端口渗透总结

jack

0x00 背景

在前段时间的渗透中，我发现通过端口来进行渗透有时会提升我们的效率，所以才有了这篇文章的诞生；

首先分享一份关于端口及他们对应的服务文
件：https://yunpan.cn/cYyNXEpZNYvxQ  访问密码 983e
这里再分享一篇我曾经在百度文库提交的端口渗透文章：请点我
再次看这篇文章发现写的很简单，也只描述了几个常见的端口渗透；而且一般我们都是可以修 改默认端口的，所以平时在渗透过程中，对端口信息的收集就是一个很重要的过程；然后对症下药就可以更快的渗透进入我们需要的服务器；接下来就详细通过渗透 实战对端口的渗透进行更加深入的剖析；
端口渗透过程中我们需要关注几个问题：

1、端口的banner信息
2、端口上运行的服务
3、常见应用的默认端口

当然对于上面这些信息的获取，我们有各式各样的方法，最为常见的应该就是nmap了吧！我们也可以结合其他的端口扫描工具，比如专门的3389、1433等等的端口扫描工具；

服务默认端口

公认端口(Well Known Ports)：0-1023，他们紧密绑定了一些服务；

注册端口(Registered Ports)：1024-49151，他们松散的绑定了一些服务；
动态/私有：49152-65535，不为服务分配这些端口；

当然这些端口都可以通过修改来达到欺骗攻击者的目的，但是这就安全了吗？攻击者又可以使用什么攻击方式来攻击这些端口呢？

还需要注明的一点是：很多木马工具也有特定的端口，本文并没有涉及到这块的内容，大家可以自己去收集收集！

关于爆破之我见

在对这些端口进行实战讲解时，我需要先阐述一下我对爆破这个方式的一些看法；

爆破：技术最简单，需要的技术能力基本为0，工作效率与网络、硬件等相关，在我看来爆破其实是最强大的攻击方式，特别是结合一些特制的字典，结合社工我们可以在很短的时间达到最大的效果，只不过因为我们的pc或者字典不够强大，所以很多时候我们不能进行一次优秀的爆破攻击；当然现在很多web应用以及服务端口都限制了暴力破解；对于这种做了限制的我们可能就需要利用到本文提到的其他攻击了！

分享一个团队sai总结的字典：请点击

声明：本文总结的都是近两年的常见漏洞，以前的老版漏洞以及危害性不大的漏洞没有总结，望大家谅解！

0x01 实战测试

文件共享服务端口渗透

ftp服务

FTP服务：ftp服务我分为两种情况，第一种是使用系统软件来配置，比如IIS中的FTP文件共享或Linux中的默认服务软件；第二种是通过第三方软件来配置，比如Serv-U还有一些网上写的简易ftp服务器等；

默认端口：20（数据端口）；21（控制端口）；69（tftp小型文件传输协议）

攻击方式：

爆破：ftp的爆破工具有很多，这里我推荐owasp的Bruter 以及msf中ftp爆破模块；
匿名访问：用户名：anonymous  密码：为空或任意邮箱
用户名：FTP            密码：FTP或为空
用户名：USET         密码：pass

当然还有不需要用户名密码直接访问的，一般出现在局域网中；



嗅探：ftp使用明文传输技术（但是嗅探给予局域网并需要欺骗或监听网关）



后门技术：在linux的vsftp某一版本中，存在着一个后门程序，只要在用户名后面加上 就会在6200上打开一个监听Shell，我们可以使用telnet直接连接；详细请点击

