# 端口安全

`记录一些端口渗透时的方法和思路`

---

## 免责声明

`本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.`

---

# 大纲

* [Tips](#tips)
* [7](#7)
* [21](#21)
* [22](#22)
* [23](#23)
* [25/465/587](#25465587)
* [43](#43)
* [53](#53)
* [67/68](#6768)
* [102](#102)
* [137/139/389/445/901](#137139389445901)
* [139/445](#139445)
* [161](#161)
* [389](#389)
* [443](#443)
* [445](#445)
* [502](#502)
* [554/8554](#5548554)
* [873](#873)
* [1090/1099](#10901099)
* [1433](#1433)
* [1494](#1494)
* [1521](#1521)
* [2049](#2049)
* [2181](#2181)
* [2375](#2375)
* [2598](#2598)
* [3306](#3306)
* [3389](#3389)
* [4100](#4100)
* [4592](#4592)
* [4848](#4848)
* [5000](#5000)
* [5432](#5432)
* [5632](#5632)
* [5800/5900/5901](#580059005901)
* [5984](#5984)
* [6379](#6379)
* [7001/7002](#70017002)
* [80/443/8080~10000](#80443808010000)
* [11211](#11211)
* [27017/27018](#2701727018)
* [50000/50001](#5000050001)
* [50010/50030/50070](#500105003050070)

---

**文章**
- [渗透基础 | 黑客常用端口利用总结](https://www.secpulse.com/archives/117822.html)

---

# Tips

1. 对于少见的端口号,建议可以在 shodan 上搜索看看,找找同类业务,找找灵感.
2. 2019-11-14:最近发现火绒会拦截本地对外扫描(包括虚拟机) POC 的流量,等我注意到时真是感觉亏了1个亿,同理,其他杀软也可能会有这种情况,所以对于漏扫明明爆出漏洞,EXP 却利用不了的时候请看看是不是自己本地的问题.

    ![](../../../../assets/img/Security/RedTeam/信息收集/端口安全/1.png)

---

# 7

`echo`

- 概述

    echo 服务正在此主机上运行。 回声服务旨在用于测试和测量目的，并且可以侦听 TCP 和 UDP 协议。 服务器将发送回接收到的所有数据，而无需进行任何修改。

    通过将 echo 服务连接到同一台或另一台计算机上的 echo 服务，可能会导致拒绝服务。 由于产生的数据包数量过多，可能会有效地使受影响的计算机停止服务。

- 测试访问
    ```bash
    nc -uvn <IP> 7
    Hello echo    #This is wat you send
    Hello echo    #This is the response
    ```

---

# 21

`FTP` / `tftp` / `vsftpd`

- 试试匿名账号 anonymous anony@mous
- 爆破弱口令

---

# 22

`SSH`

- 试试服务账号,比如他有承载 ORACLE 数据库,就试试 oracle、orcl 这种,其他服务同理,略
- 用户名枚举,例如 CVE-2018-15473
- 爆破弱口令
    - [SNETCracker](https://github.com/shack2/SNETCracker)
    - [ncsa/ssh-auditor](https://github.com/ncsa/ssh-auditor)

---

# 23

`Telnet`

- 爆破弱口令
    - 推荐工具 : [SNETCracker](https://github.com/shack2/SNETCracker)

---

# 25/465/587

`SMTP`

- [SMTP相关](../协议安全/Protocol-Exploits.md#smtp)
    - 枚举用户
    - 伪造邮件

---

# 43

`WHOIS`

- 概述

    WHOIS 是一个查询和响应协议，它被广泛用于查询数据库，以存储互联网资源的注册用户或受让人，如域名、IP地址块或自治系统，但也用于更广泛的其他信息。

- 枚举信息

    ```bash
    whois -h <HOST> -p <PORT> "domain.tld"
    echo "domain.ltd" | nc -vn <HOST> <PORT>
    ```

- 注入

    WHOIS服务始终需要使用数据库来存储和提取信息。 因此，从用户提供的某些信息查询数据库时，可能会出现SQLInjection。
    ```bash
    whois -h <HOST> -p 43 "a') or 1=1#"
    ```

