乾貨｜常見埠滲透總結

公眾號：白帽子左一

領取配套練手靶場、安全全套課程及工具。。。

0x00 背景

在前段時間的滲透中，我發現透過埠來進行滲透有時會提升我們的效率，所以才有了這篇文章的誕生；

埠滲透過程中我們需要關注幾個問題：

1、埠的banner資訊

2、埠上執行的服務

3、常見應用的預設埠

當然對於上面這些資訊的獲取，我們有各式各樣的方法，最為常見的應該就是nmap了吧！

我們也可以結合其他的埠掃描工具，比如專門的3389、1433等等的埠掃描工具；

服務預設埠

公認埠（Well Known Ports）：0-1023，他們緊密綁定了一些服務；

註冊埠（Registered Ports）：1024-49151，他們鬆散的綁定了一些服務；

動態/私有：49152-65535，不為服務分配這些埠；

當然這些埠都可以透過修改來達到欺騙攻擊者的目的，但是這就安全了嗎？

攻擊者又可以使用什麼攻擊方式來攻擊這些埠呢？

還需要註明的一點是：很多木馬工具也有特定的埠，本文並沒有涉及到這塊的內容，大家可以自己去收集收集！

爆破

在對這些埠進行實戰講解時，我需要先闡述一下我對爆破這個方式的一些看法；

爆破：技術最簡單，需要的技術能力基本為0，工作效率與網路、硬體等相關，在我看來爆破其實是最強大的攻擊方式，特別是結合一些特製的字典，結合社工我們可以在很短的時間達到最大的效果，只不過因為我們的pc或者字典不夠強大，所以很多時候我們不能進行一次優秀的爆破攻擊；

當然現在很多web應用以及服務埠都限制了暴力破解；

對於這種做了限制的我們可能就需要利用到本文提到的其他攻擊了！

0x01 實戰測試

檔案共享服務埠滲透

ftp服務

FTP服務：ftp服務我分為兩種情況，第一種是使用系統軟體來配置，比如IIS中的FTP檔案共享或Linux中的預設服務軟體；

第二種是透過第三方軟體來配置，比如Serv-U還有一些網上寫的簡易ftp伺服器等；

預設埠：

20（資料埠）；

21（控制埠）；

69（tftp小型檔案傳輸協議）

攻擊方式：

爆破：ftp的爆破工具有很多，這裡我推薦owasp的

Bruter：https：//sourceforge。net/projects/worawita/

以及msf中ftp爆破模組；

匿名訪問：使用者名稱：anonymous 密碼：為空或任意郵箱

使用者名稱：FTP 密碼：FTP或為空

使用者名稱：USET 密碼：pass

當然還有不需要使用者名稱密碼直接訪問的，一般出現在區域網中；

嗅探：ftp使用明文傳輸技術（但是嗅探給予區域網並需要欺騙或監聽閘道器）

後門技術：在linux的vsftp某一版本中，存在著一個後門程式，只要在使用者名稱後面加上就會在6200上開啟一個監聽Shell

我們可以使用telnet直接連線；

https：//www。freebuf。com/articles/system/34571。html

遠端溢位漏洞：6。10。1 IIS FTP遠端溢位漏洞，在IIS FTP伺服器中NLST命令存在一個緩衝區溢位漏洞，這個漏洞可能是攻擊者在伺服器執行一條非法命令。

跳轉攻擊：（Bounce Attacks）攻擊者傳送一個FTP”PORT”命令給目標FTP伺服器，其中包含該主機的網路地址和被攻擊的服務的埠號。這樣，客戶端就能命令FTP伺服器發一個檔案給被攻擊的服務。