远程溢出漏洞：6.10.1 IIS FTP远程溢出漏洞，在IIS FTP服务器中NLST命令存在一个缓冲区溢出漏洞，这个漏洞可能是攻击者在服务器运行一条非法命令。
跳转攻击：（Bounce Attacks）攻击者发送一个FTP”PORT”命令给目标FTP服务器，其中包含该主机的网络地址和被攻击的服务的端口号。这样，客户端就能命令FTP服务器发一个文件给被攻击的服务。这个文件可能包括根被攻击的服务有关的命令（如SMTP,NNTP等）。由于是命令第三方去连接到一种服务，而不是直接连接，就使得跟踪攻击者变得困难，并且还避开了基于网络地址的访问限制。（注：此种情况小白并没有遇到过，只是总结一下，欢迎大牛指教）

案例分享：

山东电信Serv-U Web客户端弱口令
长虹ftp弱口令导致全网数据泄漏

NFS服务

nfs：网络文件系统，允许网络中的计算机通过TCP/IP网络共享资源。基于Linux系统，配置方面很简单，详细配置请参考案例分享。在nfs配置中，有不做任何限制的，有限制用户，有限制IP，以及在版本2.x中我们还可以使用证书来验证用户。当然不同的限制可以采用的攻击方式也不一样；就目前而言网上关于nfs的攻击还是比较少的!

默认端口：2049
攻击方式：
未授权访问：未限制IP以及用户权限设置错误
案例分享：
Nfs配置不当导致被入侵
NFS服务全攻略

Samba服务

Samba服务：对于这个可以在windows与Linux之间进行共享文件的服务同样是我们攻击的关注点；samba登录分为两种方式，一种是需要用户名口令；另一种是不需要用户名口令。在很多时候不光是pc机，还有一些服务器，网络设备都开放着此服务，方便进行文件共享，但是同时也给攻击者提供了便利。
默认端口：137（主要用户NetBIOS Name Service；NetBIOS名称服务）、139（NetBIOS Session Service，主要提供samba服务）

攻击方式：

爆破：弱口令（爆破工具采用hydra）hydra -l username -P
PassFile IP smb
未授权访问：给予public用户高权限
远程代码执行漏洞：CVE-2015-0240等等
案例分享：
Samba远程代码执行漏洞
未授权访问文件系统漏洞

LDAP协议

ldap：轻量级目录访问协议，最近几年随着ldap的广泛使用被发现的漏洞也越来越多。但是毕竟主流的攻击方式仍旧是那些，比如注入，未授权等等；这些问题的出现也都是因为配置不当而造成的。
默认端口：389
攻击方式：
注入攻击：盲注
未授权访问：
爆破：弱口令
案例分享：
LDAP注入与防御剖析
欧朋LDAP服务匿名访问
使用LDAP查询快速提升域权限

远程连接服务端口渗透

SSH服务

SSH服务：这个服务基本会出现在我们的Linux服务器，网络设备，安全设备等设备上，而且很多时候这个服务的配置都是默认的；对于SSH服务我们可能使用爆破攻击方式较多。

默认端口：22
攻击方式
爆破：弱口令、
漏洞：28退格漏洞、OpenSSL漏洞
案例分享：
安宇创新科技ssh弱口令
宜信贷某站存在OpenSSL漏洞

Telnet服务

Telnet服务：在SSH服务崛起的今天我们已经很难见到使用telnet的服务器，但是在很多设备上同样还是有这个服务的；比如cisco、华三，深信服等厂商的设备；我就有很多次通过telnet弱口令控制这些设备；
默认端口：23
攻击方式
爆破：弱口令
嗅探：此种情况一般发生在局域网；
案例分享：
大量惠普打印机远程telnet可被查看和操作

Windows远程连接

远程桌面连接：作为windows上进行远程连接的端口，很多时候我们在得到系统为windows的shell的时候我们总是希望可以登录3389实际操作对方电脑；这个时候我们一般的情况分为两种。一种是内网，需要先将目标机3389端口反弹到外网；另一种就是外网，我们可以直接访问；当然这两种情况我们利用起来可能需要很苛刻的条件，比如找到登录密码等等；

