# 常用端口漏洞利用总结
漏洞入侵
| 端口 |
服务 |
入侵方式 |
| 21 |
ftp/tftp/vsftpd 文件传输协议 |
爆破 / 嗅探 / 溢出 / 后门 |
| 22 |
ssh 远程连接 |
爆破 /openssh 漏洞 |
| 23 |
Telnet 远程连接 |
爆破 / 嗅探 / 弱口令 |
| 25 |
SMTP 邮件服务 |
邮件伪造 |
| 53 |
DNS 域名解析系统 |
域传送 / 劫持 / 缓存投毒 / 欺骗 |
| 67/68 |
dhcp 服务 |
劫持 / 欺骗 |
| 110 |
pop3 |
爆破 / 嗅探 |
| 139 |
Samba 服务 |
爆破 / 未授权访问 / 远程命令执行 |
| 143 |
Imap 协议 |
爆破 |
| 161 |
SNMP 协议 |
爆破 / 搜集目标内网信息 |
| 389 |
Ldap 目录访问协议 |
注入 / 未授权访问 / 弱口令 |
| 445 |
smb |
ms17-010 / 端口溢出 |
| 512/513/514 |
Linux Rexec 服务 |
爆破 / Rlogin 登陆 |
| 873 |
Rsync 服务 |
文件上传 / 未授权访问 |
| 1080 |
socket |
爆破 |
| 1352 |
Lotus domino 邮件服务 |
爆破 / 信息泄漏 |
| 1433 |
mssql |
爆破 / 注入 / SA 弱口令 |
| 1521 |
oracle |
爆破 / 注入 / TNS 爆破 / 反弹 shell |
| 2049 |
Nfs 服务 |
配置不当 |
| 2181 |
zookeeper 服务 |
未授权访问 |
| 2375 |
docker remote api |
未授权访问 |
| 3306 |
mysql |
爆破 / 注入 |
| 3389 |
Rdp 远程桌面链接 |
爆破 /shift 后门 |
| 4848 |
GlassFish 控制台 |
爆破 / 认证绕过 |
| 5000 |
sybase/DB2 数据库 |
爆破 / 注入 / 提权 |
| 5432 |
postgresql |
爆破 / 注入 / 缓冲区溢出 |
| 5632 |
pcanywhere 服务 |
抓密码 / 代码执行 |
| 5900 |
vnc |
爆破 / 认证绕过 |
| 6379 |
Redis 数据库 |
未授权访问 / 爆破 |
| 7001/7002 |
weblogic |
java 反序列化 / 控制台弱口令 |
| 80/443 |
http/https |
web 应用漏洞 / 心脏滴血 |
| 8069 |
zabbix 服务 |
远程命令执行 / 注入 |
| 8161 |
activemq |
弱口令 / 写文件 |
| 8080/8089 |
Jboss/Tomcat/Resin |
爆破 / PUT 文件上传 / 反序列化 |
| 8083/8086 |
influxDB |
未授权访问 |
| 9000 |
fastcgi |
远程命令执行 |
| 9090 |
Websphere 控制台 |
爆破 /java 反序列化 / 弱口令 |
| 9200/9300 |
elasticsearch |
远程代码执行 |
| 11211 |
memcached |
未授权访问 |
| 27017/27018 |
mongodb |
未授权访问 / 爆破 |
# 21端口渗透剖析 (FTP)
FTP 通常用作对远程服务器进行管理,典型应用就是对 web 系统进行管理。一旦 FTP 密码泄露就直接威胁 web 系统安全,甚至黑客通过提权可以直接控制服务器。这里剖析渗透 FTP 服务器的几种方法。
1
2
3
4
| (1)基础爆破:ftp爆破工具很多,这里我推owasp的Bruter,hydra以及msf中的ftp爆破模块。``(2) ftp匿名访问:用户名:anonymous 密码:为空或者任意
(3)后门vsftpd :version 2到2.3.4存在后门漏洞,攻击者可以通过该漏洞获取root权限
(4)嗅探:ftp使用明文传输技术(但是嗅探给予局域网并需要欺骗或监听网关),使用Cain进行渗透。(5)ftp远程代码溢出 (proftpd 1.3.3c) (https://blog.csdn.net/weixin_42214273/article/details/82892282)
(6)ftp跳转攻击
|
# 22端口渗透剖析 (SSH)
SSH 是协议,通常使用 OpenSSH 软件实现协议应用。SSH 为 Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其它网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。
1
2
3
4
| (1)弱口令,可使用工具hydra,msf中的ssh爆破模块,也可以直接利用模块sshexec直接利用
