渗透测试中的端口利用

我们在进行渗透测试中，一般情况下会对端口进行扫描，看看服务器中开启了哪些端口，对应的端口一般存在对应的服务，而这些服务可能存在相应的漏洞，下面就是简单结束一下端口对应服务，服务可能对应的漏洞。

端口渗透图解

详解端口渗透

文件共享端口渗透

FTP服务

FTP服务：ftp服务我分为两种情况，第一种是使用系统软件来配置，比如IIS中的FTP文件共享或Linux中的默认服务软件；第二种是通过第三方软件来配置，比如Serv-U还有一些网上写的简易ftp服务器等。

默认端口

20（数据端口）；21（控制端口）；69（tftp小型文件传输协议）

攻击方式

爆破：ftp的爆破工具有很多，这里我推荐owasp的Bruter 以及msf中ftp爆破模块； 匿名访问：用户名：anonymous 密码：为空或任意邮箱

NFS服务

nfs：网络文件系统，允许网络中的计算机通过TCP/IP网络共享资源。基于Linux系统，配置方面很简单，详细配置请参考案例分享。在nfs配置中，有不做任何限制的，有限制用户，有限制IP，以及在版本2.x中我们还可以使用证书来验证用户。当然不同的限制可以采用的攻击方式也不一样；就目前而言网上关于nfs的攻击还是比较少的。

默认端口

2049

攻击方式

未授权访问：未限制IP以及用户权限设置错误

Samba服务

Samba服务：对于这个可以在windows与Linux之间进行共享文件的服务同样是我们攻击的关注点；samba登录分为两种方式，一种是需要用户名口令；另一种是不需要用户名口令。在很多时候不光是pc机，还有一些服务器，网络设备都开放着此服务，方便进行文件共享，但是同时也给攻击者提供了便利。

默认端口

137（主要用户NetBIOS Name Service；NetBIOS名称服务）、139（NetBIOS Session Service，主要提供samba服务）

攻击方式

爆破：弱口令（爆破工具采用hydra）hydra -l username -P PassFile IP smb 未授权访问：给予public用户高权限 远程代码执行漏洞：CVE-2015-0240等等

LDAP协议

ldap：轻量级目录访问协议，最近几年随着ldap的广泛使用被发现的漏洞也越来越多。但是毕竟主流的攻击方式仍旧是那些，比如注入，未授权等等；这些问题的出现也都是因为配置不当而造成的。

默认端口

389

攻击方式：

注入攻击：盲注 未授权访问： 爆破：弱口令

远程连接服务端口渗透

SSH服务

SSH服务：这个服务基本会出现在我们的Linux服务器，网络设备，安全设备等设备上，而且很多时候这个服务的配置都是默认的；对于SSH服务我们可能使用爆破攻击方式较多。

默认端口

22

攻击方式

爆破：弱口令、 漏洞：28退格漏洞、OpenSSL漏洞

Telnet服务

Telnet服务：在SSH服务崛起的今天我们已经很难见到使用telnet的服务器，但是在很多设备上同样还是有这个服务的；比如cisco、华三，深信服等厂商的设备；我就有很多次通过telnet弱口令控制这些设备；

默认端口

23

攻击方式

爆破：弱口令 嗅探：此种情况一般发生在局域网

Windows远程连接

远程桌面连接：作为windows上进行远程连接的端口，很多时候我们在得到系统为windows的shell的时候我们总是希望可以登录3389实际操作对方电脑；这个时候我们一般的情况分为两种。一种是内网，需要先将目标机3389端口反弹到外网；另一种就是外网，我们可以直接访问；当然这两种情况我们利用起来可能需要很苛刻的条件，比如找到登录密码等等；