默认端口：3389
攻击方式：
爆破：3389端口爆破工具就有点多了
Shift粘滞键后门：5次shift后门
3389漏洞攻击：利用ms12-020攻击3389端口，导致服务器关机；请参考

VNC服务

VNC：一款优秀的远控工具，常用语类UNIX系统上，简单功能强大；也
默认端口：5900+桌面ID（5901；5902）
攻击方式：
爆破：弱口令
认证口令绕过：
拒绝服务攻击：（CVE-2015-5239）
权限提升：（CVE-2013-6886）
案例分享：
广西电信客服服务器使用VNC存在弱口令可直接控制

Pcanywhere服务

PyAnywhere服务：一款远控工具，有点类似vnc的功能；这个服务在以前很多黑客发的视频里面都有，利用pcanywhere来进行提权；
默认端口：5632
攻击方式：
提权控制服务：
拒绝服务攻击：
代码执行：请参考
案例分享：
黑龙江物价局多处安全漏洞可能导致服务器沦陷(pcAnywhere提权+密码突破)

Web应用服务端口渗透

HTTP服务：对于http服务其实是我们目前这几年比较常见的攻击入口，所以这里会针对http服务进行一个详细的详解；
注：这个板块的所有攻击方式，如果涉及到常规的web漏洞不会提出来，除非是特定的服务器才会产生的漏洞；

IIS服务
默认端口：80/81/443
攻击方式：

IIS

PUT写文件：利用IIS漏洞，put方法直接将文件放置到服务器上
短文件名泄漏：这种一般没啥影响
解析漏洞：详细见apache服务
案例分享：
徐州市教育系统大量IIS PUT漏洞
用友软件IIS写权限(PUT)导致可获取webshell控制服务器
国家电网某分站存在iis短文件名漏洞

Apache/Tomcat/Nginx/Axis2

默认端口：80/8080
攻击方式：
爆破：弱口令（爆破manager后台）
HTTP慢速攻击：可以把服务器打死，对一些大型的网站有影响；
解析漏洞：请参考
案例分享：
安卓开发平台存在上传漏洞和Apache解析漏洞,成功获取webshell
腾讯分站 Apache 漏洞

WebLogic

默认端口：7001
攻击方式：
爆破：弱口令 4组：用户名密码均一致：system weblogic（密码可能weblogic123） portaladmin guest
Congsole后台部署webshell：
Java反序列化：
泄漏源代码/列目录：这个太老了，估计网上都没有了吧！
SSRF窥探内网：央视网SSRF可窥探内网
案列分享：
福建省人力资源和社会保障厅下属某WEBLOGIC弱口令
利用Weblogic进行入侵的一些总结

Jboss

默认端口8080；其他端口1098/1099/4444/4445/8080/8009/8083/8093
攻击方式：
爆破：弱口令（爆破jboss系统后台）
远程代码执行：由于配置不当造成
Java反序列化：
案例分享
中华人民共和国民政部JBoss配置不当
JBOSS安全问题总结
中国科学院某处jboss应用漏洞

Websphere

默认端口：908*；第一个应用就是9080，第二个就是9081；控制台9090
攻击方式：
爆破：弱口令（控制台）
任意文件泄漏：（CVE-2014-0823）
Java反序列化
案例分享：
中国电信某通用型业务系统(Websphere)GetShell漏洞
大汉网络有限公司远程命令执行漏洞(WebSphere案例)

GlassFish

默认端口：http 8080；IIOP 3700；控制台4848
攻击方式：
爆破：弱口令（对于控制台）
任意文件读取：
认证绕过：
案例分享：
应用服务器glassfish存在通用任意文件读取漏洞
Oracle GlassFish Server认证绕过

Jenkins

默认端口：8080、8089
攻击方式：
爆破：弱口令（默认管理员）
未授权访问：
反序列化：
案例分享：
酷6Jenkins系统未授权访问可执行系统命令
Resin
默认端口：8080
攻击方式：
目录遍历
远程文件读取
案例分享：
爱奇艺Resin配置漏洞
Resin漏洞利用案例之目录遍历/以金蝶某系统为例