(2)防火墙SSH后门。(https://www.secpulse.com/archives/69093.html)
(3)28退格 OpenSSL
(4)openssh 用户枚举 CVE-2018-15473。(https://www.anquanke.com/post/id/157607)
|
# 23端口渗透剖析 (TELNET)
telnet 是一种旧的远程管理方式,使用 telnet 工具登录系统过程中,网络上传输的用户和密码都是以明文方式传送的,黑客可使用嗅探技术截获到此类密码。
1
2
| (1)暴力破解技术是常用的技术,使用hydra,或者msf中telnet模块对其进行破解。
(2)在linux系统中一般采用SSH进行远程访问,传输的敏感数据都是经过加密的。而对于windows下的telnet来说是脆弱的,因为默认没有经过任何加密就在网络中进行传输。使用cain等嗅探工具可轻松截获远程登录密码。
|
# 25/465端口渗透剖析 (SMTP)
smtp:邮件协议,在 linux 中默认开启这个服务,可以向对方发送钓鱼邮件
1
2
3
| 默认端口:25(smtp)、465(smtps)
(1)爆破:弱口令
(2)未授权访问
|
# 53端口渗透剖析 (DNS)
53 端口是 DNS 域名服务器的通信端口,通常用于域名解析。也是网络中非常关键的服务器之一。这类服务器容易受到攻击。对于此端口的渗透,一般有三种方式。
1
2
3
4
| (1)使用DNS远程溢出漏洞直接对其主机进行溢出攻击,成功后可直接获得系统权限。(https://www.seebug.org/vuldb/ssvid-96718)
(2)使用DNS欺骗攻击,可对DNS域名服务器进行欺骗,如果黑客再配合网页木马进行挂马攻击,无疑是一种杀伤力很强的攻击,黑客可不费吹灰之力就控制内网的大部分主机。这也是内网渗透惯用的技法之一。(https://baijiahao.baidu.com/s?id=1577362432987749706&wfr=spider&for=pc)
(3)拒绝服务攻击,利用拒绝服务攻击可快速的导致目标服务器运行缓慢,甚至网络瘫痪。如果使用拒绝服务攻击其DNS服务器。将导致用该服务器进行域名解析的用户无法正常上网。(http://www.edu.cn/xxh/fei/zxz/201503/t20150305_1235269.shtml)
(4)DNS劫持 (https://blog.csdn.net/qq_32447301/article/details/77542474)
|
# 80端口渗透剖析 (HTTP)
80 端口通常提供 web 服务。目前黑客对 80 端口的攻击典型是采用 SQL 注入的攻击方法,脚本渗透技术也是一项综合性极高的 web 渗透技术,同时脚本渗透技术对 80 端口也构成严重的威胁。
1
2
3
4
5
6
7
8
| (1)对于windows2000的IIS5.0版本,黑客使用远程溢出直接对远程主机进行溢出攻击,成功后直接获得系统权限。
(2)对于windows2000中IIS5.0版本,黑客也尝试利用‘Microsoft IISCGI’文件名错误解码漏洞攻击。使用X-SCAN可直接探测到IIS漏洞。
(3)IIS写权限漏洞是由于IIS配置不当造成的安全问题,攻击者可向存在此类漏洞的服务器上传恶意代码,比如上传脚本木马扩大控制权限。
(4)普通的http封包是没有经过加密就在网络中传输的,这样就可通过嗅探类工具截取到敏感的数据。如使用Cain工具完成此类渗透。
(5)80端口的攻击,更多的是采用脚本渗透技术,利用web应用程序的漏洞进行渗透是目前很流行的攻击方式。
(6)对于渗透只开放80端口的服务器来说,难度很大。利用端口复用工具可解决此类技术难题。
(7)CC攻击效果不及DDOS效果明显,但是对于攻击一些小型web站点还是比较有用的。CC攻击可使目标站点运行缓慢,页面无法打开,有时还会爆出web程序的绝对路径。
(8)CVE-2017-7269 IIS远程代码执行
|
# 139/445端口渗透剖析 (SMB)
139 端口是为‘NetBIOS SessionService’提供的,主要用于提供 windows 文件和打印机共享以及 UNIX 中的 Samba 服务。445 端口也用于提供 windows 文件和打印机共享,在内网环境中使用的很广泛。这两个端口同样属于重点攻击对象,139/445 端口曾出现过许多严重级别的漏洞。下面剖析渗透此类端口的基本思路
1
2
3
4
| (1)对于开放139/445端口的主机,一般尝试利用溢出漏洞对远程主机进行溢出攻击,成功后直接获得系统权限。利用msf的ms-17010永恒之蓝或psexec(https://blog.csdn.net/qq_41880069/article/details/82908131)
(2)对于攻击只开放445端口的主机,黑客一般使用工具‘MS06040’或‘MS08067’.可使用专用的445端口扫描器进行扫描。NS08067溢出工具对windows2003系统的溢出十分有效,工具基本使用参数在cmd下会有提示。(https://blog.csdn.net/god_7z1/article/details/6773652)
