端口信息收集
端口简介
在Internet上,各主机间通过TCP/IP协议发送和接受数据包,各个数据包根据其目的
主机的IP地址来进行互联网络中的路由选择,从而顺利的将数据包顺利的传送给目标
主机
但当目的主机运行多个程序时,目的主机该把接受到的数据传给多个程序进程中的哪
一个呢?端口机制的引入就是为了解决这个问题。端口在网络技术中,端口有两层意
思:一个是物理端口,即物理存在的端口,如:集线器、路由器、交换机、ADSL
Modem等用于连接其他设备的端口;另一个就是逻辑端口,用于区分服务的端口,
一般用于TCP/IP中的端口,其范围是0~65535,,0为保留端口,一共允许有65535个
端口比如用于网页浏览服务的端口是80端口,用于FTP服务的是21端口。 这里我们
所指的不是物理意义上的端口,而是特指TCP/IP协议中的端口,是逻辑意义上的端口
协议端口
根据提供服务类型的不同,端口可分为以下两种:
TCP端口:TCP是一种面向连接的可靠的传输层通信协议
UDP端口:UDP是一种无连接的不可靠的传输层协议
TCP协议和UDP协议是独立的,因此各自的端口号也互相独立。
TCP:给目标主机发送信息之后,通过返回的应答确认信息是否到达
UDP:给目标主机放信息之后,不会去确认信息是否到达
而由于物理端口和逻辑端口数量较多,为了对端口进行区分,将每个端口进行了编
号,即就是端口号。那么看到这里我们会好奇,有那么多的端口,他们到底是怎么分
类的?
端口类型
周知端口:众所周知的端口号,范围: 0-1023 ,如 80 端口是 WWW 服务
动态端口:一般不固定分配某种服务,范围: 49152-65535
注册端口:范围: 1024-49151 ,用于分配给用户进程或程序
渗透端口
https://www.cnblogs.com/bmjoker/p/8833316.html
常见端口介绍
FTP-21
FTP:文件传输协议,使用TCP端口20、21,20用于传输数据,21用于传输控制信息
(1)ftp基础爆破:owasp的Bruter,hydra以及msf中的ftp爆破模块。
(2) ftp匿名访问:用户名:anonymous 密码:为空或者任意邮箱
(3)vsftpd后门 :vsftpd 2到2.3.4版本存在后门漏洞,通过该漏洞获取root权限。
(4)嗅探:ftp使用明文传输,使用Cain进行渗透。(但是嗅探需要在局域网并需要
欺骗或监听网关)
(5)ftp远程代码溢出。
(6)ftp跳转攻击。
漏洞复现-vsftpd-v2.3.4:
ProFTPD 1.3.3c远程命令执行:
记录一次对本地ftp服务器的渗透_Wh1te-小白的博客-CSDN博客
FTP跳转攻击:
FTP 跳转攻击_多个供应商ftp跳转攻击漏洞_mgxcool的博客-CSDN博客
SSH-22
SSH:(secure shell)是目前较可靠,专为远程登录会话和其他网络服务提供安全性的
协议。
(1)弱口令,可使用工具hydra,msf中的ssh爆破模块。
(2)SSH后门 (渗透基础-SSH后门分析总结 - SecPulse.COM | 安全脉搏)
(3)openssh 用户枚举 CVE-2018-15473。(https://www.anquanke.com/post/i
d/157607)
WWW-80
为超文本传输协议(HTTP)开放的端口,主要用于万维网传输信息的协议
(1)中间件漏洞,如IIS、apache、nginx等
(2)80端口一般通过web应用程序的常见漏洞进行攻击
NetBIOS SessionService–139/445
139用于提供windows文件和打印机共享及UNIX中的Samba服务。
445用于提供windows文件和打印机共享。
(1)对于开放139/445端口,尝试利用MS17010溢出漏洞进行攻击;
(2)对于只开放445端口,尝试利用MS06040、MS08067溢出漏洞攻击;
(3)利用IPC$连接进行渗透
MySQL-3306
3306是MYSQL数据库默认的监听端口
(1)mysql弱口令破解
(2)弱口令登录mysql,上传构造的恶意UDF自定义函数代码,通过调用注册的恶
意函数执行系统命令
(3)SQL注入获取数据库敏感信息,load_file()函数读取系统文件,导出恶意代码到
指定路径
RDP-3389
3389是windows远程桌面服务默认监听的端口
(1)RDP暴力破解攻击
(2)MS12_020死亡蓝屏攻击
(3)RDP远程桌面漏洞(CVE-2019-0708)
(4)MSF开启RDP、注册表开启RDP
Redis-6379
开源的可基于内存的可持久化的日志型数据库。
(1)爆破弱口令
(2)redis未授权访问结合ssh key提权
(3)主从复制rce
实验:SSRF漏洞进阶实践-攻击内网Redis(合天网安实验室)
Weblogic-7001
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于
JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应
用、网络应用和数据库应用的Java应用服务器