這個檔案可能包括根被攻擊的服務有關的命令（如SMTP，NNTP等）。

由於是命令第三方去連線到一種服務，而不是直接連線，就使得跟蹤攻擊者變得困難，並且還避開了基於網路地址的訪問限制。

（注：此種情況並沒有遇到過，只是總結一下）

NFS服務

nfs：網路檔案系統，允許網路中的計算機透過TCP/IP網路共享資源。

基於Linux系統，配置方面很簡單。

在nfs配置中，有不做任何限制的，有限制使用者，有限制IP，以及在版本2。x中我們還可以使用證書來驗證使用者。

當然不同的限制可以採用的攻擊方式也不一樣；就目前而言網上關於nfs的攻擊還是比較少的！

預設埠：2049

攻擊方式：

未授權訪問：未限制IP以及使用者許可權設定錯誤

Samba服務

Samba服務：對於這個可以在windows與Linux之間進行共享檔案的服務同樣是我們攻擊的關注點；

samba登入分為兩種方式，一種是需要使用者名稱口令；

另一種是不需要使用者名稱口令。

在很多時候不光是pc機，還有一些伺服器，網路裝置都開放著此服務，方便進行檔案共享，但是同時也給攻擊者提供了便利。

預設埠：137（主要使用者NetBIOS Name Service；NetBIOS名稱服務）、139（NetBIOS Session Service，主要提供samba服務）

攻擊方式：

爆破：弱口令（爆破工具採用hydra）hydra -l username -P

PassFile IP smb

未授權訪問：給予public使用者高許可權

遠端程式碼執行漏洞：CVE-2019-0240等等

LDAP協議

ldap：輕量級目錄訪問協議，最近幾年隨著ldap的廣泛使用被發現的漏洞也越來越多。但是畢竟主流的攻擊方式仍舊是那些，比如注入，未授權等等；這些問題的出現也都是因為配置不當而造成的。

