Portas
Segue abaixo uma lista de portas e seus protocolos padrões (Windows e Linux)
No Linux há o arquivo /etc/services que mostra uma lista completa de portas e seus respectivos serviços/protocolos comumente utilizados.
Porta 21 - FTP (File Transfer Protocol)
Protocolo de transferências de dados/arquivos. O FTP não é considerado seguro devido a falta de criptografia, então um atacante pode conseguir pegar a senha de acesso por um MITM. Para contornar isso use sempre o SFTP (SSH + FTP) ou FTPS (FTP + SSL) OBS.: URL's como (ftp.exemplo.com) também pode ser acessada via terminal
Porta 22 - SSH
Este já com criptografia, é o sucessor do Telnet, onde apresenta uma segurança melhor. Geralmente é utilizado por Linux, mas também pode ser um Windows.
O SSH possui um arquivo em ~/.ssh/know_hosts, que contém as chaves para acessar servidores SSH sem precisar de autenticação.
Porta 23 - Telnet
Sistema de comunicação entre hosts via terminal não criptografado. Devido sua baixa segurança, hoje o Telnet foi substituído pelo SSH (Secure Shell). Através do Telnet, podemos facilmente enumerar banner.
Porta 25 - SMTP (Simple Mail Transfer Protocol)
Vários países já estão mudando o padrão SMTP da porta TCP 25 para a porta TCP 587. Considere essa mudança no processo de enumeração.
Porta 43 - Whois
Protocolo específico para consultar informações de um determinado domínio.
Porta 53 - DNS (Domain Name System) - TCP / UDP
Protocolo para resolução de nomes. Um dos principais alvos no mundo hacker, pois realizando transferências de zonas DNS, é possível descobrir todos os hosts da rede interna (hostname e IP), assim como dados HINFO (Host Information Record).
Portas 67/68 - DHCP (UDP)
Porta 69 - TFTP (Trivial File Transfer Protocol)
Protocolo (sem criptografia) totalmente inseguro baseado em UDP para transferências de arquivos de forma rápida e fácil. A premissa para extrair um arquivo de um servidor é que você precisa saber o diretório exato do arquivo. Isso é potencialmente perigoso, pois arquivos padrões como /etc/passwd pode ser baixado facilmente.
Utilize a ferramenta TCP Wrappers para proteger contra ataques a esse protocolo.
Porta 79 - Finger
Serviço do Linux (hoje poucos sistemas mantém ativo) vulnerável que fornece informações do usuário.
Porta 80 - HTTP
Porta padrão da internet para acessar via browser.
Porta 88 - Kerberos (TCP/UDP)
Porta padrão do Kerberos.
Porta 111 - RPC / Portmapper (TCP)
Utilizado por sistema UNIX antigos. Hoje é conhecido como rpcbind.
Porta 123 - NTP (Network Time Protocol)
Protocolo que sincroniza os relógio dos computadores.
Porta 135 - RPC / WMI (TCP)
Utiliza nessa porta por Sistemas Windows. Consultas desse serviço pode trazer informações sobre aplicativos e serviços. WMI também utiliza portas altas entre 49152 e 65535 aleatoriamente.
Porta 135,139,445,593
Quando essas portas estão abertas, existe uma alta probabilidade de ser um Windows (exceto no Windows 95 e 98 que recebem informações apenas na porta 139).
Porta 137 - NBNS (NetBIOS Name Service) - TCP / UDP
Atribuições de nomes para redes Windows. A partir do Windows 2000, o NBNS não é mais necessário, sendo substituído pelo DNS. Caso essa porta esteja aberta, é possível fazer facilmente uma Enumeração de NBNS.
Porta 139 - NetBIOS (TCP)
NetBIOS é um serviço e protocolo de camada de sessão independente que permite que computadores em uma rede local se comuniquem entre si. Embora as implementações modernas do SMB possam funcionar sem o NetBIOS, o NetBIOS sobre TCP (NBT) é necessário para compatibilidade com versões anteriores e geralmente é ativado em conjunto. Por esse motivo, a enumeração desses dois serviços geralmente anda de mãos dadas.
