端口渗透技术全面指南

端口渗透技术全面指南 0x00 背景与概述 端口渗透是渗透测试中的关键环节，通过分析目标系统开放的端口及其运行的服务，可以快速发现潜在的攻击面。端口渗透主要关注： 端口banner信息 ：获取服务版本和配置信息 端口运行的服务 ：识别服务类型和功能 常见应用默认端口 ：了解服务常见部署端口 端口分类： 公认端口(Well Known Ports) ：0-1023，绑定系统关键服务 注册端口(Registered Ports) ：1024-49151，绑定常见应用服务 动态/私有端口 ：49152-65535，通常不固定绑定服务 0x01 爆破技术概述 爆破是最基础但高效的攻击方式： 技术简单但效果显著 成功率取决于字典质量和网络环境 现代系统通常有防爆破机制，需结合其他技术绕过 0x02 文件共享服务渗透 FTP服务 (20/21/69) 攻击方式 ： 爆破 ：使用OWASP Bruter或MSF模块 匿名访问 尝试： 用户名: anonymous，密码: 空/任意邮箱 用户名: FTP，密码: FTP/空 用户名: USET，密码: pass 嗅探 ：FTP使用明文传输 后门技术 ：Linux vsftpd特定版本在用户名后加":)"可在6200端口打开shell 远程溢出 ：如IIS FTP 6.10.1 NLST命令缓冲区溢出 跳转攻击 (Bounce Attacks)：利用PORT命令进行间接攻击 NFS服务 (2049) 攻击方式 ： 未授权访问 ：配置不当导致 版本2.x可能存在证书验证漏洞 Samba服务 (137/139) 攻击方式 ： 爆破 ：使用hydra工具 未授权访问 ：public用户权限过高 远程代码执行 ：如CVE-2019-0240 LDAP协议 (389) 攻击方式 ： 注入攻击 ：盲注技术 未授权访问 爆破 ：弱口令攻击 0x03 远程连接服务渗透 SSH服务 (22) 攻击方式 ： 爆破 ：弱口令攻击 漏洞利用 ： 28退格漏洞 OpenSSL相关漏洞 Telnet服务 (23) 攻击方式 ： 爆破 ：弱口令攻击 嗅探 ：明文协议，局域网内可嗅探 Windows远程桌面 (3389) 攻击方式 ： 爆破 ：多种工具可用 Shift粘滞键后门 ：5次shift触发 漏洞攻击 ：如MS12-020可导致服务器关机 VNC服务 (5900+) 攻击方式 ： 爆破 ：弱口令攻击 认证绕过 拒绝服务 ：如CVE-2015-5239 权限提升 ：如CVE-2013-6886 PcAnywhere服务 (5632) 攻击方式 ： 提权控制 拒绝服务攻击 0x04 Web应用服务渗透 IIS服务 (80/81/443) 攻击方式 ： PUT写文件 ：利用PUT方法直接上传 短文件名泄漏 解析漏洞 Apache/Tomcat/Nginx/Axis2 (80/8080) 攻击方式 ： 爆破 ：manager后台弱口令 HTTP慢速攻击 ：消耗服务器资源 WebLogic (7001) 攻击方式 ： 爆破 ：常见组合system/weblogic、portaladmin/guest等 控制台部署webshell Java反序列化 SSRF窥探内网 JBoss (8080/1098/1099/4444等) 攻击方式 ： 爆破 ：后台弱口令 远程代码执行 ：配置不当导致 Java反序列化 WebSphere (908* /9090) 攻击方式 ： 爆破 ：控制台弱口令 任意文件泄漏 ：如CVE-2014-0823 Java反序列化 GlassFish (8080/3700/4848) 攻击方式 ： 爆破 ：控制台弱口令 任意文件读取 认证绕过 Jenkins (8080/8089) 攻击方式 ： 爆破 ：默认管理员账户 未授权访问 反序列化 Resin/Jetty (8080) 攻击方式 ： 目录遍历 远程文件读取 远程共享缓冲区溢出 Lotus (1352) 攻击方式 ： 爆破 ：admin/password等弱口令 信息泄露 XSS攻击 0x05 数据库服务渗透 MySQL (3306) 攻击方式 ： 爆破 ：弱口令攻击 身份认证漏洞 ：如CVE-2012-2122 拒绝服务 ：通过恶意SQL语句 PhpMyAdmin万能密码 ：用户名'localhost'@'@"，密码任意 MSSQL (1433/1434) 攻击方式 ： 爆破 ：弱口令或使用系统账户 注入攻击 Oracle (1521/1158/8080/210) 攻击方式 ： 爆破 ：弱口令攻击 注入攻击 漏洞攻击 PostgreSQL (5432) 攻击方式 ： 爆破 ：postgres/postgres 缓冲区溢出 ：如CVE-2014-2669 MongoDB (27017) 攻击方式 ： 爆破 ：弱口令攻击 未授权访问 Redis (6379) 攻击方式 ： 爆破 ：弱口令攻击 未授权访问+SSH key提权 SysBase (5000/4100/4200) 攻击方式 ： 爆破 ：弱口令攻击 命令注入 DB2 (5000) 攻击方式 ： 安全限制绕过 ：如CVE-2015-1922 0x06 邮件服务渗透 SMTP协议 (25/465) 攻击方式 ： 爆破 ：弱口令攻击 未授权访问 钓鱼邮件发送 POP3协议 (109/110/995) 攻击方式 ： 爆破 ：弱口令攻击 未授权访问 IMAP协议 (143/993) 攻击方式 ： 爆破 ：弱口令攻击 配置不当利用 0x07 网络协议渗透 DNS服务 (53) 攻击方式 ： 区域传输漏洞 DNS劫持 DNS缓存投毒 DNS隧道技术穿透防火墙 DHCP服务 (67/68/546) 攻击方式 ： DHCP劫持 欺骗攻击 SNMP协议 (161) 攻击方式 ： 爆破 ：弱口令攻击（默认public/private） 0x08 其他服务渗透 Zookeeper (2181) 攻击方式 ： 未授权访问 Zabbix (8069) 攻击方式 ： 远程命令执行 Elasticsearch (9200/9300) 攻击方式 ： 未授权访问 远程命令执行 文件遍历 低版本webshell植入 Linux R服务 (512/513/514) 攻击方式 ： 直接使用rlogin登录 RMI (1090/1099) 攻击方式 ： 远程命令执行 （Java反序列化） Rsync (873) 攻击方式 ： 未授权访问 本地提权 ：利用root权限运行特性 Socket代理 (1080) 攻击方式 ： 爆破 ：代理认证弱口令 内网渗透跳板 0x09 端口渗透速查表 | 端口号 | 服务说明 | 攻击技巧 | |--------|----------|----------| | 21/22/69 | FTP/TFTP | 爆破、嗅探、溢出、后门 | | 22 | SSH | 爆破、OpenSSH漏洞、28退格 | | 23 | Telnet | 爆破、嗅探 | | 25 | SMTP | 邮件伪造 | | 53 | DNS | 区域传输、劫持、投毒、欺骗、隧道技术 | | 67/68 | DHCP | 劫持、欺骗 | | 110 | POP3 | 爆破 | | 139 | Samba | 爆破、未授权、远程代码执行 | | 143 | IMAP | 爆破 | | 161 | SNMP | 爆破 | | 389 | LDAP | 注入、未授权 | | 512/513/514 | Linux R | 直接rlogin | | 873 | Rsync | 未授权、本地提权 | | 1080 | Socket | 爆破、内网渗透 | | 1352 | Lotus | 爆破、信息泄露 | | 1433 | MSSQL | 爆破、注入 | | 1521 | Oracle | 爆破(TNS)、注入 | | 2049 | NFS | 配置不当 | | 2181 | Zookeeper | 未授权 | | 3306 | MySQL | 爆破、拒绝服务、注入 | | 3389 | RDP | 爆破、Shift后门 | | 4848 | Glassfish | 爆破控制台、认证绕过 | | 5000 | Sybase/DB2 | 爆破、注入 | | 5432 | PostgreSQL | 缓冲区溢出、注入、爆破 | | 5632 | pcAnywhere | 拒绝服务、代码执行 | | 5900 | VNC | 爆破、认证绕过 | | 6379 | Redis | 未授权、爆破 | | 7001 | WebLogic | Java反序列化、控制台弱口令、部署webshell | | 80/443/8080 | Web | 常见web攻击、控制台爆破、版本漏洞 | | 8069 | Zabbix | 远程命令执行 | | 9090 | WebSphere | 控制台爆破、Java反序列 | | 9200/9300 | Elasticsearch | 远程代码执行 | | 11211 | Memcached | 未授权访问 | | 27017 | MongoDB | 爆破 | 0x0A 总结 端口渗透是渗透测试的基础环节，掌握各类服务的常见漏洞和攻击方式能够显著提高渗透效率。实际测试中应： 结合多种扫描工具获取准确信息 根据服务类型选择合适的攻击方式 注意现代系统的防护机制，灵活组合各种技术 重点关注配置不当和已知漏洞的服务 保持漏洞库和工具集的更新 交流学习 ： 微信：Memory20000427 QQ：3542167150