Porte TCP/UDP nel Penetration Testing: Guida Completa dalla Recon all'Exploit
Tutte le porte TCP e UDP nel penetration testing organizzate per scenario offensivo: Active Directory, web, database, mail, DevOps. Vettori d'attacco e guide tecniche complete per OSCP e red team.
- Pubblicato il 2026-06-10
- Tempo di lettura: 9 min
Quando esegui il primo scan su un target, ogni porta aperta è un vettore potenziale. Porta 445 aperta su un dominio Windows? SMB relay e Pass-the-Hash. Redis sulla 6379 senza autenticazione? RCE in due comandi. Jupyter sulla 8888? Code execution diretta senza credenziali. Conoscere il vettore offensivo di ogni servizio esposto è la differenza tra un pentest metodico e un pentest cieco.
Questa guida raccoglie tutte le porte TCP e UDP usate nel penetration testing, organizzate per scenario offensivo — non per numero di porta. Trovi le porte AD insieme perché in un engagement Windows le attacchi in sequenza. I database sono separati perché hanno toolset diversi. I protocolli di rete vengono prima perché capire come funziona ARP o ICMP cambia il modo in cui costruisci gli attacchi.
Il riferimento definitivo per chi prepara OSCP, lavora su HTB ProLab, o esegue assessment su infrastrutture reali. Per i tool da usare su ogni porta, consulta la Guida Completa ai Tool di Penetration Testing.
# Scan completo — tutte le porte TCP
nmap -sV -sC -p- --open -oA fullscan 10.10.10.1
# Top 1000 — discovery veloce
nmap -sV --top-ports 1000 -oA top1000 10.10.10.1
# UDP — non ignorarlo mai
nmap -sU --top-ports 100 -oA udpscan 10.10.10.1
# Approfondimento su porta specifica
nmap -sV -sC -A -p 445 10.10.10.1Indice #
- Protocolli di trasporto e rete
- Active Directory & Windows
- File Transfer & Remote Access
- Web Services
- Database
- Mail Services
- VPN & Proxy
- Network & Infrastruttura
- DevOps & Cloud
- Legacy & Meno Comuni
- Tool essenziali
- Hub correlati
Protocolli di trasporto e rete #
Prima delle porte, i protocolli. Capire come funziona TCP a livello di handshake, come ARP risolve gli indirizzi, o come ICMP si comporta cambia il modo in cui costruisci gli attacchi — da ARP poisoning per il MITM, a SYN scan stealth, a ICMP tunneling per l’esfiltrazione.
Trasporto e rete #
| Protocollo | Livello OSI | Vettore offensivo | Guida |
|---|---|---|---|
| TCP | Trasporto | SYN scan stealth, TCP reset, port scanning | TCP |
| UDP | Trasporto | UDP scan, amplification, protocol abuse | UDP |
| SCTP | Trasporto | Port scan evasion, protocol fingerprinting | SCTP |
| QUIC | Trasporto | TLS inspection bypass, DNS leak | QUIC |
| IP | Rete | IP spoofing, fragmentation, TTL manipulation | IP |
| IPv4/IPv6 | Rete | Dual-stack bypass, IPv6 SLAAC attack | IPv4/IPv6 |
| ICMP | Rete | Ping sweep, ICMP tunneling, redirect attack | ICMP |
| ARP | Data link | ARP spoofing, ARP poisoning, MITM su LAN | ARP |
| RARP | Data link | Reverse ARP, legacy network recon | RARP |
| GRE | Rete | C2 tunneling, firewall bypass | GRE |
| IPSec | Rete | IKE fingerprinting, PSK cracking, VPN bypass | IPSec |
| TLS/SSL | Presentazione | BEAST, POODLE, Heartbleed, downgrade attack | TLS/SSL |
| HTTP/HTTPS | Applicazione | Injection, auth bypass, header manipulation | HTTP/HTTPS |
| NTP | Applicazione | NTP amplification DDoS, time manipulation | NTP |
