成为“黑客”前，必须掌握的“网络协议端口”

4899端口是remoteadministrator远程控制软件默认监听的端口，也就是平时常说的radmini影子。radmini目前支持TCP/IP协议，应用十分广泛，在很多服务器上都会看到该款软件的影子。对于此软件的渗透，思路如下：

• radmini同样存在不少弱口令的主机，通过专用扫描器可探测到此类存在漏洞的主机。
• radmini远控的连接密码和端口都是写入到注册表系统中的，通过使用webshell注册表读取功能可读取radmini在注册表的各项键值内容，从而破解加密的密码散列。

(12) 5631端口渗透剖析

5631端口是著名远程控制软件symantecpcanywhere的默认监听端口，同时也是世界领先的远程控制软件。利用此软件，用户可以有效管理计算机并快速解决技术支持问题。由于软件的设计缺陷，使得黑客可随意下载保存连接密码的*.cif文件，通过专用破解软件进行破解。这些操作都必须在拥有一定权限下才可完成，至少通过脚本渗透获得一个webshell。通常这些操作在黑客界被称为pcanywhere提权技术。

(13) 5900端口渗透剖析

5900端口是优秀远程控制软件VNC的默认监听端口，此软件由著名的AT&T的欧洲研究实验室开发的。VNC是在基于unix和linux操作系统的免费的开放源码软件，远程控制能力强大，高效实用，其性能可以和windows和MAC中的任何一款控制软件媲美。对于该端口的渗透，思路如下：

• VNC软件存在密码验证绕过漏洞，此高危漏洞可以使得恶意攻击者不需要密码就可以登录到一个远程系统。
• cain同样支持对VNC的嗅探，同时支持端口修改。
• VNC的配置信息同样被写入注册表系统中，其中包括连接的密码和端口。利用webshell的注册表读取功能进行读取加密算法，然后破解。

(14) 8080端口渗透剖析

8080端口通常是apache_Tomcat服务器默认监听端口，apache是世界使用排名第一的web服务器。国内很多大型系统都是使用apache服务器，对于这种大型服务器的渗透，主要有以下方法：

• apache tomcatUTF-8目录遍历漏洞，tomcat处理请求中的编码时存在漏洞，如果在context.xml或server.xml中将allowlinking设置为true，且连接器配置为URIEncoding=UTF-8，若黑客向apache提交恶意请求就可以通过目录遍历攻击读取服务器上的任意文件，包括/etc/passwd等
• apache后台弱口令漏洞，黑客可使用专用扫描器探测此类漏洞。
• JSP爆源码漏洞，对于一些旧版本的tomcat，黑客通过提交一些注入.jsP.Jsp等，尝试找源码代码和目录文件。查找上传文件，直接上传他们的JSP脚本后门。
• apache在windows环境下是以系统权限启动的，JSP的脚本同样继承了该权限，可直接执行任意系统命令。

3. 最后我们如何保护好自己的端口

电脑开放了过多端口，担心其中就有后门程序的端口，担心被渗透怎么办? 那么只要做好下面几点就行了：

• 查看：经常用命令或软件查看本地所开放的端口，看是否有可疑端口;
• 判断：如果开放端口中有你不熟悉的，应该马上查找端口大全或木马常见端口等资料，看看里面对你那个可疑端口的作用描述，或者通过软件查看开启此端口的进程来进行判断;
• 限制：如果真是木马端口或者资料中没有这个端口的描述，那么应该关闭此端口，你可以用防火墙来屏蔽此端口，也可以用本地连接-TCP/IP-高级-选项-TCP/IP筛选，启用筛选机制来筛选端口;

限制端口的方法如下：

对于采用windows的用户来说，不需要安装任何其他软件，可以利用"修改组策略"或"TCP/IP筛选功能"限制服务器的端口。

具体设置如下：

（编辑：宿州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!