端口扫描介绍及使用(学习笔记)
一 端口类型及作用
- 周知端口:众所周知的端口,范围为:0-1023 ,如 80时www服务的端口
- 动态端口:一般不固定分配某种服务,范围为:49152-65535
- 注册端口:用于分配给用户进程或程序,范围为:10224-49151
作用:端口的作用就是在网络中实现不同应用之间的分离与区分 。
二 常用的渗透端口
ftp协议
ssh 22
telnet 23
SMTP 24/465
www 80
NetBIOS SessionService 139/445
139用于提供windows文件和打印机共享及UNIX中的Samba服务。
445用于提供windows文件和打印机共享
(1)对于开放139/445端口,尝试利用MS17010溢出漏洞进行攻击;
(2)对于只开放445端口,尝试利用MS06040、MS08067溢出漏洞攻击;
(3)利用IPC$连接进行渗透
mysql 3306
3306是MYSQL数据库默认的监听端口
(1)mysql弱口令破解
(2)弱口令登录mysql,上传构造的恶意UDF自定义函数代码,通过调用注册的恶意函数执行系统命令
(3) SQL注入获取数据库敏感信息,load_fileO函数读取系统文件,导出恶意代码到指定路径
rdp 3389
3389是windows远程桌面服务默认监听的端口
(1) RDP暴力破解攻击
(2)MS12_020死亡蓝屏攻击
(3) RDP远程桌面漏洞(CVE-2019-0708)
(4) MSF开启RDP、注册表开启RDP
redis 6379
开源的可基于内存的可持久化的日志型数据库。
(1)爆破弱口令
(2) redis未授权访问结合ssh key提权(3)主从复制rce
Weblogic-7001
(1)弱口令、爆破,弱密码一般为weblogic/Oracle@123 or weblogic
(2)管理后台部署 war包后门
(3) weblogic SSRF
(4)反序列化漏洞
Tomcat-8080
(1) Tomcat远程代码执行漏洞(CVE-2019-0232)
(2) Tomcat任意文件上传(CVE-2017-12615)
(3) tomcat 管理页面弱口令getshell
三 端口扫描工具-NMAP
https://nmap.org/man/zh/
nmap的功能介绍
- 检测网络存活主机(主机发现)
- 检测主机开放端口(端口发现或枚举)
- 检测相应端口软件(服务发现)版本
- 检测操作系统,硬件地址,以及软件版本
- 检测脆弱性的漏洞(nmap的脚本)
nmap端口状态(前3种常用)
| Open | 端口开启,数据有到达主机,有程序在端口上监控 |
| Closed | 端口关闭,数据有到达主机,没有程序在端口上监控 |
| Filtered | 数据没有到达主机,返回的结果为空,数据被防火墙或IDS过滤 |
| UnFiltered | 数据有到达主机,但是不能识别端口的当前状态 |
| Open Filtered | 端口没有返回值,主要发生在UDP、IP、FIN、NULL和Xmas扫描中 |
| Closed Filtered | 只发生在IPID idle扫描 |
NMAP用法基础
nmар -А -Т4 192.168.1.1
A:全面扫描\综合扫描
T4:扫描速度,共有6级,T0-T5
不加端口,扫描默认端口(周知端口),1-1024+nmap-service
- T0(偏执的)非常慢的扫描,用于IDS逃避.
- T1(鬼崇的)线緩缓慢的扫描,用于IDS逃避.
- T2(文雅的);降低速度以降低对带宽的消耗,此选项一般不常用.
- T3(普通的):默认,根据目标的反应自动调整时间.
- T4(野蜜的);快速扫描,常用扫描方式,需要在很好的网络环境下进行扫描,请求可能会淹没目标.
