成为“黑客”前，必须掌握的“网络协议端口”

3306是MYSQL数据库默认的监听端口，通常部署在中型web系统中。在国内LAMP的配置是非常流行的，对于php+mysql构架的攻击也是属于比较热门的话题。mysql数据库允许用户使用自定义函数功能，这使得黑客可编写恶意的自定义函数对服务器进行渗透，最后取得服务器最高权限。对于3306端口的渗透，黑客的方法如下:

• 由于管理者安全意识淡薄，通常管理密码设置过于简单，甚至为空口令。使用破解软件很容易破解此类密码，利用破解的密码登录远程mysql数据库，上传构造的恶意UDF自定义函数代码进行注册，通过调用注册的恶意函数执行系统命令。或者向web目录导出恶意的脚本程序，以控制整个web系统。
• 功能强大的‘cain’同样支持对3306端口的嗅探，同时嗅探也是渗透思路的一种。
• SQL注入同样对mysql数据库威胁巨大，不仅可以获取数据库的敏感信息，还可使用load_file()函数读取系统的敏感配置文件或者从web数据库链接文件中获得root口令等，导出恶意代码到指定路径等。

(10) 3389端口渗透剖析

3389是windows远程桌面服务默认监听的端口，管理员通过远程桌面对服务器进行维护，这给管理工作带来的极大的方便。通常此端口也是黑客们较为感兴趣的端口之一，利用它可对远程服务器进行控制，而且不需要另外安装额外的软件，实现方法比较简单。当然这也是系统合法的服务，通常是不会被杀毒软件所查杀的。使用‘输入法漏洞’进行渗透。

• 对于windows2000的旧系统版本，使用‘输入法漏洞’进行渗透。
• 针对windows2000终端服务的一个密码破解程序，这个程序被微软公司推荐给用户使用，来检查终端服务密码的强壮性。程序使用msrdp空间，可在本地虚拟远程终端连接窗口，通过密码字典进行破解。可以指定多种参数，使用比较灵活，破解速度视攻击主机与被攻击主机网络带宽来定。稍等下，虚拟机有点卡。我们先看第三种方法吧。
• cain是一款超级的渗透工具，同样支持对3389端口的嗅探。
• 映像劫持与shift粘贴键的配合使用。通常安全人员配置服务器安全时，都会考虑使用功能强大的组策略。比如阻止非法攻击者执行cmd命令和拒绝非授权远程登录用户等(关于组策略的详细设置方法我们已经在信息系统安全工程师课程做了详细的讲解)，即使你拥有管理员权限同样不能进行登录。黑客突破组策略的秘籍就在3389登录框这里，也就是映像劫持与shift粘贴键的配合使用，调出任务管理器然后在任务管理器中打开组策略编辑器，这里可根据实际情侣进行修改了。
• 社会工程学通常是最可怕的攻击技术，如果管理者的一切习惯和规律被黑客摸透的话，那么他管理的网络系统会因为他的弱点被渗透。

(11) 4899端口渗透剖析

4899端口是remoteadministrator远程控制软件默认监听的端口，也就是平时常说的radmini影子。radmini目前支持TCP/IP协议，应用十分广泛，在很多服务器上都会看到该款软件的影子。对于此软件的渗透，思路如下：

• radmini同样存在不少弱口令的主机，通过专用扫描器可探测到此类存在漏洞的主机。
• radmini远控的连接密码和端口都是写入到注册表系统中的，通过使用webshell注册表读取功能可读取radmini在注册表的各项键值内容，从而破解加密的密码散列。

(12) 5631端口渗透剖析

5631端口是著名远程控制软件symantecpcanywhere的默认监听端口，同时也是世界领先的远程控制软件。利用此软件，用户可以有效管理计算机并快速解决技术支持问题。由于软件的设计缺陷，使得黑客可随意下载保存连接密码的*.cif文件，通过专用破解软件进行破解。这些操作都必须在拥有一定权限下才可完成，至少通过脚本渗透获得一个webshell。通常这些操作在黑客界被称为pcanywhere提权技术。

(13) 5900端口渗透剖析

5900端口是优秀远程控制软件VNC的默认监听端口，此软件由著名的AT&T的欧洲研究实验室开发的。VNC是在基于unix和linux操作系统的免费的开放源码软件，远程控制能力强大，高效实用，其性能可以和windows和MAC中的任何一款控制软件媲美。对于该端口的渗透，思路如下：

• VNC软件存在密码验证绕过漏洞，此高危漏洞可以使得恶意攻击者不需要密码就可以登录到一个远程系统。
• cain同样支持对VNC的嗅探，同时支持端口修改。
• VNC的配置信息同样被写入注册表系统中，其中包括连接的密码和端口。利用webshell的注册表读取功能进行读取加密算法，然后破解。

(14) 8080端口渗透剖析

8080端口通常是apache_Tomcat服务器默认监听端口，apache是世界使用排名第一的web服务器。国内很多大型系统都是使用apache服务器，对于这种大型服务器的渗透，主要有以下方法：

• apache tomcatUTF-8目录遍历漏洞，tomcat处理请求中的编码时存在漏洞，如果在context.xml或server.xml中将allowlinking设置为true，且连接器配置为URIEncoding=UTF-8，若黑客向apache提交恶意请求就可以通过目录遍历攻击读取服务器上的任意文件，包括/etc/passwd等
• apache后台弱口令漏洞，黑客可使用专用扫描器探测此类漏洞。
• JSP爆源码漏洞，对于一些旧版本的tomcat，黑客通过提交一些注入.jsP.Jsp等，尝试找源码代码和目录文件。查找上传文件，直接上传他们的JSP脚本后门。
• apache在windows环境下是以系统权限启动的，JSP的脚本同样继承了该权限，可直接执行任意系统命令。

3. 最后我们如何保护好自己的端口

电脑开放了过多端口，担心其中就有后门程序的端口，担心被渗透怎么办? 那么只要做好下面几点就行了：

• 查看：经常用命令或软件查看本地所开放的端口，看是否有可疑端口;
• 判断：如果开放端口中有你不熟悉的，应该马上查找端口大全或木马常见端口等资料，看看里面对你那个可疑端口的作用描述，或者通过软件查看开启此端口的进程来进行判断;
• 限制：如果真是木马端口或者资料中没有这个端口的描述，那么应该关闭此端口，你可以用防火墙来屏蔽此端口，也可以用本地连接-TCP/IP-高级-选项-TCP/IP筛选，启用筛选机制来筛选端口;

限制端口的方法如下：

对于采用windows的用户来说，不需要安装任何其他软件，可以利用"修改组策略"或"TCP/IP筛选功能"限制服务器的端口。

具体设置如下：

（编辑：三门峡站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!