Jetty

默认端口：8080
攻击方式：
远程共享缓冲区溢出

Lotus

影响的都是一些大型的企业，特别需要注意，经过以前的测试发现弱口令这个问题经常都存在，可能是很多管理员不知道如何去修改（不要打我）。
默认端口：1352
攻击方式：
爆破：弱口令（admin password）控制台
信息泄露
跨站脚本攻击
案例分享：
Lotus Domino WebMail一处越权访问
中电投集团某系统弱口令直达内网涉及/OA系统/内部邮箱/财务系统/人力资源系统
中国某大型金融机构地方业务弱口令导致数万商户信息泄露&访问Lotus Domino后台

数据库服务端口渗透

针对所有的数据库攻击方式都存在SQL注入，这里先提出来在下面就不一一写了免得大家说我占篇幅；当然不同的数据库注入技巧可能不一样，特别是NoSQL与传统的SQL数据库不太一样。但是这不是本文需要介绍的重点，后面有时间会写一篇不同数据库的渗透技巧。

MySQL数据库

默认端口：3306
攻击方式：
爆破：弱口令
身份认证漏洞：CVE-2012-2122
拒绝服务攻击：利用sql语句是服务器进行死循环打死服务器
Phpmyadmin万能密码绕过：用户名：‘localhost’@’@”  密码任意
案例分享：
漏洞分享
和讯网某站点存在mysql注入漏洞
MySQL提权总结

MSSQL数据库
默认端口：1433（Server 数据库服务）、1434（Monitor 数据库监控）
攻击方式：
爆破：弱口令/使用系统用户
案例分享：
MSSQL注射总结
上海安脉综合管理系统mssql注射漏洞
解密MSSQL连接数据库密码
从攻击MSSQL到提权: 使用msf针对mssql的一次完整渗透

Oracle数据库
默认端口：1521（数据库端口）、1158（Oracle EMCTL端口）、8080（Oracle XDB数据库）、210（Oracle XDB FTP服务）
攻击方式：
爆破：弱口令
注入攻击；
漏洞攻击；
案例分享：
Oracle盲注结合XXE漏洞远程获取数据

PostgreSQL数据库

PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统，可以说是目前世界上最先进，功能最强大的自由数据库管理系统。包括我们kali系统中msf也使用这个数据库；浅谈postgresql数据库攻击技术  大部分关于它的攻击依旧是sql注入，所以注入才是数据库不变的话题。

默认端口：5432
攻击方式：
爆破：弱口令：postgres postgres
缓冲区溢出：CVE-2014-2669
案例分享：
Hacking postgresql
关于postgresql的那些事

MongoDB数据库

MongoDB：NoSQL数据库；攻击方法与其他数据库类似；关于它的安全讲解：请参考
默认端口：27017
攻击方式：
爆破：弱口令
未授权访问；github有攻击代码；请点击
案例分享：
MongoDB phpMoAdmin远程代码执行
搜狐MongoDB未授权访问
新浪微米未授权访问
解决MongoDB各种隐患问题

Redis数据库

redis：是一个开源的使用c语言写的，支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年还是很火的，暴露出来的问题也很多。特别是前段时间暴露的未授权访问。Exp：https://yunpan.cn/cYjzHxawFpyVt  访问密码 e547
默认端口：6379
攻击方式：
爆破：弱口令
未授权访问+配合ssh key提权；
案例分享：
中国铁建网redis+ssh-keygen免认证登录

SysBase数据库
默认端口：服务端口5000；监听端口4100；备份端口：4200
攻击方式：
爆破：弱口令
命令注入：
案例分享：
广西自考信息系统Sybase数据库注入
Sybase EAServer命令注入漏洞

