我们在进行渗透测试中,一般情况下会对端口进行扫描,看看服务器中开启了哪些端口,对应的端口一般存在对应的服务,而这些服务可能存在相应的漏洞,下面就是简单结束一下端口对应服务,服务可能对应的漏洞。
FTP服务:ftp服务我分为两种情况,第一种是使用系统软件来配置,比如IIS中的FTP文件共享或Linux中的默认服务软件;第二种是通过第三方软件来配置,比如Serv-U还有一些网上写的简易ftp服务器等。
20(数据端口);21(控制端口);69(tftp小型文件传输协议)
爆破:ftp的爆破工具有很多,这里我推荐owasp的Bruter 以及msf中ftp爆破模块; 匿名访问:用户名:anonymous 密码:为空或任意邮箱
nfs:网络文件系统,允许网络中的计算机通过TCP/IP网络共享资源。基于Linux系统,配置方面很简单,详细配置请参考案例分享。在nfs配置中,有不做任何限制的,有限制用户,有限制IP,以及在版本2.x中我们还可以使用证书来验证用户。当然不同的限制可以采用的攻击方式也不一样;就目前而言网上关于nfs的攻击还是比较少的。
2049
未授权访问:未限制IP以及用户权限设置错误
Samba服务:对于这个可以在windows与Linux之间进行共享文件的服务同样是我们攻击的关注点;samba登录分为两种方式,一种是需要用户名口令;另一种是不需要用户名口令。在很多时候不光是pc机,还有一些服务器,网络设备都开放着此服务,方便进行文件共享,但是同时也给攻击者提供了便利。
137(主要用户NetBIOS Name Service;NetBIOS名称服务)、139(NetBIOS Session Service,主要提供samba服务)
爆破:弱口令(爆破工具采用hydra)hydra -l username -P PassFile IP smb 未授权访问:给予public用户高权限 远程代码执行漏洞:CVE-2015-0240等等
ldap:轻量级目录访问协议,最近几年随着ldap的广泛使用被发现的漏洞也越来越多。但是毕竟主流的攻击方式仍旧是那些,比如注入,未授权等等;这些问题的出现也都是因为配置不当而造成的。
389
注入攻击:盲注 未授权访问: 爆破:弱口令
SSH服务:这个服务基本会出现在我们的Linux服务器,网络设备,安全设备等设备上,而且很多时候这个服务的配置都是默认的;对于SSH服务我们可能使用爆破攻击方式较多。
22
爆破:弱口令、 漏洞:28退格漏洞、OpenSSL漏洞
Telnet服务:在SSH服务崛起的今天我们已经很难见到使用telnet的服务器,但是在很多设备上同样还是有这个服务的;比如cisco、华三,深信服等厂商的设备;我就有很多次通过telnet弱口令控制这些设备;
23
爆破:弱口令 嗅探:此种情况一般发生在局域网
远程桌面连接:作为windows上进行远程连接的端口,很多时候我们在得到系统为windows的shell的时候我们总是希望可以登录3389实际操作对方电脑;这个时候我们一般的情况分为两种。一种是内网,需要先将目标机3389端口反弹到外网;另一种就是外网,我们可以直接访问;当然这两种情况我们利用起来可能需要很苛刻的条件,比如找到登录密码等等;
3389
爆破:3389端口爆破工具就有点多了 Shift粘滞键后门:5次shift后门 3389漏洞攻击:利用ms12-020攻击3389端口,导致服务器关机
VNC:一款优秀的远控工具,常用语类UNIX系统上,简单功能强大;也
5900+桌面ID(5901;5902)
爆破:弱口令 认证口令绕过: 拒绝服务攻击:(CVE-2015-5239) 权限提升:(CVE-2013-6886)
PyAnywhere服务:一款远控工具,有点类似vnc的功能;这个服务在以前很多黑客发的视频里面都有,利用pcanywhere来进行提权;
5632
提权控制服务 拒绝服务攻击 代码执行
80/81/443
IIS PUT写文件:利用IIS漏洞,put方法直接将文件放置到服务器上 短文件名泄漏:这种一般没啥影响 解析漏洞:详细见apache服务
80/8080
爆破:弱口令(爆破manager后台) HTTP慢速攻击:可以把服务器打死,对一些大型的网站有影响; 解析漏洞
7001
爆破:弱口令 4组:用户名密码均一致:system weblogic(密码可能weblogic123) portaladmin guest Congsole后台部署webshell:
泄漏源代码/列目录:这个太老了,估计网上都没有了吧! SSRF窥探内网:央视网SSRF可窥探内网 Jboss
8080 其他端口1098/1099/4444/4445/8080/8009/8083/8093
爆破:弱口令(爆破jboss系统后台) 远程代码执行:由于配置不当造成 Java反序列化:
908* 第一个应用就是9080,第二个就是9081;控制台9090
爆破:弱口令(控制台) 任意文件泄漏:(CVE-2014-0823) Java反序列化
http 8080;IIOP 3700;控制台4848
爆破:弱口令(对于控制台) 任意文件读取: 认证绕过:
8080、8089
爆破:弱口令(默认管理员) 未授权访问: 反序列化:
