一些常见端口总结
整理下渗透中一些常见的端口
端口
广义方面理解电脑端口大概分为三类:公认端口、注册端口、动态或私有端口。
公认端口(0-1023)
主要用来绑定一些系统种固定的应用服务,比如之前的WannaCry利用的445端口,它其实是用于局域网内信息流通数据的端口,通俗一点就是用于文及打印共享的,算是黑客最喜欢的端口之一。
注册端口(1024-49151)
松散使用的服务端口,动态使用。
动态或私有端口(49512-65535)
理论上可以不存在的,不过很多厂商还是在一些特定的应用里任性使用,比如一些路由器、IOT类产品的调试。
建议在为客户运维时BAN的端口
端口号 | 功能及注意事项 |
---|---|
69 | TFTP 小型文件传输协议使用的端口。 |
135 | RPC 远程过程调用使用的端口号,可以用来远程代码执行。 |
137、138、139 | NETBIOS 协议应用,在局域网中提供计算机的名字或IP地址查询服务以及文件共享服务,主要用为共享开放的。 |
445 | 上面说了用于文及打印共享服务的端口。 |
593 | 和135其实有点像,DCOM 使用的端口号,也可以用来使用远程代码执行。 |
1025 | 互联网信息服务应用端口,曾被NetSPY 木马利用过。 |
服务运维需要注意的端口
端口 | 功能及注意事项 |
---|---|
110 | 用于POP3 邮件服务器使用端口,需要就做访问限制,不需要就关 |
123 | 网络时间协议(NTP ),某些老蠕虫病毒曾利用过这个端口 |
1900 | SDP Discovery Service 服务,关了可以勉强防止DDOS |
3306 | MySQL 数据库通信的默认端口,建议更改为其他端口,不对外开放或仅对个别信任地址开放 |
1433、1434 | MSSQL 数据库通信的默认端口,建议同3306 |
2638、5000、4100 | Sybase 数据库通信的默认端口,建议同3306 |
1521 | Oracle 数据库通信的默认端口,建议同3306 |
远程类
端口 | 功能及注意事项 |
---|---|
21 | FTP服务端口,改成动态端口,做访问控制 |
22 | SSH远程管理的默认端口,可利用远程执行代码、暴力密码破解、以及DDOS 攻击,建议保持SSH版本为最新版本,更改成其他端口号,增强账户登录密码强度或更换为密钥登录,做访问控制 |
23 | Telnet远程管理默认端口,没啥特殊用途就索性关了吧 |
3389 | RDP远程桌面端口,建议同21 |
4899 | Radmin软件远程管理通信端口,建议同21 |
5631 | pcanywhere软件远程管理通信端口,建议同21 |
5900、5901 | VNC软件远程管理通信端口,建议同21 |
6000 | X-windows软件远程管理通信端口,建议同21 |
常见的默认端口
1、web类(web漏洞/敏感目录)
第三方通用组件漏洞: struts thinkphp jboss ganglia zabbix …
端口 | 功能及注意事项 |
---|---|
80 | web |
80-89 | web |
8000-9090 | web |
2、数据库类(扫描弱口令)
端口 | 功能及注意事项 |
---|---|
1433 | MSSQL |
1521 | Oracle |
3306 | MySQL |
5432 | PostgreSQL |
50000 | DB2 |
3、特殊服务类(未授权/命令执行类/漏洞)
端口 | 功能及注意事项 |
---|---|
443 | SSL心脏滴血 |
445 | ms08067/ms11058/ms17010等 |
873 | Rsync未授权 |
5984 | CouchDB http://xxx:5984/_utils/ |
6379 | redis未授权 |
7001,7002 | WebLogic默认弱口令,反序列 |
9200,9300 | elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞 |
11211 | memcache未授权访问 |
27017,27018 | Mongodb未授权访问 |
50000 | SAP命令执行 |
50070,50030 | hadoop默认端口未授权访问 |
4、常用端口类(扫描弱口令/端口爆破)
端口 | 功能及注意事项 |
---|---|
21 | ftp |
22 | SSH |
23 | Telnet |
445 | SMB弱口令扫描、MS08-067、MS17-010 |
2601,2604 | zebra路由,默认密码zebra |
3389 | 远程桌面 |
5、端口合计所对应的服务
端口 | 功能及注意事项 |
---|---|
21 | ftp |
22 | SSH |
23 | Telnet |
25 | SMTP |
53 | DNS |
69 | TFTP |
80 | web |
80-89 | web |
110 | POP3 |
135 | RPC |
139 | NETBIOS |
143 | IMAP |
161 | SNMP |
389 | LDAP |
443 | SSL心脏滴血以及一些web漏洞测试 |
445 | SMB |
512,513,514 | Rexec |
873 | Rsync未授权 |
1025,111 | NFS |
1080 | socks |
1158 | ORACLE EMCTL2601,2604 zebra路由,默认密码zebra案 |
1433 | MSSQL (暴力破解) |
1521 | Oracle:(iSqlPlus Port:5560,7778) |
2082/2083 | cpanel主机管理系统登陆 (国外用较多) |
2222 | DA虚拟主机管理系统登陆 (国外用较多) |
2601,2604 | zebra路由,默认密码zebra |
3128 | squid代理默认端口,如果没设置口令很可能就直接漫游内网了 |
3306 | MySQL (暴力破解) |
3312/3311 | kangle主机管理系统登陆 |
3389 | 远程桌面 |
3690 | svn |
4440 | rundeck 参考WooYun: 借用新浪某服务成功漫游新浪内网 |
4848 | GlassFish web中间件 弱口令:admin/adminadmin |
5432 | PostgreSQL |
5900 | vnc |
5984 | CouchDB http://xxx:5984/_utils/ |
6082 | varnish 参考WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网 |
6379 r | edis未授权 |
7001,7002 | WebLogic默认弱口令,反序列 |
7778 | Kloxo主机控制面板登录 |
8000-9090 | 都是一些常见的web端口,有些运维喜欢把管理后台开在这些非80的端口上 |
8080 | tomcat/WDCd/ 主机管理系统,默认弱口令 |
8080,8089,9090 | JBOSS |
8081 | Symantec AV/Filter for MSE |
8083 | Vestacp主机管理系统 (国外用较多) |
8649 | ganglia |
8888 | amh/LuManager 主机管理系统默认端口 |
9000 | fcgi fcig php执行 |
9043 | websphere[web中间件] 弱口令: admin/admin websphere/ websphere ststem/manager |
9200,9300 | elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞 |
10000 | Virtualmin/Webmin 服务器虚拟主机管理系统 |
11211 | memcache未授权访问 |
27017,27018 | Mongodb未授权访问 |
28017 | mongodb统计页面 |
50000 | SAP命令执行 |
50060 | hadoop |
50070 50030 | hadoop默认端口未授权访问 |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Sp4ce's Blog!
评论