【网络安全】常见端口渗透笔录

面对一个目标主机时，我们往往通过端口扫描来了解目标主机开放的端口和服务。当看到一个端口号时，你是否已经猜到它是什么服务，以及它可能存在哪些安全漏洞和利用姿势呢？

今天分享一些常见的端口服务及漏洞利用，帮助你快速找到获取主机权限的攻击路径。

1、远程管理端口

22 端口（SSH）

安全攻击：弱口令、暴力猜解、用户名枚举
利用方式：
1、通过用户名枚举可以判断某个用户名是否存在于目标主机中，
2、利用弱口令/暴力破解，获取目标主机权限。
23 端口（Telnet）

安全漏洞：弱口令、明文传输
利用方式：
1、通过弱口令或暴力破解，获取目标主机权限。
2、嗅探抓取telnet明文账户密码。
3389 端口（RDP）

安全漏洞：暴力破解
利用方式：通过弱口令或暴力破解，获取目标主机权限。
5632 端口（Pcanywhere）

安全漏洞：弱口令、暴力破解
利用方式：通过弱口令或暴力破解，获取目标主机权限
5900 端口（VNC）

安全漏洞：弱口令、暴力破解
利用方式：通过弱口令或暴力破解，获取目标主机权限。

2、Web中间件/服务端口

1090/1099 端口（RMI）

安全漏洞：JAVA RMI 反序列化远程命令执行漏洞
利用方式：使用nmap检测端口信息。
端口信息：1099/1090 Java-rmi Java RMI Registry
检测工具：attackRMI.jar
7001 端口（Weblogic）

安全漏洞：弱口令、SSRF、反序列化漏洞
利用方式：
1、控制台弱口令上传war木马
2、SSRF内网探测
3、反序列化远程代码执行等
8000 端口（jdwp）

安全漏洞：JDWP 远程命令执行漏洞
端口信息：
8000 jdwp java Debug Wire Protocol
检测工具：https://github.com/IOActive/jdwp-shellifier
8080 端口（Tomcat）

安全漏洞：弱口令、示例目录
利用方式：通过弱口令登录控制台，上传war包。
8080 端口（Jboss）

安全漏洞：未授权访问、反序列化。
利用方式：
1、未授权访问控制台，远程部署木马
2、反序列化导致远程命令执行等。
检测工具：https://github.com/joaomatosf/jexboss
8080 端口（Resin）

安全漏洞：目录遍历、远程文件读取
利用方式：通过目录遍历/远程文件读取获取敏感信息，为进一步攻击提供必要的信息。

任意文件读取POC：
payload1 = “/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/passwd”
payload2 = “/resin-doc/examples/jndi-appconfig/test?inputFile=…/…/…/…/…/…/…/…/…/…/etc/passwd”
payload3 = “/ …\\web-inf”
8080 端口（Jetty）

安全漏洞：远程共享缓冲区泄漏
利用方式：攻击者可以通过精心构造headers值来触发异常并偏移到共享缓冲区，其中包含了之前其他用户提交的请求，服务器会根据攻击者的payload返回特定位置的数据。
检测工具：https://github.com/GDSSecurity/Jetleak-Testing-Script
8080 端口（GlassFish）

安全漏洞：弱口令、任意文件读取
利用方式：
1、弱口令admin/admin，直接部署shell
2、任意文件读取获取服务器敏感配置信息
8080 端口（Jenkins）

安全漏洞：未授权访问 、远程代码执行
利用方式：访问如下url，可以执行脚本命令，反弹shell，写入webshell等。
http://:8080/manage
http://:8080/script
8161 端口（ActiveMQ）

安全漏洞：弱口令、任意文件写入、反序列化
利用方式：默认密码admin/admin登陆控制台、写入webshell、上传ssh key等方式。
9043 端口（webSphere）

安全漏洞：控制台弱口令、远程代码执行
后台地址：https://:9043/ibm/console/logon.jsp
50000 端口 （SAP）

安全漏洞：远程代码执行
利用方式：攻击者通过构造url请求，实现远程代码执行。
POC:http://:50000/ctc/servlet/com.sap.ctc.util.ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd.exe /c ipconfig /all
50070 端口（hadoop）

安全漏洞：未授权访问
利用方式：攻击者可以通过命令行操作多个目录下的数据，如进行删除操作。
curl -i -X DELETE “http://ip:50070/webhdfs/v1/tmp?op=DELETE&recursive=true“
curl -i -X PUT “http://ip:50070/webhdfs/v1/NODATA4U_SECUREYOURSHIT?op=MKDIRS“

