信息收集--端口
端口渗透总结
简单介绍
- "端口"是英文port的意译,可以认为是设备与外界通讯交流的出口。端口可分为虚拟端口和物理端口。
- 我们此文所指的端口特指TCP/IP协议中的端口,是逻辑意义上的端口。
- 一些特定端口默认会开启一些特定服务。
- 端口信息收集可以帮助我们找到更多目标网站的功能点,更全面地对目标网站进行测试。
端口分类
第一类
公认端口(Well Known Ports):从0到1023,它们紧密绑定(binding)于一些服务。通常这些端口的通讯明确表明了某种服务的协议,例如:80端口实际上总是HTTP通讯。
第二类
注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
第三类
动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。
收集方式
- 使用nmap
Nmap是一款开源免费的网络发现(Network Discovery)和安全审计(Security Auditing)工具。软件名字Nmap是Network Mapper的简称。Nmap最初是由Fyodor在1997年开始创建的。随后在开源社区众多的志愿者参与下,该工具逐渐成为最为流行安全必备工具之一。
Nmap的优点:
灵活。支持数十种不同的扫描方式,支持多种目标对象的扫描。
强大:Nmap可以用于扫描互联网上大规模的计算机。
可移植:支持主流操作系统:Windows/Linux/Unix/MacOS等等;源码开放,方便移植。
简单:提供默认的操作能覆盖大部分功能,基本端口扫描nmap targetip,全面的扫描nmap –A targetip。
自由:Nmap作为开源软件,在GPL License的范围内可以自由的使用。
文档丰富:Nmap官网提供了详细的文档描述。Nmap作者及其他安全专家编写了多部Nmap参考书籍。
社区支持:Nmap背后有强大的社区团队支持。
Nmap包含四项基本功能:
主机发现 (Host Discovery)
端口扫描 (Port Scanning)
版本侦测 (Version Detection)
操作系统侦测 (Operating System Detection)
nmap常用命令
-A 综合扫描,包括系统探测,版本探测,脚本探测
-e 指定网络接口,扫描使使用哪个网卡
-iL 扫描指定文件中的ip
-iR 全网扫描
-O 扫描探测主机操作系统
-oN 将扫描的信息标准输出写到指定文件中
-p 指定端口扫描
-PO 有些主机关闭了ping检测所以使用这条命令可以跳过ping的探测加快扫描
-PS 探测目标主机开放的端口,可以指定一个以逗号分隔的端口 (SYN)
-PU 探测目标主机开放的端口,可以指定一个以逗号分隔的端口 (UDP)
-sA 向目标主机的端口发送ACK包,如果收到RST包,说明该端口没有被防火墙屏。该方式 只能用于确定防火墙是否屏蔽某个端口
-sF tcp的扫描一种,发送一个FIN标志的数据包
-sL 仅列出指定网段上的每台主机,不发送任何报文到目录 主机
-sn 探测网段主机的在线情况返回主机ip和MAC地址
-sO 探测主机支持哪些IP协议
-sP 对对应主机端的主机发送ICMP报文,查询哪些主机是存活的
-sS 使用SYN半开放扫描(隐蔽扫描)
-sT 扫描开放了TCP端口的设备 三次握手方式的TCP扫描
-sU 扫描开放了UDP端口的设备
-sV 用于扫描目标主机服务版本号和端口运行的软件的版本 (版本检测)
-sW 窗口扫描,得出一些端口信息
-v 表示显示冗余信息,在扫描过程中显示扫描的细节,从而让用户了解当前的扫描状态
我个人比较常用
-sV:版本检测(sV) 版本检测是用来扫描目标主机和端口上运行的软件的版本,
可以看到开放了ftp,ssh,apache http,mysql,weblogic等服务以及他们的版本。
- 使用工具Routescan
Router Scan 是一款路由器安全测试工具,它是由俄国的一位安全测试人员所开发的,他叫Stas‘M。
几个重要模块:
1、ip模块, 输入你想要进行测试的IP地址或地址段
2、端口模块,输入想要扫描的端口
3、扫描模块
扫描模块中共有六个功能选项,分别是:1、Router Scan(main);2、Detect proxy servers ;3、Use HNAP 1.0 ;4、SQLite Manager RCE; 5、Hudson Java Servlet;6、phpMyAdminRCE.