DB2数据库
默认端口：5000
攻击方式：
安全限制绕过：成功后可执行未授权操作（CVE-2015-1922）
案例分享：
哈尔滨银行主站DB2注入

总结一下：对于数据库，我们得知端口很多时候可以帮助我们去渗透，比如得知mysql的 数据库，我们就可以使用SQL注入进行mof、udf等方式提权；如果是mssql我们就可以使用xp_cmdshell来进行提权；如果是其它的数据 库，我们也可以采用对应的方式；比如各大数据库对应它们的默认口令，版本对应的漏洞！
顺便提一下：很多时候银行企业采用的都是oracle、db2等大型数据库；

邮件服务端口渗透

SMTP协议

smtp：邮件协议，在linux中默认开启这个服务，可以向对方发送钓鱼邮件！
默认端口：25（smtp）、465（smtps）
攻击方式：
爆破：弱口令
未授权访问
案例分享：
腾讯邮箱smtp注册时间限制绕过漏洞
邮件伪造详解
qq邮箱伪造发件地址，容易被钓鱼利用
众多厂商邮件系统配置不当可伪造邮件人

POP3协议
默认端口：109（POP2）、110（POP3）、995（POP3S）
攻击方式：
爆破；弱口令
未授权访问；
案例分享：
中国联通沃邮箱等部分Android客户端免密码登陆（可获取任意联通用户pop3密码）
中航信邮箱密码泄漏及VPN账号和大量邮箱弱口令导致可内网漫游拿到域控

IMAP协议

默认端口：143（imap）、993（imaps）
攻击方式：
爆破：弱口令
配置不当
案例分享：
163邮箱二次验证饶过缺陷
南方周末邮件服务器任意文件读取漏洞

网络常见协议端口渗透

DNS服务

默认端口：53
攻击方式：
区域传输漏洞
见2中的总结
案例分享：
全球Top1000Websites中存在DNS区域传送漏洞的网站列表
团购王某站DNS域传送漏洞
DNS泛解析与内容投毒

DHCP服务

默认端口：67&68、546（DHCP Failover做双机热备的）
攻击方式：
DHCP劫持；
见2中总结
案例分享：
流氓DHCP服务器内网攻击测试

SNMP协议

默认端口：161
攻击方式:
爆破：弱口令
案例分享：
snmp弱口令引起的信息泄漏
基于snmp的反射攻击的理论及其实现
华为某服务器SNMP弱口令

其他端口渗透

Hadoop文件服务

默认端口：请参考
案例分享：
Apache Hadoop远程命令执行
新浪漏洞系列第六弹–大量hadoop应用对外访问
Zookeeper服务
zookeeper：分布式的，开放源码的分布式应用程序协调服务；提供功能包括：配置维护、域名服务、分布式同步、组服务等。详情请参考百度百科
默认端口：2181
攻击方式：
未授权访问；
案例分享：
zookeeper未授权访问漏洞
网上关于这方面的案例暂时不多，但是对于大数据逐渐泛滥的今天，这些漏洞未来会在乌云上出现一大波！

Zabbix服务

zabbix：基于Web界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。监视各种网络参数，保证服务器系统的安全运营。
默认端口：8069
攻击方式：
远程命令执行：
案例分享：
当渗透遇到zabbix–小谈zabbix安全
Zabbix的前台SQL注射漏洞利用
网易zabbix运维不当，导致任意命令执行。(可提权、可内网渗透)
elasticsearch服务
elasticsearch：请百度（因为我觉得我解释不清楚）
默认端口：9200（）、9300（）
攻击方式：
未授权访问；
远程命令执行；
文件遍历；
低版本webshell植入；
案例分享：
ElasticSearch 远程代码执行漏洞
elasticsearch 漏洞利用工具

memcache服务

默认端口：11211
案例分享：
Memcache安全配置
memcache 未授权访问漏洞

Linux R服务

R服务：TCP端口512,513和514为著名的rlogin提供服务。在系统中被错误配置从而允许远程访问者从任何地方访问（标准的，rhosts + +）。
默认端口：512（remote process execution）；513（remote login a la
telnet）；514（cmd）
攻击方式：
使用rlogin直接登录对方系统；

