端口类型:
(1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。
(2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
(3)动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始 。
网络安全设备建议禁止的端口:主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。
其他端口按需进行封禁。
高危端口详细说明,如下:
tcp 20,21:
端口说明:FTP服务(文件传输协议)。渗透测试:允许匿名上传下载、爆破、嗅探、win提取、远程执行,以及各类后门程序(backdoor)。
tcp 22:
端口说明:SSH服务(安全外壳协议)。渗透测试:容易受到中间人攻击和黑客利用收集到的信息尝试爆破(ssh隧道、内网代理转发、文件传输等等)。
tcp 23:
端口说明:Telnet服务(远程终端协议)。渗透测试:爆破、嗅探,一般用于路由器和交换机登录(弱口令密码最容易被破解)。
tcp 25:
端口说明:SMTP服务(简单邮件传输协议)。渗透测试:邮件伪造,vrfy/expn命令查询邮件用户信息,可使用smtp-user-enum工具来自动跑。
tcp/udp 53:
端口说明:DNS(域名系统)。渗透测试:DNS溢出、远程代码执行、允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控。
tcp/udp 69:
端口说明:TFTP服务(简单文件传输系统)。渗透测试:尝试下载目标及其的各类重要配置文件。
tcp 80-89、443、8440-8450,8080-8089:
端口说明:各种常用的web服务端口。渗透测试:可尝试经典的top n、 VPN、 owa、 webmail,目标oa,各类java控制台,各类服务器web管理面板,各类web中间件漏洞利用,各类web框架漏洞利用等等。
tcp 110:
端口说明:POP3服务(邮件协议版本3)。渗透测试:可尝试爆破、嗅探。
tcp 111,2049:
端口说明:NFS服务(网络文件系统)。渗透测试:权限配置不当。
tcp 135:
端口说明:实际上是一个WINNT漏洞,开放的135的端口情况容易引起自外部的”Snork”攻击。
tcp 137,139,445:
端口说明:SMB(NETBIOS协议)。渗透测试:可尝试爆破以及smb自身的各种远程执行类漏洞利用。SMB(137);smb、嗅探(139);ms17-010、ms08-067(445)。
另外,
139端口:NetBIOS提供服务的tcp端口;
445端口:用来传输文件和NET远程管理,端口漏洞:黑客喜欢扫描扫描的漏洞,也是震荡病毒扫描的。
tcp 389:
端口说明:LDAP服务(轻量目录访问协议)。渗透测试:LDAP注入、匿名访问、弱口令。
tcp 512,513,514:
端口说明:linuxrexec服务(远程登录)。渗透测试:可爆破,rlogin登录。
tcp 554:
端口说明:554端口默认情况下用于“Real Time Streaming Protocol”(实时流协议,简称RTSP)。端口漏洞:目前,RTSP协议所发现的漏洞主要就是RealNetworks早期发布的Helix Universal Server存在缓冲区溢出漏洞,相对来说,使用的554端口是安全的。
tcp 873:
端口说明:Rsync服务(数据镜像备份工具)。渗透测试:匿名访问,文件上传。
tcp 1029,20168:
端口说明:这两个端口是lovgate蠕虫所开放的后门端口。
tcp 1080:
端口说明:1080端口是Socks代理服务使用的端口,大家平时上网使用的WWW服务使用的是HTTP协议的代理服务。
tcp 1194:
端口说明:Open VPN服务(虚拟专用通道)。渗透测试:想办法钓VPN账号,进内网。
tcp 1352:
端口说明:Lotus服务(Lotus软件)。渗透测试:弱口令,信息泄漏,爆破。
tcp 1433:
端口说明:SQL Server服务(数据库管理系统)。渗透测试:注入,提权,sa弱口令,爆破。
tcp 1500:
端口说明:ISPmanager服务(主机控制面板)。渗透测试:弱口令。
tcp 1723:
端口说明:PPTP服务(点对点隧道协议)。渗透测试:爆破,想办法钓VPN账号,进内网。
tcp 2082、2083:
端口说明:cPanel服务(虚拟机控制系统)。渗透测试:弱口令。
tcp 2181:
端口说明:Zookeeper服务(分布式系统的可靠协调系统)。渗透测试:未授权访问。
tcp 2601、2604:
端口说明:Zebra服务(zebra路由)。渗透测试:Zebra 默认密码zerbra。
tcp 3000:
端口说明:grafan默认使用的端口。
tcp 3128:
端口说明:Squod服务(代理缓存服务器)。渗透测试:弱口令。
tcp 3306:
端口说明:MySQL服务(数据库)。渗透测试:注入,提取,爆破。
tcp 3312,3311:
端口说明:kangle服务(web服务器)。渗透测试:弱口令。
tcp 3389:
端口说明: window rdp服务(远程桌面协议)。渗透测试:ms12-020、Windows rdp shift后门[需要03以下的系统]、爆破。
首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。
tcp 3690:
端口说明:SVN服务(开放源代码的版本控制系统)。渗透测试:svn泄露,未授权访问。
tcp 4000:
端口说明:4000端口是用于大家经常使用的qq聊天工具的,再细说就是为qq客户端开放的端口,qq服务端使用的端口是8000。
tcp 4848:
端口说明:GlassFish服务(应用服务器)。渗透测试:弱口令。
tcp 4899:
端口说明: 首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的.