- Router Scan(main),默认选择运行的模块,
- Detect proxy servers,检测代理服务器,
- Use HNAP 1.0,使用HNAP协议里的漏洞对路由器进行安全检测。
- SQLite Manager RCE,利用SQLite Manager 远程连接设备中的数据库,进行配置信息的检索,以达到爆破的目的。
- Hudson Java Servlet java服务模块
- phpMyAdminRCE,phpadminMy RCE漏洞扫描模块
4、结果模块
显示扫描ip,端口,耗时,状态,服务等情况
- 还有一些不错的端口扫描工具,例如
小米范
Scanport
4、在线扫描网站 http://coolaf.com/tool/port
由于此文是信息收集端口篇,具体端口漏洞可以参考以下图表。
| 端口 |
服务 |
入侵方式 |
| 21 |
ftp/tftp/vsftpd文件传输协议 |
爆破/嗅探/溢出/后门 |
| 22 |
ssh远程连接 |
爆破/openssh漏洞 |
| 23 |
Telnet远程连接 |
爆破/嗅探/弱口令 |
| 25 |
SMTP邮件服务 |
邮件伪造 |
| 53 |
DNS域名解析系统 |
域传送/劫持/缓存投毒/欺骗 |
| 67/68 |
dhcp服务 |
劫持/欺骗 |
| 69 |
TFTP |
服务器读请求远程溢出漏洞 |
| 110 |
pop3 |
爆破/嗅探 |
| 135 |
RPC |
Remote Procedure Call, 远程过程调用 |
| 139 |
Samba服务 |
爆破/未授权访问/远程命令执行 |
| 143 |
Imap协议 |
爆破 |
| 161 |
SNMP协议 |
爆破/搜集目标内网信息 |
| 389 |
Ldap目录访问协议 |
注入/未授权访问/弱口令 |
| 445 |
smb |
ms17-010/端口溢出 |
| 512/513/514 |
Linux Rexec服务 |
爆破/Rlogin登陆 |
| 873 |
Rsync服务 |
文件上传/未授权访问 |
| 1080 |
socket |
爆破 |
| 1158 |
路由 |
ORACLE EMCTL2601,2604 zebra路由,默认密码zebra |
| 1352 |
Lotus domino邮件服务 |
爆破/信息泄漏 |
| 1433 |
mssql |
爆破/注入/SA弱口令 |
| 1521 |
oracle |
爆破/注入/TNS爆破/反弹shell |
| 2049 |
Nfs服务 |
配置不当 |
| 2181 |
zookeeper服务 |
未授权访问 |
| 2375 |
docker remote api |
未授权访问 |
| 3306 |
mysql |
爆破/注入 |
| 3389 |
Rdp远程桌面链接 |
爆破/shift后门 |
| 3690 |
svn |
subversion的缩写,是一个开放源代码的版本控制系统 |
| 4848 |
GlassFish控制台 |
爆破/认证绕过 |
| 5000 |
sybase/DB2数据库 |
爆破/注入/提权 |
| 5432 |
postgresql |
爆破/注入/缓冲区溢出 |
| 5632 |
pcanywhere服务 |
抓密码/代码执行 |
| 5900 |
vnc |
爆破/认证绕过 |
| 6379 |
Redis数据库 |
未授权访问/爆破 |
| 7001/7002 |
weblogic |
java反序列化/控制台弱口令 |
| 80/443 |
http/https |
web应用漏洞/心脏滴血 |
| 8069 |
zabbix服务 |
远程命令执行/注入 |
| 8161 |
activemq |
弱口令/写文件 |
| 8080/8089 |
Jboss/Tomcat/Resin |
爆破/PUT文件上传/反序列化 |
| 8083/8086 |
influxDB |
未授权访问 |
| 9000 |
fastcgi |
远程命令执行 |
| 9090 |
Websphere控制台 |
爆破/java反序列化/弱口令 |
| 9200/9300 |
elasticsearch |
远程代码执行 |
| 11211 |
memcached |
未授权访问 |
| 27017/27018 |
mongodb |
未授权访问/爆破 |
| 50000 |
SQP |
命令执行 |