Porta 161 - SNMP (Simple Network Management Protocol) - UDP
Essa porta pode permitir enumeração por algumas ferramentas. Caso precise do SNMP, utilize a versão 3, pois a 1 a 2 são inseguras.
OBS.: Ao realizar algum ataque, por padrão utilize as senhas public (somente leitura) e private (para gravação).
Porta 179 - BGP (Border Gateway Protocol)
É o verdadeiro protocolo de roteamento da Internet e é usado pelos roteadores para propagar as informações necessárias para determinar a rota de pacotes de IP até seus destinos. A enumeração BGP são dividas em dois passos:
Determinar o ASN (Autonomous System Number) da organização alvo. ASN é um número de 16 bits que uma organização adquire da ARIN para identificar-se na rede
Executar uma consulta nos roteadores para identificar todas as redes em que o AS Path termina com a ASN
OBS.: Muitas organização não executam BGP, então essa técnica pode não funcionar.
Porta 199 - Smux
Smux.
Porta 346 - Zebra Server
Software livre que gerencia protocolos de roteamento baseados em TCP/IP. O Zebra suporta BGP, RIP E OSPF. Verifique também na porta 2600-2606 e 2608.
Porta 389 - LDAP (Lightweight Directory Access Protocol)
Protocolo que trabalha com AD. Caso for fechar essa porta por motivos de segurança, feche também a porta 3268.
Porta 445 - SMB (TCP)
Utilizada por sistemas Windows, pode abrir falha de Enumeração com Login Anônimo. A enumeração através dessas portas é chamada de "Direct Host".
Porta 500 - VPN IPSec
Utilizada para VoIP.
Porta 512-514 - Berkeley (TCP)
Utilizado por sistema UNIX antigos.
Porta 554 - RTSP - Real Time Streaming Protocol
É um protocolo stateful construído em cima do TCP normalmente usado para streaming de imagens. Muitas câmeras IP comerciais estão sendo executadas nessa porta. Eles costumam ter uma interface GUI, então fique atento a isso.
Porta 587 - SMTP (Simple Mail Transfer Protocol)
Nova porta de saída do SMTP. Vários países já estão migrando a antiga porta TCP 25 para a TCP 587. Se o Postfix for executado, pode ser vulnerável ao shellshock (https://www.exploit-db.com/exploits/34896).
Porta 631 - CUPS
Compartilhamento de impressora para Linux. Esse pode ser acessado utilizando o Usuário do SO.
Porta 636 - LDAPS
LDAP sobre SSL
Porta 993 - IMAP
Imap Criptografado.
Porta 995 - POP3 Encrypten
Porta padrão do protocolo da agência postal. O protocolo é usado para clientes se conectarem ao servidor e baixarem seus emails localmente. Você geralmente vê essa porta aberta em mx-servers. Servidores que devem enviar e receber emails. Portas relacionadas: 110 é o POP3 não criptografado.
Porta 1025 - NFS ou IIS
Não sei ao certo, mas encontro essas portas em Windows.
Porta 1030/1032/1033/1038 - RPC - Windows Domains (Talvez)
Eu não encontrei nenhum uso para eles até agora. Mas eles podem indicar que o alvo faz parte de um domínio do Windows, embora não tenha certeza.
Porta 1433 - Microsoft SQL Server - UDP
Banco de Dados da Microsoft, SQL SERVER.
Porta 1434 - Microsoft SQL Server (Instâncias) - UDP
Através dessa porta, o MS SQL utiliza um "Mapeador de Instâncias", útil para realizar Enumerações
Porta 1521 - TNS (Transparent Network Substrate) - Oracle
Protocolo que gerencia o tráfego cliente/server do Oracle. O TNS pode ser dividido em duas funções:
tnslsnr= Responsável pela comunicação entre o cliente e o servidorlsnrctl= Responsável pela administração do tnslsnr. Através do lsnrtl é possível encontrar informações úteis como o SID do banco de dados, a versão, o SO e uma variedade de outras opções de configurações. Útil conhecer o SID, pois ele é exigido no login (força bruta).
