信息收集2

端口信息收集

端口简介

在Internet上，各主机间通过TCP/IP协议发送和接受数据包，各个数据包根据其目的

主机的IP地址来进行互联网络中的路由选择，从而顺利的将数据包顺利的传送给目标

主机

但当目的主机运行多个程序时，目的主机该把接受到的数据传给多个程序进程中的哪

一个呢？端口机制的引入就是为了解决这个问题。端口在网络技术中，端口有两层意

思：一个是物理端口，即物理存在的端口，如：集线器、路由器、交换机、ADSL

Modem等用于连接其他设备的端口；另一个就是逻辑端口，用于区分服务的端口，

一般用于TCP/IP中的端口，其范围是0~65535,，0为保留端口，一共允许有65535个

端口比如用于网页浏览服务的端口是80端口，用于FTP服务的是21端口。 这里我们

所指的不是物理意义上的端口，而是特指TCP/IP协议中的端口，是逻辑意义上的端口

协议端口

根据提供服务类型的不同，端口可分为以下两种：

TCP端口：TCP是一种面向连接的可靠的传输层通信协议

UDP端口：UDP是一种无连接的不可靠的传输层协议

TCP协议和UDP协议是独立的，因此各自的端口号也互相独立。

TCP：给目标主机发送信息之后，通过返回的应答确认信息是否到达

UDP：给目标主机放信息之后，不会去确认信息是否到达

而由于物理端口和逻辑端口数量较多，为了对端口进行区分，将每个端口进行了编

号，即就是端口号。那么看到这里我们会好奇，有那么多的端口，他们到底是怎么分

类的？

端口类型

周知端口：众所周知的端口号，范围： 0-1023 ，如 80 端口是 WWW 服务

动态端口：一般不固定分配某种服务，范围： 49152-65535

注册端口：范围： 1024-49151 ，用于分配给用户进程或程序

渗透端口

https://www.cnblogs.com/bmjoker/p/8833316.html

常见端口介绍

FTP-21

FTP：文件传输协议，使用TCP端口20、21，20用于传输数据，21用于传输控制信息

（1）ftp基础爆破：owasp的Bruter,hydra以及msf中的ftp爆破模块。

（2) ftp匿名访问：用户名：anonymous 密码：为空或者任意邮箱

（3）vsftpd后门 ：vsftpd 2到2.3.4版本存在后门漏洞，通过该漏洞获取root权限。

（4）嗅探：ftp使用明文传输，使用Cain进行渗透。（但是嗅探需要在局域网并需要

欺骗或监听网关）

（5）ftp远程代码溢出。

（6）ftp跳转攻击。

漏洞复现-vsftpd-v2.3.4：

访问的文章审核中... - FreeBuf网络安全行业门户

ProFTPD 1.3.3c远程命令执行：

记录一次对本地ftp服务器的渗透_Wh1te-小白的博客-CSDN博客

FTP跳转攻击：

FTP 跳转攻击_多个供应商ftp跳转攻击漏洞_mgxcool的博客-CSDN博客

SSH-22

SSH：(secure shell)是目前较可靠，专为远程登录会话和其他网络服务提供安全性的

协议。

（1）弱口令，可使用工具hydra，msf中的ssh爆破模块。

（2）SSH后门 （渗透基础-SSH后门分析总结 - SecPulse.COM | 安全脉搏）

（3）openssh 用户枚举 CVE-2018-15473。（https://www.anquanke.com/post/i

d/157607）

WWW-80

为超文本传输协议（HTTP）开放的端口，主要用于万维网传输信息的协议

（1）中间件漏洞，如IIS、apache、nginx等

（2）80端口一般通过web应用程序的常见漏洞进行攻击

NetBIOS SessionService–139/445

139用于提供windows文件和打印机共享及UNIX中的Samba服务。

445用于提供windows文件和打印机共享。

（1）对于开放139/445端口，尝试利用MS17010溢出漏洞进行攻击；

（2）对于只开放445端口，尝试利用MS06040、MS08067溢出漏洞攻击；

（3）利用IPC$连接进行渗透

MySQL-3306

3306是MYSQL数据库默认的监听端口

（1）mysql弱口令破解

（2）弱口令登录mysql，上传构造的恶意UDF自定义函数代码，通过调用注册的恶

意函数执行系统命令

（3）SQL注入获取数据库敏感信息，load_file()函数读取系统文件，导出恶意代码到

指定路径

RDP-3389

3389是windows远程桌面服务默认监听的端口

（1）RDP暴力破解攻击

（2）MS12_020死亡蓝屏攻击

（3）RDP远程桌面漏洞（CVE-2019-0708）

（4）MSF开启RDP、注册表开启RDP

Redis-6379

开源的可基于内存的可持久化的日志型数据库。

（1）爆破弱口令

（2）redis未授权访问结合ssh key提权

（3）主从复制rce

实验:SSRF漏洞进阶实践-攻击内网Redis(合天网安实验室)

