范围:0-65535
固定端口:0-1023 1024保留
动态端口:1024-65535

常用端口

21:FTP(爆破)

22:SSH(爆破)

23:Telnet(爆破)

25:SMTP

53:DNS(UDP)

69:TFTP(cisco,类似FTP)

79:Finger

80:HTTP

110:POP3

111:RPC 远程过程调用

113:windows 验证服务

119:NNTP 网络新闻组传输协议

135:RPC 远程过程调用

137:NetBIOS

139:windows文件和打印机共享,Unix中的samba服务

161:SNMP 简单网络管理协议

389:LDAP

443:HTTPS

445:SMB

1080:socks代理服务

2082/2083 cpanel主机管理系统登陆 (国外用较多)

2222 DA虚拟主机管理系统登陆 (国外用较多)

2601,2604:zebra路由,默认密码zebra

3128 squid代理默认端口,如果没设置口令很可能就直接漫游内网了

3312/3311 kangle主机管理系统登陆

3389:远程桌面

4440 rundeck 参考WooYun: 借用新浪某服务成功漫游新浪内网

5900:vnc

6082 varnish 参考WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网

7001,7002 WebLogic默认弱口令,反序列

8000-9090 都是一些常见的web端口,有些运维喜欢把管理后台开在这些非80的端口上

8080:用户www代理服务,tomcat/WDCP主机管理系统,默认弱口令

8080,8089,9090 JBOSS

8083 Vestacp主机管理系统 (国外用较多)

8649 ganglia

8888 amh/LuManager 主机管理系统默认端口

9200,9300 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞

10000 Virtualmin/Webmin 服务器虚拟主机管理系统

11211 memcache未授权访问

27017,27018 Mongodb未授权访问

28017 mongodb统计页面

50000 SAP命令执行

50070,50030 hadoop默认端口未授权访问

木马病毒

5554:worm.Sasser病毒利用端口
7626:冰河病毒
8011:WAY2.4病毒
7306:Netspy3.0病毒
1024:YAI病毒

中间件

7001,7002:weblogic
9080:webshpere应用程序
9090:webshpere管理工具
8080:tomcat默认端口
Jboss通常占用的端口是1098,1099,4444,4445,8080,8009,8083,8093,默认为8080

数据库

3306:mysql
1433:mssqlserver
1434:sqlserver monitor
1521:oracle:(iSqlPlus Port:5560,7778)
5432:PostgreSQL
1158:ORACLE EMCTL
8080:Oracle XDB
2100:Oracle XDB FTP

特殊服务(漏洞)

443:SSL心脏滴血

512,513,514:Rsync未授权访问

873:Rsync未授权访问

1025,111 NFS

2375:docker remote api漏洞

50000:SAP命令执行

5984:CouchDB http://xxx:5984/_utils/

6379:redis未授权

7001,7002:WebLogic 默认弱口令,反序列化

9200,9300:elasticsearch未授权访问

11211:memcache未授权访问

27017,27018:Mongodb 未授权访问
28017:mongodb统计页面