- TS(疯狂的);急速扫猫,这种扫描方式以栖往准确度来提升扫描速度.
| 扫描类型 | Nmap命令示例 |
|---|---|
| 单一主机扫描 | nmap 192.168.1.2 |
| 子网扫描 | nmap 192.168.1.1/24 |
| 多主机扫描 | nmap 192.168.1.1 192.168.1.10 |
| 主机范围扫描 | nmap 192.168.1.1-100 |
| IP地址列表扫描 |
|
| 扫描除指定IP外的所有子网主机 | nmap 192.168.1.1/24 --exclude 192.168.1.1 |
| 扫描除文件中IP外的子网主机 | nmap 192.168.1.1/24 --excludefile xxx.txt |
| 扫描特定主机上的80,21,23端口 | nmap -p 80,21,23 192.168.1.1 |
扫描全部端口:nmap -sS -v-T4 -Pn ip 0-65535 -oN FullTCP -iL liveHosts.txt
# Nmap 全端口 TCP 扫描命令详解## 完整命令
`nmap -sS -v -T4 -Pn ip 0-65535 -oN FullTCP.txt -iL liveHosts.txt`## 参数解析1. **-sS (SYN 扫描)**:- TCP半开放扫描,不完成完整的三次握手- 发送SYN包后,收到SYN/ACK响应即确认端口开放- 相比全连接扫描(-sT)更隐蔽且高效- 示例:对开放端口会收到SYN/ACK,关闭端口收到RST2. **-v (详细输出)**:- 显示扫描过程中的详细信息- 可重复使用(-vv)获得更详细输出- 输出内容包括:发现的开放端口、扫描进度等3. **-T4 (时序模板)**:- 使用"激进"扫描速度(共6级,T0最慢)- 适合高速网络环境- 可能触发IDS/IPS但扫描速度快4. **-Pn (跳过主机发现)**:- 假设所有目标主机都在线- 不进行ICMP ping检测- 适用于防火墙屏蔽ping的情况5. **ip 0-65535**:- 扫描所有65535个TCP端口- 可替换为具体IP或CIDR范围(如192.168.1.0/24)- 完整端口扫描确保不遗漏任何服务6. **-oN FullTCP.txt**:- 将结果输出到文本文件- 保存格式为标准Nmap格式- 方便后续分析和报告生成7. **-iL liveHosts.txt**:- 从文件读取目标主机列表- 文件应包含IP地址或主机名(每行一个)- 适用于批量扫描预确认的存活主机## 典型应用场景1. **渗透测试初期**:- 对已确认存活的目标进行全面端口探测- 识别所有可能的服务入口点2. **网络资产清查**:- 配合主机发现结果进行深度扫描- 建立完整的服务清单3. **安全审计**:- 检测未经授权的开放服务- 发现配置不当的防火墙规则## 注意事项1. 需要root/管理员权限运行SYN扫描
2. 企业网络中使用前应获得授权
3. 可能产生大量网络流量
4. 对目标系统有一定侵入性
5. 建议在非业务高峰期执行探测存活主机:
nmap -sn -v -T4 -oG Discovery.gnmap 192.168.210.0/24 注意:sn=sp
grep "Status: Up" Discovery.gnmap | cut-f2 -d''> liveHosts.txt
cat liveHosts.txt
参数解析:
-sn:执行Ping扫描(禁用端口扫描)-v:启用详细输出模式-T4:设置时间模板为激进模式(加快扫描速度)-oG:生成Grepable格式输出文件- 192.168.210.0/24:目标网络(254个IP地址的C类网络)
处理流程:
grep过滤含"Status: Up"的行(在线主机)cut命令提取第二个字段(IP地址)-d' '指定空格作为字段分隔符- 最终结果重定向到liveHosts.txt
扫描常用端口及服务信息
nmap -sS-T4 -Pn -OG TopTCP -iL LiveHosts.txt
系统扫描:nmap -O-T4 -Pn -OG OSDetect -iL LiveHosts.txt
版本检测:nmap -SV -T4 -Pn -OG ServiceDetect - iL LiveHosts.txt