Weblogic-7001

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于

JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应

用、网络应用和数据库应用的Java应用服务器

（1）弱口令、爆破，弱密码一般为weblogic/Oracle@123 or weblogic

（2）管理后台部署 war包后门

（3）weblogic SSRF

（4）反序列化漏洞

Weblogic 常见漏洞环境的搭建及其利用 · 浮萍's Blog

Weblogic_ssrf实例：

实验:Weblogic_ssrf实例(合天网安实验室)

CNVD-C-2019-48814 WebLogic反序列化远程命令执行：

实验:CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞(合天网安实验室)

Tomcat-8080

Tomcat 服务器是一个开源的轻量级Web应用服务器,在中小型系统和并发量小的场

合下被普遍使用,是开发和调试Servlet、JSP 程序的首选

（1）Tomcat远程代码执行漏洞（CVE-2019-0232）

（2）Tomcat任意文件上传（CVE-2017-12615）

（3）tomcat 管理页面弱口令getshell

CVE-2019-0232 Tomcat远程代码执行漏洞：

合天网安实验室-专业提供网络安全\信息安全在线实验服务的网络靶场

端口扫描

NMAP

NMAP简介

Network Mapper，是一款开放源代码的网络探测和安全审核的工具

nmap参考指南（中文版）

https://nmap.org/man/zh/

功能介绍

1. 检测网络存活主机（主机发现）

2. 检测主机开放端口（端口发现或枚举）

3. 检测相应端口软件（服务发现）版本

4. 检测操作系统，硬件地址，以及软件版本

5. 检测脆弱性的漏洞（nmap的脚本）

端口状态

基础用法

Open 端口开启，数据有到达主机，有程序在端口上监控

Closed 端口关闭，数据有到达主机，没有程序在端口上监控

Filtered 数据没有到达主机，返回的结果为空，数据被防火墙或IDS

过滤

UnFiltered 数据有到达主机，但是不能识别端口的当前状态

Open|Filtered 端口没有返回值，主要发生在UDP、IP、FIN、NULL和

Xmas扫描中

Closed|Filtered 只发生在IP ID idle扫描

nmap -A -T4 192.168.1.1
A：全面扫描\综合扫描
T4：扫描速度，共有6级，T0-T5
不加端口说明扫描默认端口，1-1024 + nmap-service
扫描全部端口
扫描常用端口及服务信息
NMAP漏洞扫描
单一主机扫描：namp 192.168.1.2
子网扫描：namp 192.168.1.1/24
多主机扫描：nmap 192.168.1.1 192.168.1.10
主机范围扫描：namp 192.168.1.1-100
IP地址列表扫描：nmap –iL target.txt
扫描除指定IP外的所有子网主机：
nmap 192.168.1.1/24 --exclude 192.168.1.1
扫描除文件中IP外的子网主机：
nmap 192.168.1.1/24 --excludefile xxx.txt
扫描特定主机上的80,21,23端口：
nmap –p 80,21,23 192.168.1.1

扫描全部端口

nmap -sS -v -T4 -Pn -p 0-65535 -oN FullTCP -iL liveHosts.txt
• -sS：SYN扫描,又称为半开放扫描，它不打开一个完全的TCP连接，执行得很快，
效率高（一个完整的tcp连接需要3次握手，而-sS选项不需要3次握手）
优点：Nmap发送SYN包到远程主机，但是它不会产生任何会话，目标主机几乎不会把
连接记入系统日志。（防止对方判断为扫描攻击），扫描速度快，效率高，在工作中
使用频率最高
缺点：它需要root/administrator权限执行
• -Pn：扫描之前不需要用ping命令，有些防火墙禁止ping命令。可以使用此选项
进行扫描
• -iL：导入需要扫描的列表

扫描常用端口及服务信息

nmap -sS -T4 -Pn -oG TopTCP -iL LiveHosts.txt
系统扫描
nmap -O -T4 -Pn -oG OSDetect -iL LiveHosts.txt
版本检测
nmap -sV -T4 -Pn -oG ServiceDetect -iL LiveHosts.txt

CMS识别

CMS：内容管理系统，用于网站内容文章管理

https://github.com/lengjibo/dedecmscan

常见CMS：dedecms(织梦)、Discuz、phpcms等。

nmap.exe -p445 -v --script smb-ghost 192.168.1.0/241

在线识别工具

在线指纹识别,在线cms识别小插件--在线工具

Onlinetools

GitHub - iceyhexman/onlinetools: 在线cms识别|信息泄露|工控|系统|物联网安全|cms漏洞扫描|nmap端口扫描|子域名获取|待续..

https://pentest.gdpcisa.org/

敏感文件、目录

敏感文件、敏感目录挖掘一般都是靠工具、脚本来找，比如御剑、BBscan，当然大

佬手工也能找得到。

github
git
svn
.DS_Store
.hg
.bzr
cvs
WEB-INF
备份文件

前面七种为版本管理工具所泄露的常规方式，上面的两种方式为操作不当，安全意识

薄弱所造成的泄露