預設埠：389

攻擊方式：

注入攻擊：盲注

未授權訪問：

爆破：弱口令

遠端連線服務埠滲透

SSH服務

SSH服務：這個服務基本會出現在我們的Linux伺服器，網路裝置，安全裝置等裝置上，而且很多時候這個服務的配置都是預設的；

對於SSH服務我們可能使用爆破攻擊方式較多。

預設埠：22

攻擊方式

爆破：弱口令、

漏洞：28退格漏洞、OpenSSL漏洞

Telnet服務

Telnet服務：在SSH服務崛起的今天我們已經很難見到使用telnet的伺服器，但是在很多裝置上同樣還是有這個服務的；

比如cisco、華三，深信服等廠商的裝置；我就有很多次透過telnet弱口令控制這些裝置；

預設埠：23

攻擊方式

爆破：弱口令

嗅探：此種情況一般發生在區域網；

Windows遠端連線

遠端桌面連線：作為windows上進行遠端連線的埠，很多時候我們在得到系統為windows的shell的時候我們總是希望可以登入3389實際操作對方電腦；

這個時候我們一般的情況分為兩種。

一種是內網，需要先將目標機3389埠反彈到外網；

另一種就是外網，我們可以直接訪問；當然這兩種情況我們利用起來可能需要很苛刻的條件，比如找到登入密碼等等；

預設埠：3389

攻擊方式：

爆破：3389埠爆破工具就有點多了

Shift粘滯鍵後門：5次shift後門

3389漏洞攻擊：利用ms12-020攻擊3389埠，導致伺服器關機；

VNC服務

VNC：一款優秀的遠控工具，常用語類UNIX系統上，簡單功能強大；也

預設埠：5900+桌面ID（5901；5902）

攻擊方式：

爆破：弱口令

認證口令繞過：

拒絕服務攻擊：（CVE-2015-5239）

許可權提升：（CVE-2013-6886）

Pcanywhere服務

PyAnywhere服務：一款遠控工具，有點類似vnc的功能；這個服務在以前很多駭客發的影片裡面都有，利用pcanywhere來進行提權；

預設埠：5632

攻擊方式：

提權控制服務：

拒絕服務攻擊：

Web應用服務埠滲透

HTTP服務：對於http服務其實是我們目前這幾年比較常見的攻擊入口，所以這裡會針對http服務進行一個詳細的詳解；

注：這個板塊的所有攻擊方式，如果涉及到常規的web漏洞不會提出來，除非是特定的伺服器才會產生的漏洞；

IIS服務

預設埠：80/81/443

攻擊方式：

IIS

PUT寫檔案：利用IIS漏洞，put方法直接將檔案放置到伺服器上

短檔名洩漏：這種一般沒啥影響

解析漏洞：詳細見apache服務

Apache/Tomcat/Nginx/Axis2

預設埠：80/8080

攻擊方式：

爆破：弱口令（爆破manager後臺）

HTTP慢速攻擊：可以把伺服器打死，對一些大型的網站有影響；

WebLogic

預設埠：7001

攻擊方式：

爆破：弱口令 4組：使用者名稱密碼均一致：system weblogic（密碼可能weblogic123） portaladmin guest

Congsole後臺部署webshell：

Java反序列化：

洩漏原始碼/列目錄：這個太老了，估計網上都沒有了吧！

SSRF窺探內網：央視網SSRF可窺探內網

Jboss

預設埠8080；其他埠1098/1099/4444/4445/8080/8009/8083/8093

攻擊方式：

爆破：弱口令（爆破jboss系統後臺）

遠端程式碼執行：由於配置不當造成

Java反序列化：

Websphere

預設埠：908*；第一個應用就是9080，第二個就是9081；控制檯9090

攻擊方式：

爆破：弱口令（控制檯）

任意檔案洩漏：（CVE-2014-0823）

Java反序列化

GlassFish

預設埠：http 8080；IIOP 3700；控制檯4848

攻擊方式：

爆破：弱口令（對於控制檯）

任意檔案讀取：

認證繞過：

Jenkins

預設埠：8080、8089

攻擊方式：

爆破：弱口令（預設管理員）

未授權訪問：

反序列化：

Resin

預設埠：8080

攻擊方式：

目錄遍歷

遠端檔案讀取

Jetty

預設埠：8080

攻擊方式：

遠端共享緩衝區溢位

Lotus

影響的都是一些大型的企業，特別需要注意，經過以前的測試發現弱口令這個問題經常都存在，可能是很多管理員不知道如何去修改（不要打我）。

預設埠：1352

攻擊方式：

爆破：弱口令（admin password）控制檯

資訊洩露

跨站指令碼攻擊

資料庫服務埠滲透

針對所有的資料庫攻擊方式都存在SQL注入，這裡先提出來在下面就不一一寫了免得大家說我佔篇幅；當然不同的資料庫注入技巧可能不一樣，特別是NoSQL與傳統的SQL資料庫不太一樣。

MySQL資料庫

預設埠：3306

攻擊方式：

爆破：弱口令

身份認證漏洞：CVE-2012-2122

拒絕服務攻擊：利用sql語句是伺服器進行死迴圈打死伺服器

Phpmyadmin萬能密碼繞過：使用者名稱：‘localhost’@’@” 密碼任意

MSSQL資料庫

預設埠：1433（Server 資料庫服務）、1434（Monitor 資料庫監控）

攻擊方式：

爆破：弱口令/使用系統使用者

Oracle資料庫

預設埠：1521（資料庫埠）、1158（Oracle EMCTL埠）、8080（Oracle XDB資料庫）、210（Oracle XDB FTP服務）

攻擊方式：

爆破：弱口令

注入攻擊；

漏洞攻擊；

PostgreSQL資料庫

PostgreSQL是一種特性非常齊全的自由軟體的物件–關係型資料庫管理系統，可以說是目前世界上最先進，功能最強大的自由資料庫管理系統。包括我們kali系統中msf也使用這個資料庫；淺談postgresql資料庫攻擊技術大部分關於它的攻擊依舊是sql注入，所以注入才是資料庫不變的話題。

