端口安全.md

端口安全

记录一些端口渗透时的方法和思路

---

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

---

大纲

• Tips
• 21
• 22
• 23
• 25
• 53
• 67/68
• 102
• 137/139/389/445/901
• 161
• 389
• 443
• 445
• 502
• 554
• 873
• 1090/1099
• 1433
• 1494
• 1521
• 2049
• 2181
• 2375
• 2598
• 3306
• 3389
• 4100
• 4592
• 4848
• 5000
• 5432
• 5632
• 5800/5900/5901
• 5984
• 6379
• 7001/7002
• 80/443/8080~10000
• 11211
• 27017/27018
• 50000
• 50010/50030/50070

---

文章

• 渗透基础 | 黑客常用端口利用总结

---

Tips

1. 对于少见的端口号,建议可以在 shodan 上搜索看看,找找同类业务,找找灵感.

2. 2019-11-14:最近发现火绒会拦截本地对外扫描(包括虚拟机) POC 的流量,等我注意到时真是感觉亏了1个亿,同理,其他杀软也可能会有这种情况,所以对于漏扫明明爆出漏洞,EXP 却利用不了的时候请看看是不是自己本地的问题.

   

---

21

FTP / tftp / vsftpd

• 试试匿名账号 anonymous anony@mous
• 爆破弱口令

---

22

SSH

• 试试服务账号,比如他有承载 ORACLE 数据库,就试试 oracle、orcl 这种,其他服务同理,略
• 用户名枚举,例如 CVE-2018-15473
• 爆破弱口令,推荐工具 : SNETCracker

---

23

Telnet

• 爆破弱口令,推荐工具 : SNETCracker

---

25

SMTP

• 枚举用户
• 伪造邮件
• SMTP相关

---

53

DNS

• CVE-2015-7547
• 域传送漏洞 现在域传送漏洞也少了,可以考虑的方向是子域名接管

---

67/68

DHCP

• CVE-2018-1111 DHCP 客户端脚本代码执行漏洞

---

102

S7comm / S7CommPlus

• 信息收集
• PLC攻击

---

137/139/389/445/901

Samba

• 未授权访问
• CVE-2015-0240 远程代码执行漏洞
• CVE-2017-7494 远程代码执行漏洞

---

161

SNMP

• 爆破,默认团体字符串"public"
• SNMP相关

---

389

LDAP

• 弱口令
• LDAP相关

---

443

HTTPS

• 心脏出血
• SSL＆TLS 安全性测试

---

445

smb / microsoft-ds

• smb相关
• MS17-010

---

502

Modbus

• 信息收集
• PLC攻击

---

554

rtsp

• RTSP 服务未授权访问漏洞

---

873

rsync

• Rsync未授权访问

---

1090/1099

RMI

• JAVA RMI 反序列化远程命令执行漏洞

---

1433

mssql

• 信息收集,nmap 提供相应 脚本
• 账号很多都是默认的 sa
• 爆破弱口令

---

1494

Citrix Receiver

• Citrix Receiver

---

1521

oracle

• Linux环境,一般 SSH 也会有个 oracle 的账号,可以爆破一下
• 信息收集,nmap 提供相应 脚本 , 爆出账号密码可以用 odat 工具尝试 getshell
• CVE-2012-1675 爆破TNS
• 爆破弱口令
• 注: Oracle 帐户在密码被连续输入错误 3 次的情况下就会锁定,而锁定后必须手动解除,否则这个帐户一直在锁定状态下,不能使用,爆破时请注意

---

2049

nfs

• nfs未授权访问

---

2181

ZooKeeper

• ZooKeeper未授权访问

---

2375

Docker

• Docker Remote API 未授权访问漏洞

---

2598

Citrix Receiver

• Citrix Receiver

---

3000

Gitea / ppp

---

3306

mysql、mariadb

• 信息收集,nmap 提供相应 脚本
• 爆破弱口令,爆出账号密码可以用 sqlmap 尝试 getshell

---

3389

RDP

• MS12-020 , 虽然很古老,但部分企业内网中还是存在
• MS17-010 , MSF 都有 poc 和 exp 直接 search 就行
• CVE-2019-0708 , MSF 都有 poc 和 exp 直接 search 就行
• 爆破弱口令,推荐工具 : yujianrdpcrack、SNETCracker

---

4100

Sysbase

• 爆破弱口令

---

4592

WebAccess

• CVE-2017-16720

---

4848

GlassFish

• 爆破弱口令

---

5000

sybase / DB2

• 爆破弱口令

---

5432

PostgreSQL

• 未授权访问
• 爆破弱口令
• 权限提升

---

5632

pcanywhere

• 弱口令
• 抓取密码 https://blog.csdn.net/Fly_hps/article/details/80377199

---

5800/5900/5901

VNC

• 信息收集,nmap 提供相应 脚本
• vnc渗透

一般来说,VNC 认证只需要密码,只有在多用户登录的场景才会需要 "用户名"

关于多用户登录的场景可以参考以下2篇文章

• 使用VNC实现多用户登录linux系统
• 使用 VNC 实现多用户登录

---

5984

Couchdb

• 未授权访问漏洞
• 垂直权限绕过漏洞
• 任意命令执行漏洞

---

6379

Redis

• 爆破弱口令
• Redis未授权访问

---

7001/7002

通常是 weblogic 中间件端口

• 弱口令,ssrf,反序列化
• weblogic渗透

---

80/443/8080~10000

通常是 IIS / apache / tomcat

• 对于 IIS 测试短文件名泄露或 MS15-034
• 直接访问出现默认页面或报错可能是路径不对,可以尝试爆破路径
• 对于 tomcat,可以尝试爆破弱口令 tomcat 的管理页面账号密码,注意:tomcat 默认是没有管理员账户的,这个只有开发配置后才有,所以先确认一下目标有没有配置管理账号,如果你点击 Manager App 或 Host Manager 就直接报错说明没有配置当然也可能是限制了访问.
• 框架和中间件渗透

其他各类 web 服务

• 如果有登录页面就去搜搭建教程尝试默认口令,或访问初始化安装的页面
• 如果目标采用的是开源服务,去看看项目 issue
• 这块内容太多就不一一列举 详情请看 BS-Exploits

---

11211

memcached

• memcached未授权访问

---

27017/27018

mongodb

• 弱口令
• 未授权访问

---

50000

SAP

• http://<target>:50000/ctc/servlet/com.sap.ctc.util.ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd.exe /c ipconfig /all

---

50010/50030/50070

Hadoop

• Hadoop未授权访问