(3)对于开放139/445端口的主机,黑客一般使用IPC$进行渗透。在没有使用特点的账户和密码进行空连接时,权限是最小的。获得系统特定账户和密码成为提升权限的关键了,比如获得administrator账户的口令。(https://blog.warhut.cn/dmbj/145.html)
(4)对于开放139/445端口的主机,可利用共享获取敏感信息,这也是内网渗透中收集信息的基本途径。
|
# 1433端口渗透剖析 (SQLServer)
1433 是 SQLServer 默认的端口,SQL Server 服务使用两个端口:tcp-1433、UDP-1434. 其中 1433 用于供 SQLServer 对外提供服务,1434 用于向请求者返回 SQLServer 使用了哪些 TCP/IP 端口。1433 端口通常遭到黑客的攻击,而且攻击的方式层出不穷。最严重的莫过于远程溢出漏洞了,如由于 SQL 注射攻击的兴起,各类数据库时刻面临着安全威胁。利用 SQL 注射技术对数据库进行渗透是目前比较流行的攻击方式,此类技术属于脚本渗透技术。
1
2
3
4
| (1)对于开放1433端口的SQL Server2000的数据库服务器,黑客尝试使用远程溢出漏洞对主机进行溢出测试,成功后直接获得系统权限。(https://blog.csdn.net/gxj022/article/details/4593015)
(2)暴力破解技术是一项经典的技术。一般破解的对象都是SA用户。通过字典破解的方式很快破解出SA的密码。(https://blog.csdn.net/kali_linux/article/details/50499576) 可利用模块mssql
(3)嗅探技术同样能嗅探到SQL Server的登录密码。
(4)由于脚本程序编写的不严密,例如,程序员对参数过滤不严等,这都会造成严重的注射漏洞。通过SQL注射可间接性的对数据库服务器进行渗透,通过调用一些存储过程执行系统命令。可以使用SQL综合利用工具完成。
|
# 1521端口渗透剖析 (Oracle)
1521 是大型数据库 Oracle 的默认监听端口,平时大家接触的比较多的是 Access,MSSQL 以及 MYSQL 这三种数据库。一般大型站点才会部署这种比较昂贵的数据库系统。对于渗透这种比较复杂的数据库系统,黑客的思路如下:
1
2
3
| (1)Oracle拥有非常多的默认用户名和密码,为了获得数据库系统的访问权限,破解数据库系统用户以及密码是黑客必须攻破的一道安全防线。
(2)SQL注射同样对Oracle十分有效,通过注射可获得数据库的敏感信息,包括管理员密码等。
(3)在注入点直接创建java,执行系统命令(https://www.leiphone.com/news/201711/JjzXFp46zEPMvJod.html)
|
# 2049端口渗透剖析 (NFS)
NFS(Network File System)即网络文件系统,是 FreeBSD 支持的文件系统中的一种,它允许网络中的计算机之间通过 TCP/IP 网络共享资源。在 NFS 的应用中,本地 NFS 的客户端应用可以透明地读写位于远端 NFS 服务器上的文件,就像访问本地文件一样。如今 NFS 具备了防止被利用导出文件夹的功能,但遗留系统中的 NFS 服务配置不当,则仍可能遭到恶意攻击者的利用。
1
| 未授权访问。(https://www.freebuf.com/articles/network/159468.html) (https://www.hackliu.com/?p=426)
|
# 3306端口渗透剖析 (MYSQL)
3306 是 MYSQL 数据库默认的监听端口,通常部署在中型 web 系统中。在国内 LAMP 的配置是非常流行的,对于 php+mysql 构架的攻击也是属于比较热门的话题。mysql 数据库允许用户使用自定义函数功能,这使得黑客可编写恶意的自定义函数对服务器进行渗透,最后取得服务器最高权限。对于 3306 端口的渗透:
1
2
3
| (1)弱口令:由于管理者安全意识淡薄,通常管理密码设置过于简单,甚至为空口令。使用破解软件很容易破解此类密码,利用破解的密码登录远程mysql数据库,上传构造的恶意UDF自定义函数代码进行注册,通过调用注册的恶意函数执行系统命令。或者向web目录导出恶意的脚本程序,以控制整个web系统。
(2)功能强大的‘cain’同样支持对3306端口的嗅探,同时嗅探也是渗透思路的一种。
(3)SQL注入同样对mysql数据库威胁巨大,不仅可以获取数据库的敏感信息,还可使用load_file()函数读取系统的敏感配置文件或者从web数据库链接文件中获得root口令等,导出恶意代码到指定路径等。
|