8080
目录遍历 远程文件读取
8080
远程共享缓冲区溢出
影响的都是一些大型的企业,特别需要注意,经过以前的测试发现弱口令这个问题经常都存在,可能是很多管理员不知道如何去修改(不要打我)。
1352
爆破:弱口令(admin password)控制台 信息泄露 跨站脚本攻击
3306
爆破:弱口令 身份认证漏洞:CVE-2012-2122 拒绝服务攻击:利用sql语句是服务器进行死循环打死服务器 Phpmyadmin万能密码绕过:用户名:‘localhost’@’@” 密码任意
1433(Server 数据库服务)、1434(Monitor 数据库监控)
爆破:弱口令/使用系统用户
1521(数据库端口)、1158(Oracle EMCTL端口)、8080(Oracle XDB数据库)、210(Oracle XDB FTP服务)
爆破:弱口令 注入攻击; 漏洞攻击;
PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统,可以说是目前世界上最先进,功能最强大的自由数据库管理系统。包括我们kali系统中msf也使用这个数据库;浅谈postgresql数据库攻击技术 大部分关于它的攻击依旧是sql注入,所以注入才是数据库不变的话题。
5432
爆破:弱口令:postgres postgres 缓冲区溢出:CVE-2014-2669
MongoDB:NoSQL数据库;攻击方法与其他数据库类似;关于它的安全讲解:请参考
27017
爆破:弱口令 未授权访问;github有攻击代码
redis:是一个开源的使用c语言写的,支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年还是很火的,暴露出来的问题也很多。特别是前段时间暴露的未授权访问。Exp:https://yunpan.cn/cYjzHxawFpyVt 访问密码 e547
6379
爆破:弱口令 未授权访问+配合ssh key提权;
服务端口5000;监听端口4100;备份端口:4200
爆破:弱口令 命令注入:
5000
安全限制绕过:成功后可执行未授权操作(CVE-2015-1922)
CouchDB 是一个开源的面向文档的数据库管理系统,可以通过 RESTful JavaScript Object Notation (JSON) API 访问。CouchDB会默认会在5984端口开放Restful的API接口,用于数据库的管理功能。
5984
未授权访问 利用CouchDB未授权访问漏洞执行任意系统命令
smtp:邮件协议,在linux中默认开启这个服务,可以向对方发送钓鱼邮件!
25(smtp)、465(smtps)
爆破:弱口令 未授权访问
109(POP2)、110(POP3)、995(POP3S)
爆破;弱口令 未授权访问;
143(imap)、993(imaps)
爆破:弱口令 配置不当
53
区域传输漏洞
67&68、546(DHCP Failover做双机热备的)
DHCP劫持
161
爆破:弱口令
zookeeper:分布式的,开放源码的分布式应用程序协调服务;提供功能包括:配置维护、域名服务、分布式同步、组服务等。详情请参考百度百科
2181
未授权访问;
zabbix:基于Web界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。监视各种网络参数,保证服务器系统的安全运营。
8069
远程命令执行:
elasticsearch:请百度(因为我觉得我解释不清楚)
9200()、9300()
未授权访问; 远程命令执行; 文件遍历; 低版本webshell植入;
R服务:TCP端口512,513和514为著名的rlogin提供服务。在系统中被错误配置从而允许远程访问者从任何地方访问(标准的,rhosts + +)。
512(remote process execution);513(remote login a latelnet);514(cmd)
使用rlogin直接登录对方系统;
RMI:我们使用这两个端口很少的原因是因为必须是java,而且rmi穿越防火墙并不好穿越;这里我不会去涉及其他的东西,这里提出RMI只是因为在前段时间的java反序列化中,我们的小伙伴Bird写过一个weblogic利用工具,里面涉及到了RMI的一些东西,在有的时候使用socket不能成功时,我们可以使用RMI方式来进行利用;
1090()、1099()
远程命令执行(java反序列化,调用rmi方式执行命令)
Rsync:类UNIX系统下的数据备份工具(remote sync),属于增量备份;关于它的功能,大家自行百度百科吧,其实上面很多大家也看到了说是端口渗透,其实就是端口对应服务的渗透,服务一般出错就在配置或者版本问题上,rsync也不例外。Rsync默认允许匿名访问,如果在配置文件中没有相关的用户认证以及文件授权,就会触发隐患。
873
未授权访问。 本地提权:rsync默认以root运行,利用rsync上传一个文件,只要这个文件具有s权限,我们执行我们的攻击脚本就可以具有root权限。