LAN, switching e routing #
| Protocollo | Livello OSI | Vettore offensivo | Guida |
|---|---|---|---|
| Ethernet/802.3 | Data link | MAC flooding, CAM table overflow | Ethernet |
| VLAN | Data link | VLAN hopping, double tagging, DTP attack | VLAN |
| STP | Data link | Root bridge takeover, BPDU spoofing | STP |
| LLDP | Data link | Topology mapping passivo, neighbour disclosure | LLDP |
| OSPF/EIGRP/BGP/RIP | Rete | Route injection, neighbour spoofing | OSPF/EIGRP/BGP/RIP |
| VRRP/HSRP/CARP | Rete | Virtual router takeover, gateway MITM | VRRP/HSRP/CARP |
| PPP | Data link | MS-CHAPv2 crack, credential interception | PPP |
| WiFi 802.11 | Fisica/Data link | WPA2 PMKID crack, evil twin, deauth | WiFi 802.11 |
Tecniche di attacco di rete #
| Tecnica | Descrizione | Guida |
|---|---|---|
| Sniffing | Cattura traffico in chiaro, credential harvesting passivo | Sniffing |
| Man-in-the-Middle | Intercettazione e manipolazione traffico LAN/WAN | Man-in-the-Middle |
| VPN | Bypass, split tunnel abuse, credential theft | VPN |
Active Directory & Windows #
Le porte più critiche per l’AD pentest. In un dominio Windows, queste porte definiscono l’intera attack surface. La sequenza tipica: enumeri su 389/LDAP, catturi hash su 137-139 con Responder, fai relay su 445/SMB, esegui comandi su 5985/WinRM o 135/RPC. Kerberos sulla 88 è il centro di tutto.
| Porta | Protocollo | Vettore offensivo | Guida |
|---|---|---|---|
| 88 | Kerberos | AS-REP Roasting, Kerberoasting, Silver/Golden Ticket | Kerberos |
| 135 | RPC | Null session, WMI exec, lateral movement via DCOM | Porta 135 RPC |
| 137 | NetBIOS-NS | Responder, NBT-NS poisoning, NTLM hash capture | Porta 137 NetBIOS |
| 138 | NetBIOS-DGM | Broadcast monitoring, passive host discovery | Porta 138 NetBIOS Datagram |
| 139 | NetBIOS-SSN | Null session, SMB legacy, EternalBlue | Porta 139 NetBIOS Session |
| 389 | LDAP | Enumerazione AD, dump utenti/gruppi/GPO senza auth | Porta 389 LDAP |
| 445 | SMB | Pass-the-Hash, NTLM relay, share enumeration, PsExec | SMB |
| 593 | RPC over HTTP | RPC tunneling su HTTP, bypass firewall perimetrale | Porta 593 RPC-HTTP |
| 636 | LDAPS | LDAP su TLS, ADCS ESC relay attacks | Porta 636 LDAPS |
| 880 | Kerberos Admin | Ticket management, Kerberos administration | Porta 880 Kerberos Admin |
| 1025 | MS-RPC | RPC endpoint mapper, servizi RPC dinamici | Porta 1025 MS-RPC |
| 1026 | RPC | RPC dinamico secondario | Porta 1026 RPC |
| 1434 | MSSQL Monitor | UDP — instance discovery, version detection | Porta 1434 MSSQL Monitor |
| 3389 | RDP | BlueKeep, credential brute force, relay attack | Porta 3389 RDP |
| 5985 | WinRM HTTP | Evil-WinRM, PowerShell Remoting, lateral movement | Porta 5985 WinRM |
| 5986 | WinRM HTTPS | WinRM su TLS, bypass network filtering | Porta 5986 WinRM HTTPS |
| 33389 | RDP Alternate | RDP su porta non standard, accesso stealth | Porta 33389 RDP Alternate |
File Transfer & Remote Access #
FTP anonimo, Telnet in chiaro e NFS senza autenticazione sono ancora presenti in ambienti reali e compaiono costantemente nei lab OSCP e HTB. Su questi servizi il vettore più comune è banale: credenziali di default o accesso completamente anonimo. Controllali sempre, anche quando sembrano irrilevanti.
