IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 谈谈值得注意的高危端口 -> 正文阅读

[网络协议]谈谈值得注意的高危端口

网上常常提到很多高危端口,但是在业务发布等过程中,我们又避免不开。那么如何平衡业务与安全,在不影响业务的情况下,最大程度的

?

高危端口

值得关注的一般有两类,一类是利用端口进行监听扫描等,探测目标主机是否开放了某些服务,常出现在攻击准备阶段。但这并不是说这些端口就一定有问题,绝对要关闭。谈到高危端口,我们也不用如临大敌。因为就操作系统而言,它的目的很简单,只是为了人提供服务而已,复杂的是人,这点,即使是高处理速度的计算机大脑,也难以匹敌。与其不断封堵所谓的“高危端口”,不如强化自身安全意识,减少“社工攻击”。

这一向是我最倡导的理念。信息安全管理与技术从来都不是对立面,技术支撑的是我们安全的砖石,但是管理理念却是房梁,是基础架构。

另一类是通过这些端口获取较大管理权限,而后作为跳板,取得权限后再威胁到业务系统。

下面重点讲的,也是第二种。我将第二种又分了两个小类,可能不大准确,从攻击模式上来看,一个“主攻”权限,拿到高权限后,再通过“合理”的手段,达到黑客们想要的目的;一个是“主攻”后门,期望利用这些端口插入一些病毒文件。

第一类 较大权限

重点关注以下端口:

TCP 20(提权、远程执行),21(提权、远程执行),22(文件传输、中间人攻击),23(远程登录),3306(SQL注入),3389(远程执行),8069(远程执行,SQL注入)

第二类 木马攻击

重点关注以下端口:

TCP 135(蠕虫病毒),137(蠕虫病毒),139(蠕虫病毒),445(永恒之蓝)

UDP 1434(缓冲区溢出攻击)

下附网上找到的详细高危端口及漏洞利用方式:(来源有点乱,不知道最初是谁发的了,有点久了。允许我致敬默默无私的原作者。)

端口

服务

渗透测试

tcp 20,21

FTP(文件传输协议)

允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)

tcp 22

SSH (安全外壳协议

可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等

tcp 23

Telnet 远程终端协议)

爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令

tcp 25

SMTP(简单邮件传输协议)

邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑

tcp/udp 53

DNS(域名系统)

允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控

tcp/udp 69

TFTP (简单文件传送协议

尝试下载目标及其的各类重要配置文件

tcp 80-89,443,8440-8450,8080-8089

各种常用的Web服务端口

可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等……

tcp 110

POP3(邮局协议版本3

可尝试爆破,嗅探

tcp 111,2049

NFS(网络文件系统)

权限配置不当

tcp 137,139,445

SMBNETBIOS协议)

可尝试爆破以及smb自身的各种远程执行类漏洞利用,,ms08-067,ms17-010,嗅探等……

tcp 143

IMAP(邮件访问协议)

可尝试爆破

udp 161

SNMP(简单网络管理协议)

爆破默认团队字符串,搜集目标内网信息

tcp 389

LDAP 轻量目录访问协议

ldap注入,允许匿名访问,弱口令

tcp 512,513,514

Linux rexec (远程登录)

可爆破,rlogin登陆

tcp 873

Rsync (数据镜像备份工具)

匿名访问,文件上传

tcp 1194

OpenVPN(虚拟专用通道)

想办法钓VPN账号,进内网

tcp 1352

LotusLotus软件)

弱口令,信息泄漏,爆破

tcp 1433

SQL Server(数据库管理系统)

注入,提权,sa弱口令,爆破

tcp 1521

Oracle(甲骨文数据库)

tns爆破,注入,shell…

tcp 1500

ISPmanager 主机控制面板)

弱口令

tcp 1723

PPTP(点对点隧道协议

爆破,想办法钓VPN账号,进内网

tcp 2082,2083

cPanel (虚拟机控制系统

弱口令

tcp 2181

ZooKeeper(分布式系统的可靠协调系统

未授权访问

tcp 2601,2604

Zebra zebra路由)

默认密码zerbra

tcp 3128

Squid (代理缓存服务器)

弱口令

tcp 3312,3311

kangleweb服务器)

弱口令

tcp 3306

MySQL(数据库)

注入,提权,爆破

tcp 3389

Windows rdp(桌面协议)

shift后门[需要03以下的系统],爆破,ms12-020

tcp 3690

SVN(开放源代码的版本控制系统)

svn泄露,未授权访问

tcp 4848

GlassFish(应用服务器)

弱口令

tcp 5000

Sybase/DB2(数据库)

爆破,注入

tcp 5432

PostgreSQL(数据库)

爆破,注入,弱口令

tcp 5900,5901,5902

VNC(虚拟网络控制台,远控)