# 3389端口渗透剖析 (RDP)
3389 是 windows 远程桌面服务默认监听的端口,管理员通过远程桌面对服务器进行维护,这给管理工作带来的极大的方便。通常此端口也是黑客们较为感兴趣的端口之一,利用它可对远程服务器进行控制,而且不需要另外安装额外的软件,实现方法比较简单
1
2
3
4
5
6
| (1)对于windows2000的旧系统版本,使用‘输入法漏洞’进行渗透。
(2)cain是一款超级的渗透工具,同样支持对3389端口的嗅探。
(3)Shift粘滞键后门:5次shift后门
(4)社会工程学通常是最可怕的攻击技术,如果管理者的一切习惯和规律被黑客摸透的话,那么他管理的网络系统会因为他的弱点被渗透。
(5)爆破3389端口。这里还是推荐使用hydra爆破工具。
(6)ms12_020死亡蓝屏攻击。(https://www.cnblogs.com/R-Hacker/p/9178066.html)
|
# 4899端口渗透剖析 (radmini 远控)
4899 端口是 remoteadministrator 远程控制软件默认监听的端口,也就是平时常说的 radmini 影子。radmini 目前支持 TCP/IP 协议,应用十分广泛,在很多服务器上都会看到该款软件的影子。对于此软件的渗透,思路如下:
1
2
| (1)radmini同样存在不少弱口令的主机,通过专用扫描器可探测到此类存在漏洞的主机。
(2)radmini远控的连接密码和端口都是写入到注册表系统中的,通过使用webshell注册表读取功能可读取radmini在注册表的各项键值内容,从而破解加密的密码散列。
|
# 5432端口渗透剖析 (PostgreSQL)
PostgreSQL 是一种特性非常齐全的自由软件的对象–关系型数据库管理系统,可以说是目前世界上最先进,功能最强大的自由数据库管理系统。包括 kali 系统中 msf 也使用这个数据库;浅谈 postgresql 数据库攻击技术 大部分关于它的攻击依旧是 sql 注入,所以注入才是数据库不变的话题。
1
2
| (1)爆破:弱口令:postgres postgres
(2)缓冲区溢出:CVE-2014-2669。(http://drops.xmd5.com/static/drops/tips-6449.html)(3)远程代码执行:CVE-2018-1058。(https://www.secpulse.com/archives/69153.html)
|
# 5900端口渗透剖析 (VNC)
1
2
3
4
5
| (1)VNC软件存在密码验证绕过漏洞,此高危漏洞可以使得恶意攻击者不需要密码就可以登录到一个远程系统。
(2)cain同样支持对VNC的嗅探,同时支持端口修改。
(3)VNC的配置信息同样被写入注册表系统中,其中包括连接的密码和端口。利用webshell的注册表读取功能进行读取加密算法,然后破解。
(4)VNC拒绝服务攻击(CVE-2015-5239)。(http://blogs.360.cn/post/vnc%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%BC%8F%E6%B4%9Ecve-2015-5239%E5%88%86%E6%9E%90.html)
(5)VNC权限提升(CVE-2013-6886)。
|
# 6379端口渗透剖析 (Redis)
Redis 是一个开源的使用 c 语言写的,支持网络、可基于内存亦可持久化的日志型、key-value 数据库。关于这个数据库这两年还是很火的,暴露出来的问题也很多。特别是前段时间暴露的未授权访问。
1
2
| (1)爆破:弱口令
(2)未授权访问+配合ssh key提权。(http://www.alloyteam.com/2017/07/12910/)
|
# 7001/7002端口渗透剖析 (Weblogic)
1
2
3
4
5
6
7
| (1)弱口令、爆破,弱密码一般为weblogic/Oracle@123 or weblogic
(2)管理后台部署 war 后门
(3)SSRF
(4)反序列化漏洞
(5)weblogic_uac
(https://github.com/vulhub/vulhub/tree/master/weblogic/ssrf)(https://bbs.pediy.com/thread-224954.htm)
(https://fuping.site/2017/06/05/Weblogic-Vulnerability-Verification/)(https://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html)
|
# 27017端口渗透剖析 (MongoDB,NoSQL 数据库)
MongoDB,NoSQL 数据库;攻击方法与其他数据库类似
1
2
| (1)爆破:弱口令
(2)未授权访问;(http://www.cnblogs.com/LittleHann/p/6252421.html)(http://www.tiejiang.org/19157.html)
|