tcp 5000:
端口说明:Flask、Sybase/DB2服务(数据库)。渗透测试:爆破,注入。
tcp 5432:
端口说明:postgresql 服务(数据库)。渗透测试:爆破,注入,弱口令。
tcp 5554:
端口说明:一种针对微软lsass服务的新蠕虫病毒——震荡波(Worm.Sasser),该病毒可以利用TCP 5554端口开启一个FTP服务,主要被用于病毒的传播。
tcp 5632:
端口说明:5632端口是被大家所熟悉的远程控制软件pcAnywhere所开启的端口,分TCP和UDP两种,通过该端口可以实现在本地计算机上控制远程计算机,查看远程计算机屏幕,进行文件传输,实现文件同步传输。
tcp 5900,5901,5902 :
端口说明:VNC服务(虚拟网络控制台,远程控制)。渗透测试:弱口令爆破 VNC提权。
tcp 5984:
端口说明:couchdb数据库。渗透测试:未授权导致任意指令执行。
tcp 5985,5986:
端口说明:WinRM代表Windows远程管理,是一种允许管理员远程执行系统管理任务的服务。通过HTTP(5985)或HTTPS SOAP(5986)执行通信,默认情况下支持Kerberos和NTLM身份验证以及基本身份验证。使用此服务需要管理员级别凭据。
tcp 6379:
端口说明:redis服务(数据库)。渗透测试:未授权访问,弱口令爆破。
tcp 6443:
端口说明:8080是用于接收http请求,6443用于接收https请求。
tcp 7001:
端口说明:weblogic、websphere(web应用系统)。渗透测试:Java反序列化,弱口令
tcp 7002:
端口说明:WebLogic(web应用系统)。渗透测试:Java反序列化,弱口令
tcp 7778:
端口说明:Kloxo服务(虚拟主机管理系统)。渗透测试:主机面板登录。
tcp 8000:
端口说明:Ajenti(linux服务器管理面板)。渗透测试:弱口令。
tcp 8443:
端口说明:Plesk服务(虚拟主机管理面板)。渗透测试:弱口令。
tcp 8069:
端口说明:Zabbix服务(系统网络监视)。渗透测试:远程执行,SQL注入。
tcp 8080-8089:
端口说明:jenkins、GeoServer、Kubernetes、JBOSS、libssh、poodle(应用服务器)。渗透测试:反序列化,控制台弱口令。
tcp 8161:
端口说明:activemq后台弱密码漏洞。
tcp 8180:
端口说明:libssh – cve-2018-10933、JBOSS
tcp 8440-8450,8080-8089:
端口说明:应用服务器端口(可尝试经典的topn,VPN,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏 洞利用,各类Web框架漏洞利用等等……)
tcp 9080-9081,9090:
端口说明:WebSphere(应用服务器)。渗透测试:Java反序列化/弱口令。
tcp 9043 、9443:
端口说明:poodle。
tcp 9200,9300:
端口说明:Elasticsearch(Lucene的搜索服务器)。未授权访问漏洞、elasticsearch远程命令执行、Elasticsearch任意文件读取
tcp 11211:
端口说明:memcache(缓存系统)。渗透测试:未授权访问。
tcp 27017,27018:
端口说明:mongodb(数据库)。渗透测试:爆破,未授权访问。
tcp 43958:
端口说明:Serv-U的本地管理端口
tcp 50070,50030:
端口说明:hadoop(分布式文件系统)。渗透测试:默认端口未授权访问
tcp 61616 :
端口说明:ActiveMQ。activeMQ默认配置下启动会启动8161和61616两个端口,其中8161是mq自带的管理后台的端口,61616是mq服务默认端口 。8161是后台管理系统,61616是给java用的tcp端口。