3、数据库端口

389 端口（ldap）

安全漏洞：未授权访问 、弱口令
利用方式：通过LdapBrowser工具直接连入。
1433 端口（Mssql）

安全漏洞：弱口令、暴力破解
利用方式：差异备份getshell、SA账户提权等
1521 端口（Oracle）

安全漏洞：弱口令、暴力破解
利用方式：通过弱口令/暴力破解进行入侵。
3306 端口（MySQL）

安全漏洞：弱口令、暴力破解
利用方式：利用日志写入webshell、udf提权、mof提权等。
5432 端口（ PostgreSQL）

安全漏洞：弱口令、高权限命令执行
利用方式：攻击者通过弱口令获取账号信息，连入postgres中，可执行系统命令。。
PoC参考：
DROP TABLE IF EXISTS cmd_exec;
CREATE TABLE cmd_exec(cmd_output text);
COPY cmd_exec FROM PROGRAM ‘id’;
SELECT * FROM cmd_exec;
5984 端口（CouchDB）

安全漏洞：垂直权限绕过、任意命令执行
利用方式：通过构造数据创建管理员用户，使用管理员用户登录，构造恶意请求触发任意命令执行。
后台访问：http://:5984/_utils
6379 端口（Redis）

安全漏洞：未授权访问
利用方式：绝对路径写webshell 、利用计划任务执行命令反弹shell、
公私钥认证获取root权限、主从复制RCE等。
9200 端口（elasticsearch）

安全漏洞：未授权访问、命令执行
检测方式：
1、直接访问如下url，获取相关敏感信息。
http://:9200/_nodes 查看节点数据
http://:9200/_river 查看数据库敏感信息
2、通过构造特定的数据包，执行任意命令。
11211 端口（MemCache）

安全漏洞：未授权访问
检测方式：无需用户名密码，可以直接连接memcache 服务的11211端口。
nc -vv 11211
27017 端口（Mongodb）

安全漏洞：未授权访问、弱口令
利用方式：未授权访问/弱口令，远程连入数据库，导致敏感信息泄露。

4、常见协议端口

21 端口（FTP)

安全漏洞：1、配置不当 2、明文传输 3、第三方软件提权
利用方式：
1、匿名登录或弱口令
2、嗅探ftp用户名和密码
3、Serv-U权限较大的账号可导致系统命令执行。FTP提权命令：
增加系统用户
Quote site exec net user 4567 4567 /add
提升到管理员权限
Quote site exec net localgroup administrators 4567 /add
25 端口（SMTP）

攻击方式：1、匿名发送邮件 2、弱口令 3、SMTP用户枚举
利用方式：
1、SMTP服务器配置不当，攻击者可以使用任意用户发送邮件。
2、SMTP弱口令扫描，获取用户账号密码，发送邮件钓鱼。
3、通过SMTP用户枚举获取用户名：
nmap -p 25 – smtp-enum-users.nse
53 端口（DNS）

安全攻击：1、DNS域传送漏洞、DNS欺骗、DNS缓存投毒
检测方式：
1、DNS域传送漏洞，Windows下检测使用nslookup命令，Linux下检测使用dig命令，通过执行命令可以清楚的看到域名解析情况。
2、DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。
3、DNS缓存投毒是攻击者欺骗DNS服务器相信伪造的DNS响应的真实性。
161 端口（SNMP）

安全漏洞：默认团体名/弱口令访问
利用方式：通过nmap自带的审计脚本进行检测，可能导致敏感信息泄露。。
1、弱口令检测：nmap –sU –p161 –script=snmp-brute
2、获取系统信息：nmap –sU –p161 –script=snmp-sysdescr
3、获取用户信息：nmap -sU -p161 --script=snmp-win32-user
4、获取网络端口状态：nmap -sU -p161 --script=snmp-netstat
443 端口（SSL）

安全漏洞：OpenSSL 心脏出血
利用方式：攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。
扫描脚本：nmap -sV --script=ssl-heartbleed
445 端口（SMB）

安全漏洞：信息泄露、远程代码执行
利用方式：可利用共享获取敏感信息、缓冲区溢出导致远程代码执行，如ms17010。
873 端口（Rsync）

安全漏洞：匿名访问、弱口令
利用方式：攻击者可以执行下载/上传等操作，也可以尝试上传webshell。
1、下载：#rsync -avz a.b.c.d::path/file path/filiname
2、上传：#rsync -avz path/filename a.b.c.d::path/file
2181 端口（Zookeeper）

安全漏洞：未授权访问
检测方式：攻击者可通过执行envi命令获得系统大量的敏感信息，包括系统名称、Java环境。
echo envi | nc ip port
2375 端口（Docker）

安全漏洞：未授权方式
检测方式：通过docker daemon api 执行docker命令。
列出容器信息，效果与docker ps -a 一致。
curl http://:2375/containers/json
docker -H tcp://:2375 start

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉【整整282G！】网络安全&黑客技术小白到大神全套资料，免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉【整整282G！】网络安全&黑客技术小白到大神全套资料，免费分享！