| Porta | Protocollo | Vettore offensivo | Guida |
|---|---|---|---|
| 20 | FTP Data | Active mode exploitation, canale dati non cifrato | Porta 20 FTP Data |
| 21 | FTP | Login anonimo, credenziali deboli, upload webshell | Porta 21 FTP |
| 22 | SSH | Brute force, key leak, port forwarding, SFTP abuse | SSH |
| 23 | Telnet | Credenziali in chiaro, banner grab, legacy device | Porta 23 Telnet |
| 111 | RPCbind | NFS enumeration, NIS credential dump, UID bypass | Porta 111 RPCbind |
| 512 | Rexec | Remote execution senza crittografia | Porta 512 Rexec |
| 513 | Rlogin | Remote login legacy, .rhosts bypass senza password | Porta 513 Rlogin |
| 514 | RSH/Syslog | Remote shell senza auth, log poisoning, RCE | Porta 514 Syslog/RSH |
| 989 | FTPS Data | FTP su TLS — canale dati | Porta 989 FTPS Data |
| 990 | FTPS | FTP cifrato, stessi vettori del 21 su TLS | Porta 990 FTPS |
| 2049 | NFS | Mount anonimo, UID bypass, dump SSH key e hash | Porta 2049 NFS |
| 3260 | iSCSI | Storage network access, disk mounting non autorizzato | Porta 3260 iSCSI |
| 3632 | Distcc | RCE via distributed compiler — vettore classico HTB | Porta 3632 Distcc |
| 3690 | SVN | Repository dump anonimo, credenziali nel commit history | Porta 3690 SVN |
| 5900 | VNC | Password brute force, sessione desktop senza auth | Porta 5900 VNC |
| 6000 | X11 | X display hijacking, keystroke capture, screenshot | Porta 6000 X11 |
| 9418 | Git | Repository dump pubblico, credential leak nel history | Porta 9418 Git |
Web Services #
Non fermarti alla 80 e 443 — Tomcat sulla 8080, Jupyter sulla 8888 e Webmin sulla 10000 sono spesso il vettore di initial access più veloce. Ogni versione di application server esposta ha CVE associati: controlla sempre la versione prima di procedere.
| Porta | Protocollo | Vettore offensivo | Guida |
|---|---|---|---|
| 80 | HTTP | SQLi, XSS, LFI, RFI, SSRF, directory brute force | Porta 80 HTTP |
| 443 | HTTPS | TLS misconfiguration, ADCS HTTP endpoint | Porta 443 HTTPS |
| 7001 | WebLogic | Deserialization RCE, default credentials, T3 protocol | Porta 7001 WebLogic |
| 7002 | WebLogic SSL | WebLogic su TLS, stessi vettori della 7001 | Porta 7002 WebLogic SSL |
| 7070 | RealServer | Streaming server misconfiguration | Porta 7070 RealServer |
| 7777 | Oracle Apps | Oracle E-Business Suite, console admin | Porta 7777 Oracle Apps |
| 8000 | HTTP Alt | Dev server esposto — Flask, Django, FastAPI debug mode | Porta 8000 Web Dev |
| 8008 | HTTP Alt | Proxy, webcam IoT, interfacce embedded | Porta 8008 HTTP Alt |
| 8080 | Tomcat | Tomcat manager RCE, WAR deploy non autorizzato | Porta 8080 Tomcat |
| 8081 | HTTP Alt | Jenkins, proxy alt port, admin panel esposto | Porta 8081 HTTP Alt |
| 8443 | HTTPS Alt | Tomcat SSL, admin panel su HTTPS | Porta 8443 HTTPS Alt |
| 8888 | Jupyter | Jupyter Notebook RCE — no auth di default | Porta 8888 Jupyter |
| 9000 | PHP-FPM/SonarQube | PHP-FPM RCE via FastCGI, SonarQube unauthenticated | Porta 9000 PHP-FPM |
| 9090 | Web Console | Cockpit, Prometheus, Portainer — admin interface | Porta 9090 Web Console |
| 9999 | Dev Alt | Dev server porta non standard | Porta 9999 |
| 10000 | Webmin | Webmin RCE, credential brute force, HTTPS panel | Porta 10000 Webmin |
| 50000 | SAP | SAP ICM, ABAP code execution, admin access | Porta 50000 SAP |
Database #
Spesso raggiungibili direttamente in rete interna — misconfiguration, credenziali di default, nessun firewall tra VLAN. Ogni DBMS ha il suo approccio: conosci i comandi specifici prima di attaccare.