弱口令爆破

tcp 5984

CouchDB(数据库)

未授权导致的任意指令执行

tcp 6379

Redis(数据库)

可尝试未授权访问,弱口令爆破

tcp 7001,7002

WebLogicWEB应用系统)

Java反序列化,弱口令

tcp 7778

Kloxo(虚拟主机管理系统)

主机面板登录

tcp 8000

AjentiLinux服务器管理面板)

弱口令

tcp 8443

Plesk(虚拟主机管理面板)

弱口令

tcp 8069

Zabbix (系统网络监视)

远程执行,SQL注入

tcp 8080-8089

Jenkins,JBoss (应用服务器)

反序列化,控制台弱口令

tcp 9080-9081,9090

WebSphere(应用服务器)

Java反序列化/弱口令

tcp 9200,9300

ElasticSearch Lucene的搜索服务器)

远程执行

tcp 11211

Memcached(缓存系统)

未授权访问

tcp 27017,27018

MongoDB(数据库)

爆破,未授权访问

tcp 50070,50030

Hadoop(分布式文件系统)

默认端口未授权访问

附常见病毒及利用端口:

病毒名称

病毒特征

使用端口

W32.Nachi.Worm(MyDoom.A,MyDoom.B)

系统重启

udp69

tcp135

W32.Blaster.Worm蠕虫病毒

系统自动重启

tcp4444

udp69

tcp135

Dvldr32 蠕虫病毒

利用几种Windows系统弱口令漏洞在网络上大面积传播的一种破坏力很强的蠕虫病毒

tcp5800

tcp5900

tcp445

tcp6667

W32.SQLExp.Worm蠕虫病毒

针对SQL_SERVER_2000的漏洞,该蠕虫发送了大量针对1434端口的udp协议包,导致网络堵塞,甚至瘫痪

udp1434

震荡波(Worm.Sasser)

病毒也是通过系统漏洞进行传播的,感染了病毒的电脑会出现系统反复重启、机器运行缓慢,出现系统异常的出错框等现象。

5554

冲击波(Worm.Blaster

病毒利用的是系统的RPC 漏洞,病毒攻击系统时会使RPC服务崩溃,该服务是Windows操作系统使用的一种远程过程调用协议

69

135

4444

“Sasser”的蠕虫病毒

“Sasser”蠕虫病毒使用多个进程扫描不同范围的互联网地址,试图在445端口上发现易感的”LSASS组件。

9996

5554

139

Worm.DvLdr蠕虫

该蠕虫主要攻击系统为NT/2000平台,通过探测445端口方式穷举管理员密码,并殖入一个后门程序使得该机器的安全性降低到0

445

Win32.Rbot蠕虫

一种利用IRC控制后门的病毒(或称bot),未经授权可以进入受感染的机器。它也具有类似蠕虫的功能,可以通过弱口令进入共享,并利用系统漏洞进行传播,同时可以利用其它的恶意程序生成的后门进行传播。

tcp139

tcp445

Win32.Lioten.KX蠕虫

是一种通过网络共享并利用系统漏洞进行传播的蠕虫。

tcp135

tcp139

tcp445

Worm.NetKiller2003蠕虫

如果感染该蠕虫病毒后网络带宽大量被占用,最终导致网络瘫痪。该蠕虫病毒是利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击的。

udp1434

Kibuv.B

可突破多个安全漏洞,除能突破“Sasser”蠕虫突破的“LSASS安全漏洞之外,还能突破消息服务安全漏洞“IIS 5.0 WebDAV安全漏洞“RPC接口缓冲区溢出安全漏洞通用即插即用(UPnP) 服务安全漏洞

tcp5000

狙击波(Worm.Zotob.A)

?? 该病毒利用了89日微软发布的即插即用中的漏洞(MS05-039),在微软发布安全公告后短短的5天之内即出现该蠕虫,表明病毒作者利用漏洞的能力越来越强。用户电脑感染了该病毒之后,在某些情况下会出现系统频繁重启的现象。同时,该病毒会在用户电脑上开设后门,方便黑客对其进行远程控制。

tcp445

Backdoor/SdBot.ce

通过局域网传播,尝试打开139445端口盗取系统信息。该病毒及其变种一般经过UPXPeCompact压缩,它执行时从图标上看很像是Windows XP系统的更新文件。

tcp139

tcp445

Trojan.Helemoo

个木马病毒,该病毒长度 7331 字节,感染Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP系统,它使用微软IE DHTML对象内存

溢出漏洞传播和破坏

tcp28876

PS:

本人小学鸡,还是希望各位大佬多多包涵,有些不对的地方,还希望能够“语言温柔”的表达出来,大家共同成长和进步。?

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-08-27 12:13:42  更:2021-08-27 12:14:55 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 21:07:04-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计