(1)弱口令、爆破,弱密码一般为weblogic/Oracle@123 or weblogic
(2)管理后台部署 war包后门
(3)weblogic SSRF
(4)反序列化漏洞
Weblogic 常见漏洞环境的搭建及其利用 · 浮萍's Blog
Weblogic_ssrf实例:
CNVD-C-2019-48814 WebLogic反序列化远程命令执行:
实验:CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞(合天网安实验室)
Tomcat-8080
Tomcat 服务器是一个开源的轻量级Web应用服务器,在中小型系统和并发量小的场
合下被普遍使用,是开发和调试Servlet、JSP 程序的首选
(1)Tomcat远程代码执行漏洞(CVE-2019-0232)
(2)Tomcat任意文件上传(CVE-2017-12615)
(3)tomcat 管理页面弱口令getshell
CVE-2019-0232 Tomcat远程代码执行漏洞:
合天网安实验室-专业提供网络安全\信息安全在线实验服务的网络靶场
端口扫描
NMAP
NMAP简介
Network Mapper,是一款开放源代码的网络探测和安全审核的工具
nmap参考指南(中文版)
功能介绍
1. 检测网络存活主机(主机发现)
2. 检测主机开放端口(端口发现或枚举)
3. 检测相应端口软件(服务发现)版本
4. 检测操作系统,硬件地址,以及软件版本
5. 检测脆弱性的漏洞(nmap的脚本)
端口状态
基础用法
Open 端口开启,数据有到达主机,有程序在端口上监控
Closed 端口关闭,数据有到达主机,没有程序在端口上监控
Filtered 数据没有到达主机,返回的结果为空,数据被防火墙或IDS
过滤
UnFiltered 数据有到达主机,但是不能识别端口的当前状态
Open|Filtered 端口没有返回值,主要发生在UDP、IP、FIN、NULL和
Xmas扫描中
Closed|Filtered 只发生在IP ID idle扫描
nmap -A -T4 192.168.1.1
A:全面扫描\综合扫描
T4:扫描速度,共有6级,T0-T5
不加端口说明扫描默认端口,1-1024 + nmap-service
扫描全部端口
扫描常用端口及服务信息
NMAP漏洞扫描
单一主机扫描:namp 192.168.1.2
子网扫描:namp 192.168.1.1/24
多主机扫描:nmap 192.168.1.1 192.168.1.10
主机范围扫描:namp 192.168.1.1-100
IP地址列表扫描:nmap –iL target.txt
扫描除指定IP外的所有子网主机:
nmap 192.168.1.1/24 --exclude 192.168.1.1
扫描除文件中IP外的子网主机:
nmap 192.168.1.1/24 --excludefile xxx.txt
扫描特定主机上的80,21,23端口:
nmap –p 80,21,23 192.168.1.1
扫描全部端口
nmap -sS -v -T4 -Pn -p 0-65535 -oN FullTCP -iL liveHosts.txt
• -sS:SYN扫描,又称为半开放扫描,它不打开一个完全的TCP连接,执行得很快,
效率高(一个完整的tcp连接需要3次握手,而-sS选项不需要3次握手)
优点:Nmap发送SYN包到远程主机,但是它不会产生任何会话,目标主机几乎不会把
连接记入系统日志。(防止对方判断为扫描攻击),扫描速度快,效率高,在工作中
使用频率最高
缺点:它需要root/administrator权限执行
• -Pn:扫描之前不需要用ping命令,有些防火墙禁止ping命令。可以使用此选项
进行扫描
• -iL:导入需要扫描的列表扫描常用端口及服务信息
nmap -sS -T4 -Pn -oG TopTCP -iL LiveHosts.txt
系统扫描
nmap -O -T4 -Pn -oG OSDetect -iL LiveHosts.txt
版本检测
nmap -sV -T4 -Pn -oG ServiceDetect -iL LiveHosts.txt
CMS识别
CMS:内容管理系统,用于网站内容文章管理
https://github.com/lengjibo/dedecmscan
常见CMS:dedecms(织梦)、Discuz、phpcms等。
nmap.exe -p445 -v --script smb-ghost 192.168.1.0/241
在线识别工具
Onlinetools
GitHub - iceyhexman/onlinetools: 在线cms识别|信息泄露|工控|系统|物联网安全|cms漏洞扫描|nmap端口扫描|子域名获取|待续..
敏感文件、目录
敏感文件、敏感目录挖掘一般都是靠工具、脚本来找,比如御剑、BBscan,当然大
佬手工也能找得到。
github
git
svn
.DS_Store
.hg
.bzr
cvs
WEB-INF
备份文件前面七种为版本管理工具所泄露的常规方式,上面的两种方式为操作不当,安全意识
薄弱所造成的泄露