一 端口类型及作用
周知端口:众所周知的端口,范围为:0-1023 ,如 80时www服务的端口动态端口:一般不固定分配某种服务,范围为:49152-65535注册端口:用于分配给用户进程或程序,范围为:10224-49151
作用:端口的作用就是在网络中实现不同应用之间的分离与区分 。
二 常用的渗透端口
ftp协议
ssh 22
telnet 23
SMTP 24/465
www 80
NetBIOS SessionService 139/445
139用于提供windows文件和打印机共享及UNIX中的Samba服务。
445用于提供windows文件和打印机共享
(1)对于开放139/445端口,尝试利用MS17010溢出漏洞进行攻击;
(2)对于只开放445端口,尝试利用MS06040、MS08067溢出漏洞攻击;
(3)利用IPC$连接进行渗透
mysql 3306
3306是MYSQL数据库默认的监听端口
(1)mysql弱口令破解
(2)弱口令登录mysql,上传构造的恶意UDF自定义函数代码,通过调用注册的恶意函数执行系统命令
(3) SQL注入获取数据库敏感信息,load_fileO函数读取系统文件,导出恶意代码到指定路径
rdp 3389
3389是windows远程桌面服务默认监听的端口
(1) RDP暴力破解攻击
(2)MS12_020死亡蓝屏攻击
(3) RDP远程桌面漏洞(CVE-2019-0708)
(4) MSF开启RDP、注册表开启RDP
redis 6379
开源的可基于内存的可持久化的日志型数据库。
(1)爆破弱口令
(2) redis未授权访问结合ssh key提权(3)主从复制rce
Weblogic-7001
(1)弱口令、爆破,弱密码一般为weblogic/Oracle@123 or weblogic
(2)管理后台部署 war包后门
(3) weblogic SSRF
(4)反序列化漏洞
Tomcat-8080
(1) Tomcat远程代码执行漏洞(CVE-2019-0232)
(2) Tomcat任意文件上传(CVE-2017-12615)
(3) tomcat 管理页面弱口令getshell
三 端口扫描工具-NMAP
https://nmap.org/man/zh/
nmap的功能介绍
检测网络存活主机(主机发现)检测主机开放端口(端口发现或枚举)检测相应端口软件(服务发现)版本检测操作系统,硬件地址,以及软件版本检测脆弱性的漏洞(nmap的脚本)
nmap端口状态(前3种常用)
Open
端口开启,数据有到达主机,有程序在端口上监控
Closed
端口关闭,数据有到达主机,没有程序在端口上监控
Filtered
数据没有到达主机,返回的结果为空,数据被防火墙或IDS过滤
UnFiltered
数据有到达主机,但是不能识别端口的当前状态
Open Filtered
端口没有返回值,主要发生在UDP、IP、FIN、NULL和Xmas扫描中
Closed Filtered
只发生在IPID idle扫描
NMAP用法基础
nmар -А -Т4 192.168.1.1
A:全面扫描\综合扫描
T4:扫描速度,共有6级,T0-T5
不加端口,扫描默认端口(周知端口),1-1024+nmap-service
T0(偏执的)非常慢的扫描,用于IDS逃避.T1(鬼崇的)线緩缓慢的扫描,用于IDS逃避.T2(文雅的);降低速度以降低对带宽的消耗,此选项一般不常用.T3(普通的):默认,根据目标的反应自动调整时间.T4(野蜜的);快速扫描,常用扫描方式,需要在很好的网络环境下进行扫描,请求可能会淹没目标.TS(疯狂的);急速扫猫,这种扫描方式以栖往准确度来提升扫描速度.
扫描类型Nmap命令示例单一主机扫描nmap 192.168.1.2子网扫描nmap 192.168.1.1/24多主机扫描nmap 192.168.1.1 192.168.1.10主机范围扫描nmap 192.168.1.1-100IP地址列表扫描 nmap -iL target.txt
扫描除指定IP外的所有子网主机nmap 192.168.1.1/24 --exclude 192.168.1.1扫描除文件中IP外的子网主机nmap 192.168.1.1/24 --excludefile xxx.txt扫描特定主机上的80,21,23端口nmap -p 80,21,23 192.168.1.1
扫描全部端口:nmap -sS -v-T4 -Pn ip 0-65535 -oN FullTCP -iL liveHosts.txt
# Nmap 全端口 TCP 扫描命令详解
## 完整命令
`nmap -sS -v -T4 -Pn ip 0-65535 -oN FullTCP.txt -iL liveHosts.txt`
## 参数解析
1. **-sS (SYN 扫描)**:
- TCP半开放扫描,不完成完整的三次握手
- 发送SYN包后,收到SYN/ACK响应即确认端口开放
- 相比全连接扫描(-sT)更隐蔽且高效
- 示例:对开放端口会收到SYN/ACK,关闭端口收到RST
2. **-v (详细输出)**:
- 显示扫描过程中的详细信息
- 可重复使用(-vv)获得更详细输出
- 输出内容包括:发现的开放端口、扫描进度等
3. **-T4 (时序模板)**:
- 使用"激进"扫描速度(共6级,T0最慢)
- 适合高速网络环境
- 可能触发IDS/IPS但扫描速度快
4. **-Pn (跳过主机发现)**:
- 假设所有目标主机都在线
- 不进行ICMP ping检测
- 适用于防火墙屏蔽ping的情况
5. **ip 0-65535**:
- 扫描所有65535个TCP端口
- 可替换为具体IP或CIDR范围(如192.168.1.0/24)
- 完整端口扫描确保不遗漏任何服务
6. **-oN FullTCP.txt**:
- 将结果输出到文本文件
- 保存格式为标准Nmap格式
- 方便后续分析和报告生成
7. **-iL liveHosts.txt**:
- 从文件读取目标主机列表
- 文件应包含IP地址或主机名(每行一个)
- 适用于批量扫描预确认的存活主机
## 典型应用场景
1. **渗透测试初期**:
- 对已确认存活的目标进行全面端口探测
- 识别所有可能的服务入口点
2. **网络资产清查**:
- 配合主机发现结果进行深度扫描
- 建立完整的服务清单
3. **安全审计**:
- 检测未经授权的开放服务
- 发现配置不当的防火墙规则
## 注意事项
1. 需要root/管理员权限运行SYN扫描
2. 企业网络中使用前应获得授权
3. 可能产生大量网络流量
4. 对目标系统有一定侵入性
5. 建议在非业务高峰期执行
探测存活主机:
nmap -sn -v -T4 -oG Discovery.gnmap 192.168.210.0/24 注意:sn=sp
grep "Status: Up" Discovery.gnmap | cut-f2 -d''> liveHosts.txt
cat liveHosts.txt
参数解析:
-sn:执行Ping扫描(禁用端口扫描)-v:启用详细输出模式-T4:设置时间模板为激进模式(加快扫描速度)-oG:生成Grepable格式输出文件192.168.210.0/24:目标网络(254个IP地址的C类网络)
处理流程:
grep过滤含"Status: Up"的行(在线主机)cut命令提取第二个字段(IP地址)-d' '指定空格作为字段分隔符最终结果重定向到liveHosts.txt
扫描常用端口及服务信息
nmap -sS-T4 -Pn -OG TopTCP -iL LiveHosts.txt
系统扫描:nmap -O-T4 -Pn -OG OSDetect -iL LiveHosts.txt
版本检测:nmap -SV -T4 -Pn -OG ServiceDetect - iL LiveHosts.txt