Porta 1524 - Ingreslock / Shell (possível Backdoor)
Ingreslock é usada legitimamente para bloquear partes de um banco de dados Ingres. No entanto, são conhecidos trojans que também utilizam a porta 1524 como um backdoor em um sistema Linux que permite o atacante acessar a máquina remotamente. Para resolver esse problema, abra o arquivo /etc/inetd.conf (arquivo que mostra tudo o que é inicializado junto com o SO) e remova a linha referente ao Ingreslock.
Porta 1748,1754,1808,1809 - Oracle
Portas usadas pelo Oracle no Windows. Eles executam o Oracle Intelligent Agent.
Porta 2049 - NFS (TCP)
Sistema de arquivos de rede utilizados por UNIX antigos. É um serviço usado para que as pessoas possam acessar certas partes de um sistema de arquivos remoto, semelhante a unidade de rede do Windows. Se isso estiver mal configurado, isso pode significar que você concede acesso excessivo aos usuários.
É possível montar um unidade de rede se aproveitando dessa falha (vide showmount e mount).
Porta 2100 - Oracle XML DB
Porta do Oracle com alguns exploits. Este pode ser acessaro via FTP (https://docs.oracle.com/cd/B10501_01/win.920/a95490/username.htm)
Porta 2600, 2601, 2602, 2603, 2604, 2605, 2606, 2608 - Zebra
Serviços do Zebra, vide porta 346.
PORTA
SERVIÇO
2600
zebra service
2601
zebra vty
2602
ripd vty
2603
ripngd vty
2604
ospfd vty
2605
bgpd vty
2606
ospf6d vty
2608
ISISd vty
Porta 3233
Quando esta porta está aberta, permite a leitura do arquivo README do servidor Apache.
Porta 3268 - Global Catalog (AD)
Essa porta é resposável pelas pesquisas no AD, juntamente com LDAP (389).
Porta 3389 - RDP (Remote Desktop Protocol)
Caso essa porta esteja aberta, provavalemente esse sistema deve ser um Windows. Utilize o PPrdesktopPP para acessar com autenticação e o ncrack para realizar Brute Force.
Porta 3339 - Oracle Web Interface
Oracle Web Interface.
Porta 3632 - DistCC
Programa para distribuir compilações de códigos C, C++, Objective C ou Objective C++ em várias máquinas de uma rede para acelerar a construção. Este possui um exploit com que pode ser facilmente explorado pelo Metasploit.
Porta 4222 - NATS
Ferramenta que serve como enfilerador, semelhante ao RabbitMQ. Essa porta geralmente irá ter somente acesso interno, porém também podemos acessar a porta 8222 externamente.
Porta 4555 - RSIP
Porta que pode ser usada pelo Apache James Remote Configuration. Existe um exploit para a versão 2.3.2
Porta 5357 - WSDAPI
Porta 5471 -OSGi
Console que pode ser acessado via telnet. Este pode ser explorado facilmente pelo Metasploit.
Porta 5601 - Kibana
Ferramenta WEB (geralmente faz parte do ELK) que funciona como um tracking de aplicações WEB e servers em geral. Nele é possível saber tudo o que está acontecendo nos servidores, pois o mesmo centraliza diversos tipos de logs.
Porta 5722 - DFSR (Distributed File System Replication DFSR)
O DFSR (Replicação de Sistema de Arquivos Distribuídos) é um mecanismo de replicação de vários mestres com base em estado que copia automaticamente as atualizações para arquivos e pastas entre computadores que participam de um grupo de replicação comum. DFSR foi adicionado no Windows Server 2003 R2.
Porta 5858 - NodeJS Debugger
Porta de debug do NodeJS que pode ser facilmente explorado com o Metasploit com o uso do módulo exploit/multi/misc/nodejs_v8_debugger.
