一些常见端口总结
整理下渗透中一些常见的端口
端口
广义方面理解电脑端口大概分为三类:公认端口、注册端口、动态或私有端口。
公认端口(0-1023)
主要用来绑定一些系统种固定的应用服务,比如之前的WannaCry利用的445端口,它其实是用于局域网内信息流通数据的端口,通俗一点就是用于文及打印共享的,算是黑客最喜欢的端口之一。
注册端口(1024-49151)
松散使用的服务端口,动态使用。
动态或私有端口(49512-65535)
理论上可以不存在的,不过很多厂商还是在一些特定的应用里任性使用,比如一些路由器、IOT类产品的调试。
建议在为客户运维时BAN的端口
| 端口号 | 功能及注意事项 |
|---|---|
| 69 | TFTP小型文件传输协议使用的端口。 |
| 135 | RPC远程过程调用使用的端口号,可以用来远程代码执行。 |
| 137、138、139 | NETBIOS协议应用,在局域网中提供计算机的名字或IP地址查询服务以及文件共享服务,主要用为共享开放的。 |
| 445 | 上面说了用于文及打印共享服务的端口。 |
| 593 | 和135其实有点像,DCOM使用的端口号,也可以用来使用远程代码执行。 |
| 1025 | 互联网信息服务应用端口,曾被NetSPY木马利用过。 |
服务运维需要注意的端口
| 端口 | 功能及注意事项 |
|---|---|
| 110 | 用于POP3邮件服务器使用端口,需要就做访问限制,不需要就关 |
| 123 | 网络时间协议(NTP),某些老蠕虫病毒曾利用过这个端口 |
| 1900 | SDP Discovery Service服务,关了可以勉强防止DDOS |
| 3306 | MySQL数据库通信的默认端口,建议更改为其他端口,不对外开放或仅对个别信任地址开放 |
| 1433、1434 | MSSQL数据库通信的默认端口,建议同3306 |
| 2638、5000、4100 | Sybase数据库通信的默认端口,建议同3306 |
| 1521 | Oracle数据库通信的默认端口,建议同3306 |
远程类
| 端口 | 功能及注意事项 |
|---|---|
| 21 | FTP服务端口,改成动态端口,做访问控制 |
| 22 | SSH远程管理的默认端口,可利用远程执行代码、暴力密码破解、以及DDOS攻击,建议保持SSH版本为最新版本,更改成其他端口号,增强账户登录密码强度或更换为密钥登录,做访问控制 |
| 23 | Telnet远程管理默认端口,没啥特殊用途就索性关了吧 |
| 3389 | RDP远程桌面端口,建议同21 |
| 4899 | Radmin软件远程管理通信端口,建议同21 |
| 5631 | pcanywhere软件远程管理通信端口,建议同21 |
| 5900、5901 | VNC软件远程管理通信端口,建议同21 |
| 6000 | X-windows软件远程管理通信端口,建议同21 |
常见的默认端口
1、web类(web漏洞/敏感目录)
第三方通用组件漏洞: struts thinkphp jboss ganglia zabbix …
| 端口 | 功能及注意事项 |
|---|---|
| 80 | web |
| 80-89 | web |
| 8000-9090 | web |
2、数据库类(扫描弱口令)
| 端口 | 功能及注意事项 |
|---|---|
| 1433 | MSSQL |
| 1521 | Oracle |
| 3306 | MySQL |
| 5432 | PostgreSQL |
| 50000 | DB2 |
3、特殊服务类(未授权/命令执行类/漏洞)
| 端口 | 功能及注意事项 |
|---|---|
| 443 | SSL心脏滴血 |
| 445 | ms08067/ms11058/ms17010等 |
| 873 | Rsync未授权 |
| 5984 | CouchDB http://xxx:5984/_utils/ |
| 6379 | redis未授权 |
| 7001,7002 | WebLogic默认弱口令,反序列 |
| 9200,9300 | elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞 |
| 11211 | memcache未授权访问 |
| 27017,27018 | Mongodb未授权访问 |
| 50000 | SAP命令执行 |
| 50070,50030 | hadoop默认端口未授权访问 |
4、常用端口类(扫描弱口令/端口爆破)
| 端口 | 功能及注意事项 |
|---|---|
| 21 | ftp |
| 22 | SSH |
| 23 | Telnet |
| 445 | SMB弱口令扫描、MS08-067、MS17-010 |
| 2601,2604 | zebra路由,默认密码zebra |
| 3389 | 远程桌面 |
5、端口合计所对应的服务
| 端口 | 功能及注意事项 |
|---|---|
| 21 | ftp |
| 22 | SSH |
| 23 | Telnet |
| 25 | SMTP |
| 53 | DNS |
| 69 | TFTP |
| 80 | web |
| 80-89 | web |
| 110 | POP3 |
| 135 | RPC |
| 139 | NETBIOS |
| 143 | IMAP |
| 161 | SNMP |
| 389 | LDAP |
| 443 | SSL心脏滴血以及一些web漏洞测试 |
| 445 | SMB |
| 512,513,514 | Rexec |
| 873 | Rsync未授权 |
| 1025,111 | NFS |
| 1080 | socks |
| 1158 | ORACLE EMCTL2601,2604 zebra路由,默认密码zebra案 |
| 1433 | MSSQL (暴力破解) |
| 1521 | Oracle:(iSqlPlus Port:5560,7778) |
| 2082/2083 | cpanel主机管理系统登陆 (国外用较多) |
| 2222 | DA虚拟主机管理系统登陆 (国外用较多) |
| 2601,2604 | zebra路由,默认密码zebra |
| 3128 | squid代理默认端口,如果没设置口令很可能就直接漫游内网了 |
| 3306 | MySQL (暴力破解) |
| 3312/3311 | kangle主机管理系统登陆 |
| 3389 | 远程桌面 |
| 3690 | svn |
| 4440 | rundeck 参考WooYun: 借用新浪某服务成功漫游新浪内网 |
| 4848 | GlassFish web中间件 弱口令:admin/adminadmin |
| 5432 | PostgreSQL |
| 5900 | vnc |
| 5984 | CouchDB http://xxx:5984/_utils/ |
| 6082 | varnish 参考WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网 |
| 6379 r | edis未授权 |
| 7001,7002 | WebLogic默认弱口令,反序列 |
| 7778 | Kloxo主机控制面板登录 |
| 8000-9090 | 都是一些常见的web端口,有些运维喜欢把管理后台开在这些非80的端口上 |
| 8080 | tomcat/WDCd/ 主机管理系统,默认弱口令 |
| 8080,8089,9090 | JBOSS |
| 8081 | Symantec AV/Filter for MSE |
| 8083 | Vestacp主机管理系统 (国外用较多) |
| 8649 | ganglia |
| 8888 | amh/LuManager 主机管理系统默认端口 |
| 9000 | fcgi fcig php执行 |
| 9043 | websphere[web中间件] 弱口令: admin/admin websphere/ websphere ststem/manager |
| 9200,9300 | elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞 |
| 10000 | Virtualmin/Webmin 服务器虚拟主机管理系统 |
| 11211 | memcache未授权访问 |
| 27017,27018 | Mongodb未授权访问 |
| 28017 | mongodb统计页面 |
| 50000 | SAP命令执行 |
| 50060 | hadoop |
| 50070 50030 | hadoop默认端口未授权访问 |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Sp4ce's Blog!
评论