默认端口

3389

攻击方式

爆破：3389端口爆破工具就有点多了 Shift粘滞键后门：5次shift后门 3389漏洞攻击：利用ms12-020攻击3389端口，导致服务器关机

VNC服务

VNC：一款优秀的远控工具，常用语类UNIX系统上，简单功能强大；也

默认端口

5900+桌面ID（5901；5902）

攻击方式

爆破：弱口令 认证口令绕过： 拒绝服务攻击：（CVE-2015-5239） 权限提升：（CVE-2013-6886）

Pcanywhere服务

PyAnywhere服务：一款远控工具，有点类似vnc的功能；这个服务在以前很多黑客发的视频里面都有，利用pcanywhere来进行提权；

默认端口

5632

攻击方式

提权控制服务 拒绝服务攻击 代码执行

Web应用服务端口渗透

IIS服务

默认端口

80/81/443

攻击方式

IIS PUT写文件：利用IIS漏洞，put方法直接将文件放置到服务器上 短文件名泄漏：这种一般没啥影响 解析漏洞：详细见apache服务

Apache/Tomcat/Nginx/Axis2

默认端口

80/8080

攻击方式

爆破：弱口令（爆破manager后台） HTTP慢速攻击：可以把服务器打死，对一些大型的网站有影响； 解析漏洞

WebLogic

默认端口

7001

攻击方式

爆破：弱口令 4组：用户名密码均一致：system weblogic（密码可能weblogic123） portaladmin guest Congsole后台部署webshell：

Java反序列化：

泄漏源代码/列目录：这个太老了，估计网上都没有了吧！ SSRF窥探内网：央视网SSRF可窥探内网 Jboss

默认端口

8080 其他端口1098/1099/4444/4445/8080/8009/8083/8093

攻击方式

爆破：弱口令（爆破jboss系统后台） 远程代码执行：由于配置不当造成 Java反序列化：

Websphere

默认端口

908* 第一个应用就是9080，第二个就是9081；控制台9090

攻击方式

爆破：弱口令（控制台） 任意文件泄漏：（CVE-2014-0823） Java反序列化

GlassFish

默认端口

http 8080；IIOP 3700；控制台4848

攻击方式

爆破：弱口令（对于控制台） 任意文件读取： 认证绕过：

Jenkins

默认端口

8080、8089

攻击方式

爆破：弱口令（默认管理员） 未授权访问： 反序列化：

Resin

默认端口

8080

攻击方式

目录遍历 远程文件读取

Jetty

默认端口

8080

攻击方式

远程共享缓冲区溢出

Lotus

影响的都是一些大型的企业，特别需要注意，经过以前的测试发现弱口令这个问题经常都存在，可能是很多管理员不知道如何去修改（不要打我）。

默认端口

1352

攻击方式

爆破：弱口令（admin password）控制台 信息泄露 跨站脚本攻击

数据库服务端口渗透

MySQL数据库

默认端口

3306

攻击方式

爆破：弱口令 身份认证漏洞：CVE-2012-2122 拒绝服务攻击：利用sql语句是服务器进行死循环打死服务器 Phpmyadmin万能密码绕过：用户名：‘localhost’@’@” 密码任意

MSSQL数据库

默认端口

1433（Server 数据库服务）、1434（Monitor 数据库监控）

攻击方式

爆破：弱口令/使用系统用户

Oracle数据库

默认端口

1521（数据库端口）、1158（Oracle EMCTL端口）、8080（Oracle XDB数据库）、210（Oracle XDB FTP服务）

攻击方式

爆破：弱口令 注入攻击； 漏洞攻击；

PostgreSQL数据库

PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统，可以说是目前世界上最先进，功能最强大的自由数据库管理系统。包括我们kali系统中msf也使用这个数据库；浅谈postgresql数据库攻击技术 大部分关于它的攻击依旧是sql注入，所以注入才是数据库不变的话题。

默认端口

5432

攻击方式

爆破：弱口令：postgres postgres 缓冲区溢出：CVE-2014-2669

MongoDB数据库

MongoDB：NoSQL数据库；攻击方法与其他数据库类似；关于它的安全讲解：请参考

默认端口

27017

攻击方式

爆破：弱口令 未授权访问；github有攻击代码

Redis数据库

redis：是一个开源的使用c语言写的，支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年还是很火的，暴露出来的问题也很多。特别是前段时间暴露的未授权访问。Exp：https://yunpan.cn/cYjzHxawFpyVt 访问密码 e547