Porta 5900 - VNC
O VNC é usado para obter a tela de um host remoto. Pode-se usar o vncviewer (já vem no Kali) para se conectar a um serviço VNC. Não é preciso definir um nome de usuário. O VNC é executado como um usuário específico, portanto, quando você usa o VNC, ele assume esse usuário. Observe também que a senha não é a senha do usuário na máquina. Se você quebrou a senha do usuário em uma máquina não significa que você pode usá-los para efetuar login. Para encontrar a senha VNC você pode usar o módulo pós exploit do metasploit que pegar senhas VNC.
Porta 5985 - WinRM (Windows Remote Management)
Protocolo baseado em SOAP que pode ser usado para administrar máquinas remotamente pela rede. Essa é uma ferramenta útil para administradores de rede que também pode ser usada para automatizar tarefas com segurança em várias máquinas.
No entanto, é bastante fácil configurar incorretamente o serviço e/ou abusar do serviço com acesso legítimo à conta.
Geralmente pode-se acessar via HTTP e possui o endereço http://<domain>:5985/wsman.
Porta 6000 - X
Protocolo X Window System, responsável por gerar grande falha de segurança em sistemas UNIX. O Servidor X permite vários programas compartilharem uma única tela gráfica, capturar teclas e toques de tela, eliminar janelas, mapeamento de teclado para gerar códigos maliciosos, etc
Para se proteger de ataques finger, deixe-o como comentário no inetd.conf e em killall - HUP inetd e bloqueie a porta 79 no firewall.
Também pode utilizar a ferramenta TCP Wrappers ou o daemon do fingers para registrar em logs os acesso ao host.
Porta 6379 - Redis
Base de dados open-source, que armazena informações na memória RAM.
Porta 8200 - Vault
Ferramenta para acessar com segurança serviços com através de chaves geradas por ele. Este possui uma UI web para gerenciamento. Através do Vault, podemos por exemplo gerar uma nova chave (senha) SSH.
Porta 8222 - NATS
Ferramenta que serve como enfilerador, semelhante ao RabbitMQ. Essa porta geralmente irá ter acesso externo, porém também podemos ter a porta 4222 que será acessada internamente.
Porta 8983 - Apache SOLR (TCP)
Sistema Web com vulnerabilidades conhecidas.
Porta 9200 - Elasticsearch
Ferramenta WEB utilizada como uma API. OBS.: O Elasticsearch, geralmente utiliza mais duas portas (9600, 5601), que dependendo daa configuração, pode ser acessada somente internamente. Essas 3 portas fazer parte do ELK (Elasticsearch + Logstash + Kibana)
Porta 9229 - NodeS Debugger
Porta que o NodeJS usa para debugger que pode ser acessado com node-inspect ou até mesmo WEB.
Porta 9389 - Active Directory Administrative Center
Instalado por padrão no Windows Server 2008 R2 e disponível no Windows 7 quando você instalado o Remote Server Administration Tools (RSAT).
Porta 9600 - Logstash
Serviço que faz parte da ELK, que ajuda no gerenciamento do servidor
Porta 10000 - Webmin
Interface gráfica para gerenciamento do servidor (Linux). A autenticação é a mesma do SO.
Porta 8080 - HTTPS
Porta padrão da internet para acessar via browser.
Porta 11211 - Memcached
Guarda sessões de aplicações. Essa quando está exposta (geralmente é uma porta interna), pode ser acessada por qualquer aplicativo, incluindo telnet. Isso pode ser utilizado para pegar sessões.
Porta 27017 - MongoDB
Banco de Dados não relacional que por padrão vem sem senha.
Porta 32771 - portmapper (alternativa da Sun)
Uma porta alternativa para a Portmapper para a Sun.
Porta 3277x
Utilizado por sistema UNIX antigos, com portas acima de 3277x, bem provável que seja Unix do tipo Solaris.
Porta 47001 - Windows Remote Management Service
Windows Remote Management Service
Portas 49152 a 65535
Pode ser utilizada pelo WMI sendo elas escolhidas aleatoriamente dentro desse range. O WMI também utiliza a porta 135.
Sites
Last updated