| Porta | Protocollo | Vettore offensivo | Guida |
|---|---|---|---|
| 1433 | MSSQL | xp_cmdshell RCE, linked servers, Impacket mssqlclient | Porta 1433 MSSQL |
| 1521 | Oracle | TNS poisoning, SID enumeration, credential brute | Porta 1521 Oracle |
| 2483 | Oracle TLS | Oracle DB su TLS standard | Porta 2483 Oracle DB |
| 2484 | Oracle SSL | Oracle su SSL | Porta 2484 Oracle SSL |
| 3306 | MySQL | Credential brute, UDF exploit, file read via LOAD DATA | Porta 3306 MySQL |
| 5432 | PostgreSQL | COPY TO/FROM exploit, RCE via extension | Porta 5432 PostgreSQL |
| 6379 | Redis | No-auth RCE, SSH key write, cron job injection | Porta 6379 Redis |
| 7474 | Neo4j | Cypher injection, browser console senza autenticazione | Porta 7474 Neo4j |
| 9200 | Elasticsearch | No-auth data dump, RCE via Groovy/Painless script | Porta 9200 Elasticsearch |
| 9300 | Elasticsearch Cluster | Transport layer, node communication | Porta 9300 Elasticsearch Cluster |
| 11211 | Memcached | No-auth cache dump, SSRF amplification DDoS | Porta 11211 Memcached |
| 27017 | MongoDB | No-auth data dump, JavaScript injection | Porta 27017 MongoDB |
| 27018 | MongoDB Cluster | Shard/replica set, cluster communication | Porta 27018 MongoDB Cluster |
| 28017 | MongoDB HTTP | Legacy HTTP interface, data exposure | Porta 28017 MongoDB HTTP |
Mail Services #
I mail server espongono credenziali in chiaro sulle porte 110 e 143, permettono user enumeration via SMTP, e in ambienti AD sono vettori di phishing interno e credential stuffing. Sottovalutati, spesso non patchati.
| Porta | Protocollo | Vettore offensivo | Guida |
|---|---|---|---|
| 25 | SMTP | VRFY/EXPN user enumeration, open relay, phishing chain | Porta 25 SMTP |
| 110 | POP3 | Credenziali in chiaro, brute force, mailbox dump | Porta 110 POP3 |
| 143 | IMAP | Credential sniffing, brute force, email exfiltration | Porta 143 IMAP |
| 465 | SMTPS | SMTP su SSL, relay abuse via autenticazione | Porta 465 SMTPS |
| 587 | SMTP Submission | Auth SMTP, credential brute force | Porta 587 SMTP Submission |
| 995 | POP3S | POP3 su TLS, stessi vettori della 110 | Porta 995 POP3S |
VPN & Proxy #
Porte che trovi quando un’organizzazione espone accesso remoto. Spesso mal configurate, spesso con PSK o credenziali deboli. Un proxy aperto è un vettore di pivoting immediato verso la rete interna. In ambienti enterprise PPTP e OpenVPN mal configurati sono ancora comuni.