RMI

RMI：我们使用这两个端口很少的原因是因为必须是java，而且rmi穿越防火墙并不好穿越；这里我不会去涉及其他的东西，这里提出RMI只是因为在前段时间的java反序列化中，我们的小伙伴Bird写过一个weblogic利用工具，里面涉及到了RMI的一些东西，在有的时候使用socket不能成功时，我们可以使用RMI方式来进行利用；
默认端口：1090（）、1099（）
攻击方式：
远程命令执行（java反序列化，调用rmi方式执行命令）
这就是RMI的魅力了！
工具下载：请点我

Rsync服务

Rsync：类UNIX系统下的数据备份工具（remote sync），属于增量备份；关于它的功能，大家自行百度百科吧，其实上面很多大家也看到了说是端口渗透，其实就是端口对应服务的渗透，服务一般出错就在配置或者版本问题上，rsync也不例外。Rsync默认允许匿名访问，如果在配置文件中没有相关的用户认证以及文件授权，就会触发隐患。

默认端口：873
攻击方式：
未授权访问；
本地提权：rsync默认以root运行，利用rsync上传一个文件，只要这个文件具有s权限，我们执行我们的攻击脚本就可以具有root权限。详细请参考 和 参考二
案例分享：
搜狐几处rsync未授权访问

Socket代理
默认端口：1080
Socket代理针对代理来说没有什么漏洞，一般只是在渗透过程中作为我们的代理，进入内网，或者渗透域和林的时候有帮助。这里不做过多描述，但是可以尝试爆破一下代理的用户名和密码，万一运气好能登录，不也~~~~
案例分享：
利用php socket5代理渗透内网

0x02 总结两句

图解端口渗透

端口号
端口说明
攻击技巧
21/22/69
ftp/tftp：文件传输协议
爆破
嗅探
溢出；后门
22
ssh：远程连接
爆破
OpenSSH；28个退格
23
telnet：远程连接
爆破
嗅探
25
smtp：邮件服务
邮件伪造
53
DNS：域名系统
DNS区域传输
DNS劫持
DNS缓存投毒
DNS欺骗
深度利用：利用DNS隧道技术刺透防火墙
67/68
dhcp
劫持
欺骗
110
pop3
爆破
139
samba
爆破
未授权访问
远程代码执行
143
imap
爆破
161
snmp
爆破
389
ldap
注入攻击
未授权访问
512/513/514
linux r
直接使用rlogin
873
rsync
未授权访问
1080
socket
爆破：进行内网渗透
1352
lotus
爆破：弱口令
信息泄漏：源代码
1433
mssql
爆破：使用系统用户登录
注入攻击
1521
oracle
爆破：TNS
注入攻击
2049
nfs
配置不当
2181
zookeeper
未授权访问
3306
mysql
爆破
拒绝服务
注入
3389
rdp
爆破
Shift后门
4848
glassfish
爆破：控制台弱口令
认证绕过
5000
sybase/DB2
爆破
注入
5432
postgresql
缓冲区溢出
注入攻击
爆破：弱口令
5632
pcanywhere
拒绝服务
代码执行
5900
vnc
爆破：弱口令
认证绕过
6379
redis
未授权访问
爆破：弱口令
7001
weblogic
Java反序列化
控制台弱口令
控制台部署webshell
80/443/8080
web
常见web攻击
控制台爆破
对应服务器版本漏洞
8069
zabbix
远程命令执行
9090
websphere控制台
爆破：控制台弱口令
Java反序列
9200/9300
elasticsearch
远程代码执行
11211
memcacache
未授权访问
27017
mongodb
爆破
未授权访问