默认端口

6379

攻击方式

爆破：弱口令 未授权访问+配合ssh key提权；

SysBase数据库

默认端口

服务端口5000；监听端口4100；备份端口：4200

攻击方式

爆破：弱口令 命令注入：

DB2数据库

默认端口

5000

攻击方式

安全限制绕过：成功后可执行未授权操作（CVE-2015-1922）

CouchDB数据库

CouchDB 是一个开源的面向文档的数据库管理系统，可以通过 RESTful JavaScript Object Notation (JSON) API 访问。CouchDB会默认会在5984端口开放Restful的API接口，用于数据库的管理功能。

默认端口

5984

攻击方式

未授权访问 利用CouchDB未授权访问漏洞执行任意系统命令

邮件服务端口渗透

SMTP协议

smtp：邮件协议，在linux中默认开启这个服务，可以向对方发送钓鱼邮件！

默认端口

25（smtp）、465（smtps）

攻击方式

爆破：弱口令 未授权访问

POP3协议

默认端口

109（POP2）、110（POP3）、995（POP3S）

攻击方式

爆破；弱口令 未授权访问；

IMAP协议

默认端口

143（imap）、993（imaps）

攻击方式

爆破：弱口令 配置不当

网络常见协议端口渗透

DNS服务

默认端口

53

攻击方式

区域传输漏洞

DHCP服务

默认端口

67&68、546（DHCP Failover做双机热备的）

攻击方式

DHCP劫持

SNMP协议

默认端口

161

攻击方式

爆破：弱口令

其他端口渗透

Zookeeper服务

zookeeper：分布式的，开放源码的分布式应用程序协调服务；提供功能包括：配置维护、域名服务、分布式同步、组服务等。详情请参考百度百科

默认端口

2181

攻击方式

未授权访问；

Zabbix服务

zabbix：基于Web界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。监视各种网络参数，保证服务器系统的安全运营。

默认端口

8069

攻击方式

远程命令执行：

elasticsearch服务

elasticsearch：请百度（因为我觉得我解释不清楚）

默认端口

9200（）、9300（）

攻击方式

未授权访问； 远程命令执行； 文件遍历； 低版本webshell植入；

Linux R服务

R服务：TCP端口512,513和514为著名的rlogin提供服务。在系统中被错误配置从而允许远程访问者从任何地方访问（标准的，rhosts + +）。

默认端口

512（remote process execution）；513（remote login a latelnet）；514（cmd）

攻击方式

使用rlogin直接登录对方系统；

RMI

RMI：我们使用这两个端口很少的原因是因为必须是java，而且rmi穿越防火墙并不好穿越；这里我不会去涉及其他的东西，这里提出RMI只是因为在前段时间的java反序列化中，我们的小伙伴Bird写过一个weblogic利用工具，里面涉及到了RMI的一些东西，在有的时候使用socket不能成功时，我们可以使用RMI方式来进行利用；

默认端口

1090（）、1099（）

攻击方式

远程命令执行（java反序列化，调用rmi方式执行命令）

Rsync服务

Rsync：类UNIX系统下的数据备份工具（remote sync），属于增量备份；关于它的功能，大家自行百度百科吧，其实上面很多大家也看到了说是端口渗透，其实就是端口对应服务的渗透，服务一般出错就在配置或者版本问题上，rsync也不例外。Rsync默认允许匿名访问，如果在配置文件中没有相关的用户认证以及文件授权，就会触发隐患。

默认端口

873

攻击方式

未授权访问。 本地提权：rsync默认以root运行，利用rsync上传一个文件，只要这个文件具有s权限，我们执行我们的攻击脚本就可以具有root权限。