---

# 53

`DNS`

- [DNS 相关](../协议安全/Protocol-Exploits.md#dns)
    - 域传送漏洞 - 现在域传送漏洞也少了,可以考虑的方向是子域名接管
    - CVE-2015-7547

---

# 67/68

`DHCP`

- [CVE-2018-1111 DHCP 客户端脚本代码执行漏洞](../协议安全/Protocol-Exploits.md#dhcp)

---

# 102

`S7comm` / `S7CommPlus`

- [S7comm 相关](../../ICS/S7comm相关.md)
- [信息收集](./信息收集.md#工控资产)
- [PLC攻击](../../Power-PenTest.md#plc攻击)

---

# 137/139/389/445/901

`Samba`

- [samba 相关漏洞](../软件服务安全/CS-Exploits.md#samba)
    - 未授权访问
    - CVE-2015-0240 远程代码执行漏洞
    - CVE-2017-7494 远程代码执行漏洞

---

# 139/445

`SMB` / `microsoft-ds`

- [SMB 相关](../协议安全/Protocol-Exploits.md#smb)
    - 枚举用户
    - 暴力破解

---

# 161

`SNMP`

- [SNMP 相关](../协议安全/Protocol-Exploits.md#snmp)
    - 爆破,默认团体字符串"public"

---

# 389

`LDAP`

- [LDAP 相关](../协议安全/Protocol-Exploits.md#ldap)
    - 弱口令

---

# 443

`HTTPS`

- [SSL＆TLS 安全性测试](../协议安全/Protocol-Exploits.md#ssl)
    - 心脏出血

---

# 502

`Modbus`

- [信息收集](./信息收集.md#工控资产)
- [PLC攻击](../../../Power-PenTest.md#plc攻击)

---

# 554/8554

`rtsp`

- [RTSP 弱口令](../../IOT/硬件安全/Device-Exploits.md#camera)
- 暴力破解
    - [Tek-Security-Group/rtsp_authgrinder](https://github.com/Tek-Security-Group/rtsp_authgrinder)

---

# 873

`rsync`

- [Rsync未授权访问](../软件服务安全/CS-Exploits.md#rsync)

---

# 1090/1099

`RMI`

- [JAVA RMI 反序列化远程命令执行漏洞](../软件服务安全/CS-Exploits.md#java_rmi)

---

# 1433

`mssql`

- 信息收集,nmap 提供相应 [脚本](../../安全工具/Nmap.md#数据库)
- 账号很多都是默认的 `sa`
- 爆破弱口令

---

# 1494

`Citrix Receiver`

- [Citrix Receiver](../软件服务安全/CS-Exploits.md#citrix_receiver)

---

# 1521

`oracle`

- Linux环境,一般 SSH 也会有个 oracle 的账号,可以爆破一下
- 信息收集,nmap 提供相应 [脚本](../../安全工具/Nmap.md#数据库) , 爆出账号密码可以用 odat 工具尝试 getshell
- [CVE-2012-1675 爆破TNS](../软件服务安全/CS-Exploits.md#oracle)
- 爆破弱口令
- 注: Oracle 帐户在密码被连续输入错误 3 次的情况下就会锁定,而锁定后必须手动解除,否则这个帐户一直在锁定状态下,不能使用,爆破时请注意

---

# 2049

`nfs`

- [nfs未授权访问](../软件服务安全/CS-Exploits.md#nfs)

---

# 2181

`ZooKeeper`

- [ZooKeeper未授权访问](../软件服务安全/CS-Exploits.md#zookeeper)

---

# 2375

`Docker`

- [Docker Remote API 未授权访问漏洞](../软件服务安全/CS-Exploits.md#docker)

---

# 2598

`Citrix Receiver`

- [Citrix Receiver](../软件服务安全/CS-Exploits.md#citrix_receiver)

---

# 3000

`Gitea` / `ppp`

---

# 3306

`mysql、mariadb`

- 信息收集,nmap 提供相应 [脚本](../../安全工具/Nmap.md#数据库)
- 爆破弱口令,爆出账号密码可以用 sqlmap 尝试 getshell

