻击；案例分享：Oracle盲注结合XXE漏洞远程获取数据 PostgreSQL数据库PostgreSQL是一种特性非常齐全的自由软件的对象关系型数据库管理系统，可以

20、说是目前世界上最先进，功能最 13 强大的自由数据库管理系统。包括我们kalimsf postgresql系统中也使用这个数据库；浅谈数据库攻击技术 大部分 关于它的攻击依旧是sql注入，所以注入才是数据库不变的话题。 默认端口：5432攻击方式：爆破：弱口令：postgres postgres缓冲区溢出：CVE-2014-2669案例分享：Hacking postgresql关于postgresql的那些事MongoDB数据库MongoDB：NoSQL数据库；攻击方法与其他数据库类似；关于它的安全讲解：请参考 默认端口：27017攻击方式：爆破：弱口令未授权访问；github有攻击代码； 案

21、例分享：MongoDB phpMoAdmin远程代码执行 搜狐MongoDB未授权访问新浪微米未授权访问解决MongoDB各种隐患问题 Redis数据库redis：是一个开源的使用c语言写的，支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数 据库这两年还是很火的，暴露出来的问题也很多。特别是前段时间暴露的未授权访 问。Exp：/cYjzHxawFpyVt 访问 e54714 默认端口：6379攻击方式：爆破：弱口令未授权访问+配合sshkey提权；案例分享：中国铁建网redis+ssh-keygen免认证登录 SysBase数据库默认

22、端口：服务端口5000；端口4100；备份端口：4200攻击方式：爆破：弱口令命令注入：案例分享：广西自考信息系统Sybase数据库注入 Sybase EAServer命令注入漏洞 DB2数据库默认端口：5000攻击方式：安全限制绕过：成功后可执行未授权操作（CVE-2015-1922） 案例分享：哈尔滨银行主站DB2注入 总结一下：对于数据库，我们得知端口很多时候可以帮助我们去渗透，比如得知mysql的数据库，我们就可以使用 SQL注入进行mof、udf等方式提权；如果是mssql我们就可以使用xp_cmdshell来进行提权；如果是其它的数据库， 我们也可以采用对应的方式；比如各大数据库对

23、应它们的默认口令，版本对应的漏洞！ 顺便提一下：很多时候银行企业采用的都是oracle、db2等大型数据库； 15 邮件服务端口渗透 SMTP协议smtp：邮件协议，在linux中默认开启这个服务，可以向对方发送钓鱼邮件！ 默认端口：25（smtp）、465（smtps）攻击方式：爆破：弱口令未授权访问案例分享：腾讯邮箱smtp注册时间限制绕过漏洞 邮件详解qq邮箱发件地址，容易被钓鱼利用 众多厂商邮件系统配置不当可邮件人 POP3协议默认端口：109（POP2）、110（POP3）、995（POP3S） 攻击方式：爆破；弱口令未授权访问；案例分享：中国联通沃邮箱等部分Android客户端免登

24、陆（可获取任意联通用户pop3） 中航信邮箱泄漏及VPN账号和大量邮箱弱口令导致可内网漫游拿到域控 IMAP协议默认端口：143（imap）、993（imaps） 16 攻击方式：爆破：弱口令配置不当案例分享：163邮箱二次验证饶过缺陷 南方周末邮件服务器任意文件读取漏洞 网络常见协议端口渗透 DNS服务默认端口：53攻击方式：区域传输漏洞见2中的总结案例分享：全球Top1000Websites中存在DNS区域传送漏洞的网站列表团购王某站DNS域传送漏洞 DNS泛解析与内容 DHCP服务默认端口：67&68、546（DHCP Failover做双机热备的） 攻击方式：DHCP劫持；见2中总结案

25、例分享： DHCP服务器内网攻击测试 17 SNMP协议默认端口：161攻击方式:爆破：弱口令案例分享：snmp弱口令引起的信息泄漏 基于snmp的反射攻击的理论及其实现华为某服务器SNMP弱口令 其他端口渗透 Hadoop文件服务默认端口：请参考 案例分享：Apache Hadoop远程命令执行 新浪漏洞系列第六弹大量hadoop应用对外访问 Zookeeper服务zookeeper：分布式的，开放源码的分布式应用程序协调服务；提供功能包括：配置维护、域名服务、分布式同 步、组服务等。详情请参考百度百科 默认端口：2181攻击方式：未授权访问；案例分享：zookeeper未授权访问漏洞网上关

26、于这方面的案例暂时不多，但是对于大数据逐渐泛滥的今天，这些漏洞未来会在乌云上出现一大波！ 18 Zabbix服务zabbix：基于Web界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。监视各种网络参数，保 证服务器系统的安全运营。 默认端口：8069攻击方式：远程命令执行：案例分享：当渗透遇到zabbix小谈zabbix安全Zabbix的前台SQL注射漏洞利用网易zabbix运维不当，导致任意命令执行。(可提权、可内网渗透)elasticsearch服务elasticsearch：请百度（因为我觉得我解释不清楚） 默认端口：9200（）、9300（）攻击方式：未授权访问；远程命

27、令执行；文件遍历；低版本webshell植入；案例分享：ElasticSearch 远程代码执行漏洞 elasticsearch 漏洞利用工具memcache服务默认端口：1121119 案例分享：Memcache安全配置memcache 未授权访问漏洞Linux R服务R服务：TCP端口512,513和514为著名的rlogin提供服务。在系统中被错误配置从而允许远程访问者从任何地方访 问（标准的，rhosts + +）。 默认端口：512（remote process execution）；513（remote login a latelnet）；514（cmd） 攻击方式：使用rlogi

28、n直接登录对方系统； RMIRMI：我们使用这两个端口很少的原因是因为必须是java，而且rmi穿越并不好穿越；这里我不会去涉及其他 的东西，这里提出RMI只是因为在前段时间的java反序列化中，我们的小伙伴Bird写过一个weblogic利用工具，里 面涉及到了RMI的一些东西，在有的时候使用socket不能成功时，我们可以使用RMI方式来进行利用； 默认端口：1090（）、1099（）攻击方式：远程命令执行（java反序列化，调用rmi方式执行命令） 这就是RMI的魅力了！工具下载：请点我Rsync服务Rsync：类UNIX系统下的数据备份工具（remotesync），属于增量备份；关于它的功能，大家自行百度百科吧， 其实上面很多大家也看到了说是端口渗透，其实就是端口对应服务的渗透，服务一般出错就在配置或者版本问题 上，rsync也不例外。Rsync默认允许患。 访问，如果在配置文件中没有相关的用户认证以及文件授权，就会触发隐 默认端口：87320 攻击方式：未授权访问；本地提权：rsync默认以root运行，利用rsync上传一个文件