預設埠：5432

攻擊方式：

爆破：弱口令：postgres postgres

緩衝區溢位：CVE-2014-2669

MongoDB資料庫

MongoDB：NoSQL資料庫；攻擊方法與其他資料庫類似；

預設埠：27017

攻擊方式：

爆破：弱口令

未授權訪問；github有攻擊程式碼

Redis資料庫

redis：是一個開源的使用c語言寫的，支援網路、可基於記憶體亦可持久化的日誌型、key-value資料庫。

關於這個資料庫這兩年還是很火的，暴露出來的問題也很多。特別是前段時間暴露的未授權訪問。

Exp：https：//yunpan。cn/cYjzHxawFpyVt 訪問密碼 e547

預設埠：6379

攻擊方式：

爆破：弱口令

未授權訪問+配合ssh key提權；

SysBase資料庫

預設埠：服務埠5000；監聽埠4100；備份埠：4200

攻擊方式：

爆破：弱口令

命令注入：

DB2資料庫

預設埠：5000

攻擊方式：

安全限制繞過：成功後可執行未授權操作（CVE-2015-1922）

郵件服務埠滲透

SMTP協議

smtp：郵件協議，在linux中預設開啟這個服務，可以向對方傳送釣魚郵件！

預設埠：25（smtp）、465（smtps）

攻擊方式：

爆破：弱口令

未授權訪問

POP3協議

預設埠：109（POP2）、110（POP3）、995（POP3S）

攻擊方式：

爆破；弱口令

未授權訪問；

IMAP協議

預設埠：143（imap）、993（imaps）

攻擊方式：

爆破：弱口令

配置不當

網路常見協議埠滲透

DNS服務

預設埠：53

攻擊方式：

區域傳輸漏洞

見2中的總結

DHCP服務

預設埠：67&68、546（DHCP Failover做雙機熱備的）

攻擊方式：

DHCP劫持；

SNMP協議

預設埠：161

攻擊方式：

爆破：弱口令

其他埠滲透

Zookeeper服務

zookeeper：分散式的，開放原始碼的分散式應用程式協調服務；提供功能包括：配置維護、域名服務、分散式同步、組服務等。詳情請參考百度百科

預設埠：2181

攻擊方式：

未授權訪問；

Zabbix服務

zabbix：基於Web介面的提供分散式系統監視以及網路監視功能的企業級的開源解決方案。監視各種網路引數，保證伺服器系統的安全運營。

預設埠：8069

攻擊方式：

遠端命令執行：

elasticsearch服務

elasticsearch：請百度（因為我覺得我解釋不清楚）

預設埠：9200（）、9300（）

攻擊方式：

未授權訪問；

遠端命令執行；

檔案遍歷；

低版本webshell植入；

Linux R服務

R服務：TCP埠512，513和514為著名的rlogin提供服務。

在系統中被錯誤配置從而允許遠端訪問者從任何地方訪問（標準的，rhosts + +）。

預設埠：512（remote process execution）；513（remote login a la

telnet）；514（cmd）

攻擊方式：

使用rlogin直接登入對方系統；

RMI

RMI：我們使用這兩個埠很少的原因是因為必須是java，而且rmi穿越防火牆並不好穿越；這裡我不會去涉及其他的東西，這裡提出RMI只是因為在前段時間的java反序列化中，我們的小夥伴Bird寫過一個weblogic利用工具，裡面涉及到了RMI的一些東西，在有的時候使用socket不能成功時，我們可以使用RMI方式來進行利用；

預設埠：1090（）、1099（）

攻擊方式：

遠端命令執行（java反序列化，呼叫rmi方式執行命令）

這就是RMI的魅力了！

Rsync服務

Rsync：類UNIX系統下的資料備份工具（remote sync），屬於增量備份；關於它的功能，大家自行百度百科吧，其實上面很多大家也看到了說是埠滲透，其實就是埠對應服務的滲透，服務一般出錯就在配置或者版本問題上，rsync也不例外。

Rsync預設允許匿名訪問，如果在配置檔案中沒有相關的使用者認證以及檔案授權，就會觸發隱患。

預設埠：873

攻擊方式：

未授權訪問；

本地提權：rsync預設以root執行，利用rsync上傳一個檔案，只要這個檔案具有s許可權，我們執行我們的攻擊指令碼就可以具有root許可權。

Socket代理