PORT=>服务/漏洞

范围：0-65535
固定端口：0-1023 1024保留
动态端口：1024-65535

常用端口

21：FTP(爆破)

22：SSH(爆破)

23：Telnet(爆破)

25：SMTP

53：DNS（UDP）

69：TFTP（cisco，类似FTP）

79：Finger

80：HTTP

110：POP3

111：RPC 远程过程调用

113：windows 验证服务

119：NNTP 网络新闻组传输协议

135：RPC 远程过程调用

137：NetBIOS

139：windows文件和打印机共享，Unix中的samba服务

161：SNMP 简单网络管理协议

389：LDAP

443：HTTPS

445：SMB

1080：socks代理服务

2082/2083 cpanel主机管理系统登陆 (国外用较多)

2222 DA虚拟主机管理系统登陆 (国外用较多)

2601,2604：zebra路由，默认密码zebra

3128 squid代理默认端口，如果没设置口令很可能就直接漫游内网了

3312/3311 kangle主机管理系统登陆

3389:远程桌面

4440 rundeck 参考WooYun: 借用新浪某服务成功漫游新浪内网

5900：vnc

6082 varnish 参考WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网

7001,7002 WebLogic默认弱口令，反序列

8000-9090 都是一些常见的web端口，有些运维喜欢把管理后台开在这些非80的端口上

8080：用户www代理服务,tomcat/WDCP主机管理系统，默认弱口令

8080,8089,9090 JBOSS

8083 Vestacp主机管理系统 （国外用较多）

8649 ganglia

8888 amh/LuManager 主机管理系统默认端口

9200,9300 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞

10000 Virtualmin/Webmin 服务器虚拟主机管理系统

11211 memcache未授权访问

27017,27018 Mongodb未授权访问

28017 mongodb统计页面

50000 SAP命令执行

50070,50030 hadoop默认端口未授权访问

木马病毒

5554：worm.Sasser病毒利用端口
7626：冰河病毒
8011：WAY2.4病毒
7306：Netspy3.0病毒
1024：YAI病毒

中间件

7001,7002：weblogic
9080：webshpere应用程序
9090：webshpere管理工具
8080：tomcat默认端口
Jboss通常占用的端口是1098，1099，4444，4445，8080，8009，8083，8093，默认为8080

数据库

3306：mysql
1433：mssqlserver
1434：sqlserver monitor
1521：oracle:(iSqlPlus Port:5560,7778)
5432：PostgreSQL
1158：ORACLE EMCTL
8080：Oracle XDB
2100：Oracle XDB FTP

特殊服务（漏洞）

443：SSL心脏滴血

512,513,514：Rsync未授权访问

873：Rsync未授权访问

1025,111 NFS

2375：docker remote api漏洞

50000：SAP命令执行

5984：CouchDB http://xxx:5984/_utils/

6379：redis未授权

7001,7002：WebLogic 默认弱口令，反序列化

9200,9300：elasticsearch未授权访问

11211：memcache未授权访问

27017,27018：Mongodb 未授权访问
28017：mongodb统计页面