端口信息收集

发布于 2021-02-11  496 次阅读


《渗透测试》目录

端口信息收集

端口(在Internet上,各主机间通过TCP/IP协议发送和接受数据包)

协议端口:

  • TCP端口:TCP是一种面向连接的可靠的传输层通信协议
  • UDP端口:UDP是一种无连接的不可靠的传输层协议

端口类型:

  • 周知端口:众所周知的端口号,范围:0-1023,如80端口是WWW服务
  • 动态端口:一般不固定分配某种服务,范围:49152-65535
  • 注册端口:范围:1024-49151,用于分配给用户进程或程序

渗透端口:请百度进行搜索

 

1.FTP-21:文件传输协议,使用TCP端口20、21,20用于传输数据,21用于传输控制信息

  • ftp基础爆破:owasp的Bruter,hydra以及msf中的ftp爆破模块。
  • ftp匿名访问:用户名:anonymous 密码:为空或者任意邮箱。
  • vsftpd后门 :vsftpd 2到2.3.4版本存在后门漏洞,通过该漏洞获取root权限。
  • 嗅探:ftp使用明文传输,使用Cain进行渗透。(但是嗅探需要在局域网并需要欺骗或监听网关)。
  • ftp远程代码溢出。
  • ftp跳转攻击。

2.SSH-22:(secure shell)是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议

  • 弱口令,可使用工具hydra,msf中的ssh爆破模块。
  • SSH后门
  • openssh 用户枚举 CVE-2018-15473。

3.WWW-80:为超文本传输协议(HTTP)开放的端口,主要用于万维网传输信息的协议  

  • 中间件漏洞,如IIS、apache、nginx等
  • 80端口一般通过web应用程序的常见漏洞进行攻击

4.NetBIOS SessionService–139/445:一般内网的win7和windows xp有漏洞  

  • 139用于提供windows文件和打印机共享及UNIX中的Samba服务。
  • 445用于提供windows文件和打印机共享

(1)对于开放139/445端口,尝试利用MS17010溢出漏洞进行攻击;            

(2)对于只开放445端口,尝试利用MS06040、MS08067溢出漏洞攻击;            

(3)利用IPC$连接进行渗透

5.MySQL-3306:3306是mysql数据库默认的监听端口          

  • mysql弱口令破解
  • 弱口令登录mysql,上传构造的恶意UDF自定义函数代码,通过调用注册的恶意函数执行系统命令
  • SQL注入获取数据库敏感信息,load_file()函数读取系统文件,导出恶意代码到指定路径

6.RDP-3389:3389是windows远程桌面服务默认监听的端口  

  • RDP暴力破解攻击
  • MS12_020死亡蓝屏攻击
  • RDP远程桌面漏洞(CVE-2019-0708)
  • MSF开启RDP、注册表开启RDP

7.Redis-6379:开源的可基于内存的可持久化的日志型数据库

  • 爆破弱口令
  • redis未授权访问结合ssh key提权
  • 主从复制rce

8.Weblogic-7001:WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器

  • 弱口令、爆破,弱密码一般为weblogic/Oracle@123 or weblogic
  • 管理后台部署 war包后门
  • weblogic SSRF
  • 反序列化漏洞

9.Tomcat-8080:Tomcat 服务器是一个开源的轻量级Web应用服务器,在中小型系统和并发量小的场合下被普遍使用,是开发和调试Servlet、JSP 程序的首选    

  • Tomcat远程代码执行漏洞(CVE-2019-0232)
  • Tomcat任意文件上传(CVE-2017-12615)
  • tomcat 管理页面弱口令getshell

Nmap:Network Mapper,是一款开放源代码的网络探测和安全审核的工具   

中文参考指南:https://nmap.org/man/zh/

功能介绍:

1. 检测网络存活主机(主机发现)                     

2. 检测主机开放端口(端口发现或枚举)                     

3. 检测相应端口软件(服务发现)版本                     

4. 检测操作系统,硬件地址,以及软件版本                     

5. 检测脆弱性的漏洞(nmap的脚本)   

端口状态:              

  • Open 端口开启,数据有到达主机,有程序在端口上监控
  • Closed 端口关闭,数据有到达主机,没有程序在端口上监控
  • Filtered 数据没有到达主机,返回的结果为空,数据被防火墙或IDS过滤
  • UnFiltered 数据有到达主机,但是不能识别端口的当前状态
  • Open|Filtered 端口没有返回值,主要发生在UDP、IP、FIN、NULL和Xmas扫描中
  • Closed|Filtered 只发生在IP ID idle扫描

基础用法              

 1.例:nmap -A -T4 192.168.1.1

  • -T0(偏执的):非常慢的扫描,用于IDS逃避。
  • -T1(鬼祟的):缓慢的扫描,用于IDS逃避。
  • -T2(文雅的):降低速度以降低对带宽的消耗,此选项一般不常用。
  • -T3(普通的):默认,根据目标的反应自动调整时间。
  • -T4(野蛮的):快速扫描,常用扫描方式,需要在很好的网络环境下进行扫描,请求可能会淹没目标。
  • -T5(疯狂的):急速扫描,这种扫描方式以牺牲准确度来提升扫描速度。      

2.单一主机扫描:

namp 192.168.1.2            

3.子网扫描:

namp 192.168.1.1/24            

4.多主机扫描:

nmap 192.168.1.1 192.168.1.10            

5.主机范围扫描:

namp 192.168.1.1-100            

6.IP地址列表扫描:

nmap –iL target.txt

7.扫描除指定IP外的所有子网主机:            

nmap 192.168.1.1/24 --exclude 192.168.1.1            

8.扫描除文件中IP外的子网主机:            

nmap 192.168.1.1/24 --excludefile xxx.txt            

9.扫描特定主机上的80,21,23端口:            

nmap –p 80,21,23 192.168.1.1    

10.扫描全部端口:  

nmap -sS -v -T4 -Pn -p 0-65535 -oN FullTCP -iL liveHosts.txt

  • -sS:SYN扫描,又称为半开放扫描,它不打开一个完全的TCP连接,执行得很快,效率高(一个完整的tcp连接需要3次握手,而-sS选项不需要3次握手) 

---------SYN扫描优点:Nmap发送SYN包到远程主机,但是它不会产生任何会话,目标主机几乎不会把连接记入系统日志。(防止对方判断为扫描攻击),扫描速度快,效率高,在工作中使用频率最高                                                      

---------SYN扫描缺点:它需要root/administrator权限执行

  • -sA:ACK扫描
  • -sP:ICMP扫描
  • -sT:TCP扫描
  • -v:版本
  • -Pn:扫描之前不需要用ping命令,有些防火墙禁止ping命令。可以使用此选项进行扫描
  • -iL:导入需要扫描的列表

11.扫描常用端口及服务信息:

nmap -sS -T4 -Pn -oG TopTCP -iL LiveHosts.txt

  • 系统扫描 nmap -O -T4 -Pn -oG OSDetect -iL LiveHosts.txt
  • 版本检测 nmap -sV -T4 -Pn -oG ServiceDetect -iL LiveHosts.txt

12.nmap漏洞扫描(强大):            

nmap.exe -p445 -v --script smb-ghost 192.168.1.0/24


人生就像赛跑,不在乎你是否第一个到达终点,而在乎你是否跑完全程。