| Porta | Protocollo | Vettore offensivo | Guida |
|---|---|---|---|
| 500 | ISAKMP/IKE | VPN fingerprinting, PSK cracking offline, aggressive mode | Porta 500 ISAKMP |
| 1080 | SOCKS Proxy | Proxy aperto, pivoting verso rete interna | Porta 1080 SOCKS Proxy |
| 1194 | OpenVPN | Config leak, credential brute force | Porta 1194 OpenVPN |
| 1723 | PPTP | MS-CHAPv2 offline crack, PSK attack | Porta 1723 PPTP |
| 3128 | Squid Proxy | Open proxy abuse, SSRF amplification | Porta 3128 Squid Proxy |
| 4500 | IPSec NAT-T | IPSec NAT traversal, VPN bypass | Porta 4500 IPSec NAT-T |
Network & Infrastruttura #
SNMP sulla 161 con community string “public” è ancora il finding più comune negli assessment enterprise. IPMI sulla 623 spesso porta direct root sul BMC. DNS mal configurato regala zone transfer completi. Queste porte raramente vengono monitorate — usale per intelligence passiva prima di qualsiasi azione rumorosa.
| Porta | Protocollo | Vettore offensivo | Guida |
|---|---|---|---|
| 53 | DNS | Zone transfer, DNS rebinding, cache poisoning | DNS |
| 67 | DHCP | Rogue DHCP server, DNS poisoning via option 15 | Porta 67 DHCP |
| 161 | SNMP | Community string dump, MIB walk, full device config | SNMP |
| 162 | SNMP Trap | Notifiche non autenticate, intelligence passiva | Porta 162 SNMP Trap |
| 179 | BGP | Route injection, BGP hijacking, topology disclosure | Porta 179 BGP |
| 515 | LPD | Print server abuse, file read, info disclosure | Porta 515 LPD |
| 520 | RIP | Route injection, network topology disclosure | Porta 520 RIP |
| 554 | RTSP | Camera stream access, no-auth live feed | Porta 554 RTSP |
| 623 | IPMI | BMC credential dump, RAKP hash offline crack | Porta 623 IPMI |
| 631 | IPP/CUPS | Print server exploitation, SSRF via IPP | Porta 631 IPP/CUPS |
DevOps & Cloud #
Container, orchestratori, message broker — la modern attack surface. Spesso accessibili senza autenticazione in ambienti cloud misconfigured o dev server rimasti esposti in produzione.
| Porta | Protocollo | Vettore offensivo | Guida |
|---|---|---|---|
| 2181 | Zookeeper | No-auth config dump, data exfiltration | Porta 2181 Zookeeper |
| 2376 | Docker SSL | Docker daemon RCE, container escape | Porta 2376 Docker SSL |
| 4040 | Spark UI | Job info leak, data exposure, RCE via script | Porta 4040 Spark UI |
| 5000 | Docker/Flask | Docker registry non autenticato, Flask debug RCE | Docker/Flask · UPnP/Flask/Registry |
| 5601 | Kibana | Dashboard access, Timelion RCE pre-7.6 | Porta 5601 Kibana |
| 5672 | RabbitMQ | Default credentials guest/guest, message queue dump | Porta 5672 RabbitMQ |
| 6443 | Kubernetes API | No-auth API server, RBAC bypass, privileged pod escape | Porta 6443 Kubernetes API |
| 9092 | Kafka | No-auth topic dump, producer message injection | Porta 9092 Kafka |
| 15672 | RabbitMQ Web | Admin panel con default guest/guest | Porta 15672 RabbitMQ Web |
| 16010 | HBase | HBase Master UI, no-auth data access | Porta 16010 HBase |
| 50070 | Hadoop NameNode | HDFS file system access, data exfiltration | Porta 50070 Hadoop NameNode |
| 61616 | ActiveMQ | Deserialization RCE (CVE-2023-46604) | Porta 61616 ActiveMQ |
Legacy & Meno Comuni #
Porte che incontri su sistemi datati, apparati di rete, ambienti enterprise legacy. Non ignorarle — spesso sono le più vulnerabili perché nessuno le monitora e nessuno le patcha.