---

# 3389

`RDP`

- CVE 漏洞
    - MS12-020 , 虽然很古老,但部分企业内网中还是存在
    - MS17-010 , MSF 都有 poc 和 exp 直接 search 就行
    - CVE-2019-0708 , MSF 都有 poc 和 exp 直接 search 就行

- 爆破弱口令
    - [foryujian/yujianrdpcrack](https://github.com/foryujian/yujianrdpcrack) - 御剑 RDP 爆破工具 - 效果还行
    - [SNETCracker](https://github.com/shack2/SNETCracker)

---

# 4100

`Sysbase`

- 爆破弱口令

---

# 4592

`WebAccess`

- [CVE-2017-16720](../软件服务安全/CS-Exploits.md#webaccess)

---

# 4848

`GlassFish`

- 爆破弱口令

---

# 5000

`sybase` / `DB2`

- 爆破弱口令

---

# 5432

`PostgreSQL`

- 未授权访问
- 爆破弱口令
- [权限提升](../软件服务安全/CS-Exploits.md#postgresql)

---

# 5632

`pcanywhere`

- 弱口令
- 抓取密码
    - https://blog.csdn.net/Fly_hps/article/details/80377199

---

# 5800/5900/5901

`VNC`

- 信息收集,nmap 提供相应 [脚本](../../安全工具/Nmap.md#常见)
- [vnc渗透](../协议安全/Protocol-Exploits.md#vnc)

一般来说,VNC 认证只需要密码,只有在多用户登录的场景才会需要 "用户名"

关于多用户登录的场景可以参考以下2篇文章
- [使用VNC实现多用户登录linux系统](https://www.ibm.com/developerworks/cn/opensource/os-multiuserloginsvnc/index.html)
- [使用 VNC 实现多用户登录](https://www.cnblogs.com/shengulong/p/5762297.html)

---

# 5984

`Couchdb`

- [未授权访问漏洞](../软件服务安全/CS-Exploits.md#couchdb)
- [垂直权限绕过漏洞](../软件服务安全/CS-Exploits.md#couchdb)
- [任意命令执行漏洞](../软件服务安全/CS-Exploits.md#couchdb)

---

# 6379

`Redis`

- 爆破弱口令
- [Redis未授权访问](../软件服务安全/CS-Exploits.md#redis)

---

# 7001/7002

通常是 `weblogic` 中间件端口

- 弱口令,ssrf,反序列化
- [weblogic渗透](../Web安全/BS-Exploits.md#weblogic)

---

# 80/443/8080~10000

通常是 `IIS` / `apache` / `tomcat`

- 对于 IIS 测试短文件名泄露或 MS15-034
- 直接访问出现默认页面或报错可能是路径不对,可以尝试爆破路径
- 对于 tomcat,可以尝试爆破弱口令 tomcat 的管理页面账号密码,注意:tomcat 默认是没有管理员账户的,这个只有开发配置后才有,所以先确认一下目标有没有配置管理账号,如果你点击 Manager App 或 Host Manager 就直接报错说明没有配置当然也可能是限制了访问.
- [框架和中间件渗透](../Web安全/BS-Exploits.md#框架和中间件)

`其他各类 web 服务`

- 如果有登录页面就去搜搭建教程尝试默认口令,或访问初始化安装的页面
- 如果目标采用的是开源服务,去看看项目 issue
- 这块内容太多就不一一列举 详情请看 [BS-Exploits](../Web安全/BS-Exploits.md#服务)

---

# 11211

`memcached`

- [memcached未授权访问](../软件服务安全/CS-Exploits.md#memcached)

---

# 27017/27018

`mongodb`

- 弱口令
- 未授权访问

---

# 50000/50001

`SAP`

- `http://<target>:50000/ctc/servlet/com.sap.ctc.util.ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd.exe /c ipconfig /all`
- `http://<target>:50000/ctc/servlet/com.sap.ctc.util.ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cat /etc/passwd`

---

# 50010/50030/50070

`Hadoop`

- [Hadoop未授权访问](../软件服务安全/CS-Exploits.md#hadoop)