渗透常用端口总结
常用端口
21:FTP
22:SSH
23:Telnet
25:SMTP
53:DNS(UDP)
69:TFTP(cisco,类似FTP)
79:Finger
80:HTTP
110:POP3
111:RPC 远程过程调用
113:windows 验证服务
119:NNTP 网络新闻组传输协议
135:RPC 远程过程调用
137:NetBIOS
139:windows文件和打印机共享,Unix中的samba服务
161:SNMP 简单网络管理协议
389:LDAP
443:HTTPS
445:SMB
1080:socks代理服务
2601,2604:zebra路由,默认密码zebra
5900:vnc
8080:用户www代理服务
木马病毒
5554:worm.Sasser病毒利用端口
7626:冰河病毒
8011:WAY2.4病毒
7306:Netspy3.0病毒
1024:YAI病毒
中间件
7001,7002:weblogic
9080:webshpere应用程序
9090:webshpere管理工具
8080:tomcat默认端口
p.s:Jboss通常占用的端口是1098,1099,4444,4445,8080,8009,8083,8093,默认为8080
数据库
3306:mysql
1433:sqlserver server
1434:sqlserver monitor
1521:oracle
5432:PostgreSQL
1158:ORACLE EMCTL
8080:Oracle XDB
2100:Oracle XDB FTP
特殊服务(漏洞)
443:SSL心脏滴血
512,513,514:Rsync未授权访问
873:Rsync未授权访问
2375:docker remote api漏洞
5984:CouchDB
6379:redis未授权
7001,7002:WebLogic 默认弱口令,反序列化
9200,9300:elasticsearch未授权访问
11211:memcache未授权访问
27017,27018:Mongodb 未授权访问
28017:mongodb统计页面
50000:SAP命令执行
50070,50030:hadoop默认端口 未授权访问
再来一张对应端口 服务 入侵方式的表格
.端口 | 服务 | 入侵方式 |
21 | ftp/tftp/vsftpd文件传输协议 | 爆破/嗅探/溢出/后门 |
22 | ssh远程连接 | 爆破/openssh漏洞 |
23 | Telnet远程连接 | 爆破/嗅探/弱口令 |
25 | SMTP邮件服务 | 邮件伪造 |
53 | DNS域名解析系统 | 域传送/劫持/缓存投毒/欺骗 深度利用:利用DNS隧道技术刺透防火墙 |
67/68 | dhcp服务 | 劫持/欺骗 |
110 | pop3 | 爆破/嗅探 |
139 | Samba服务 | 爆破/未授权访问/远程命令执行 |
143 | Imap协议 | 爆破 |
161 | SNMP协议 | 爆破/搜集目标内网信息 |
389 | Ldap目录访问协议 | 注入/未授权访问/弱口令 |
445 | smb | ms17-010/端口溢出 |
512/ 513/ 514 | Linux Rexec服务 | 爆破/Rlogin登陆 |
873 | Rsync服务 | 文件上传/未授权访问 |
1080 | socket | 爆破 |
1352 | Lotus domino邮件服务 | 爆破/信息泄漏 |
1433 | mssql | 爆破/注入/SA弱口令 |
1521 | oracle | 爆破/注入/TNS爆破/反弹shell |
2049 | Nfs服务 | 配置不当 |
2181 | zookeeper服务 | 未授权访问 |
2375 | docker remote api | 未授权访问 |
3306 | mysql | 爆破/注入 |
3389 | Rdp远程桌面链接 | 爆破/shift后门 |
4848 | GlassFish控制台 | 爆破/认证绕过 |
5000 | sybase/DB2数据库 | 爆破/注入/提权 |
5432 | postgresql | 爆破/注入/缓冲区溢出 |
5632 | pcanywhere服务 | 抓密码/代码执行 |
5900 | vnc | 爆破/认证绕过 |
6379 | Redis数据库 | 未授权访问/爆破 |
7001/ 7002 | weblogic | java反序列化/控制台弱口令 |
80/ 443 | http/https | web应用漏洞/心脏滴血 |
8069 | zabbix服务 | 远程命令执行/注入 |
8161 | activemq | 弱口令/写文件 |
8080 /8089 | Jboss/Tomcat/Resin | 爆破/PUT文件上传/反序列化 |
8083 /8086 | influxDB | 未授权访问 |
9000 | fastcgi | 远程命令执行 |
9043 | websphere | 弱口令爆破 |
9090 | Websphere控制台 | 爆破/java反序列化/弱口令 |
9200 /9300 | elasticsearch | 远程代码执行 |
10000 | Virtualmin/Webmin | 服务器虚拟主机管理系统 |
11211 | memcached | 未授权访问 |
27017 /27018 | mongodb | 未授权访问/爆破 |
50000 | Upnp | SAP命令执行 |
50070 /50030: | hadoop默认端口 | web未授权访问 |
暂时先整理这么多 有更新了 再编辑了
如果朋友们 问应该如何避免这些危险端口被利用?简单说3点
1对网络不管是外网还是专线或VPN连接网段仅开放最少的端口
2修改默认端口与配置通过基线检查与定期巡检 减少端口与服务的信息
3通过攻防演练渗透来有计划模拟攻击行为,提高安全防护能力和应急能力。