| Porta | Protocollo | Vettore offensivo | Guida |
|---|---|---|---|
| 37 | Time | Timestamp manipulation, recon su sistemi legacy | Porta 37 Time |
| 42 | WINS | Legacy NetBIOS name resolution, hostname disclosure | Porta 42 WINS |
| 43 | WHOIS | Domain OSINT, registrar e admin contact disclosure | Porta 43 WHOIS |
| 49 | TACACS | Auth server interception, credential leak | Porta 49 TACACS |
| 90 | PointCast | Legacy push media server | Porta 90 PointCast |
| 95 | SUPDUP | Legacy terminal protocol | Porta 95 SUPDUP |
| 113 | Ident | Username disclosure, OS fingerprinting legacy | Porta 113 Ident |
| 119 | NNTP | Newsgroup server, credential leak plaintext | Porta 119 NNTP |
| 194 | IRC | Command & Control legacy, botnet covert channel | Porta 194 IRC |
| 199 | SMUX | SNMP multiplexer, subagent enumeration | Porta 199 SMUX |
| 902 | VMware | ESXi API, VM enumeration, auth service | Porta 902 VMware |
| 912 | VMware Auth | VMware auth service secondario | Porta 912 |
| 1352 | Lotus Notes | Domino server, credential theft, formula injection | Porta 1352 Lotus Notes |
| 1604 | Citrix ICA | Citrix session hijacking, credential interception | Porta 1604 Citrix ICA |
| 1812 | RADIUS Auth | Shared secret cracking, credential interception | Porta 1812 RADIUS Auth |
| 1813 | RADIUS Accounting | RADIUS accounting info leak | Porta 1813 RADIUS Accounting |
| 1883 | MQTT | IoT broker no-auth, message dump, device control | Porta 1883 MQTT |
| 1900 | SSDP/UPnP | UPnP exploitation, automatic port forwarding abuse | Porta 1900 SSDP UPnP |
| 1947 | HASP | License server exploitation, DoS | Porta 1947 HASP |
| 1984 | BigBrother | Monitoring server info disclosure | Porta 1984 BigBrother |
| 1990 | UPnP Alt | UPnP porta alternativa | Porta 1990 UPnP |
| 1991 | cPanel Alt | cPanel porta alternativa | Porta 1991 cPanel |
| 1993 | SNMP Inform | SNMP inform message | Porta 1993 SNMP Inform |
| 2082 | cPanel HTTP | cPanel pannello hosting | Porta 2082 cPanel |
| 2083 | cPanel HTTPS | cPanel su SSL | Porta 2083 cPanel SSL |
| 2701 | TVersity | Media server legacy, info disclosure | Porta 2701 TVersity |
| 3478 | STUN | NAT traversal, WebRTC IP leak | Porta 3478 STUN |
| 6667 | IRC | C2 channel, botnet, covert exfiltration | Porta 6667 IRC |
Tool essenziali #
| Tool | Uso principale | Guida |
|---|---|---|
| Nmap | Port scan, version detection, NSE scripts | Nmap |
| Netcat | Banner grab, test connessione, reverse shell | Netcat |
| Hydra | Brute force multi-protocollo | Hydra |
| Responder | NTLM hash capture su 137/138/139/445 | Responder |
| Impacket | SMB, Kerberos, MSSQL, RPC, WMI via Python | Impacket |
| NetExec | Enumerazione e lateral movement Windows | NetExec |
| CrackMapExec | AD enumeration, spray, exec su rete Windows | CrackMapExec |
| BloodHound | Attack path mapping su Active Directory | BloodHound |
| Wireshark | Analisi traffico, credential capture | Wireshark |
| Patator | Brute force modulare multi-protocollo | Patator |
| Tcpdump | Packet capture CLI, passive recon | Tcpdump |
Hub correlati #
| Hub | Cosa copre |
|---|---|
| Tool Penetration Testing | Tutti i tool offensivi per fase — recon, exploitation, AD, pivoting, con attack chain reali |
| Web Vulnerabilities & Attack Techniques | SQL injection, XSS, SSRF, SSTI, LFI e tutto il web hacking |
Per penetration test professionali su infrastrutture reali, scopri i servizi di HackIta.
