网络安全Kali之基于SSH、FTP协议收集信息

已于 2024-01-13 21:13:41 修改
阅读量305 收藏
点赞数
文章标签: web安全 ssh linux 网络安全 安全
于 2023-02-12 23:25:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44005305/article/details/129001531
版权

简介

漏洞形成原因:

使用 splice(2) [^5](man7.org/linux/man-p…%25E7%25B3%25BB%25E7%25BB%259F%25E8%25B0%2583%25E7%2594%25A8%25E4%25BB%258E%25E4%25B8%2580%25E4%25B8%25AA%25E5%258F%25AA%25E8%25AF%25BB%25E6%2596%2587%25E4%25BB%25B6%25E5%2590%2591%25E4%25B8%2580%25E4%25B8%25AA%25E7%25AE%25A1%25E9%2581%2593%255B%255E6%255D(https%3A%2F%2Fman7.org%2Flinux%2Fman-pages%2Fman2%2Fpipe.2.html)%25E4%25B8%25AD%25E4%25BC%25A0%25E8%25BE%2593%25E6%2595%25B0%25E6%258D%25AE%25E6%2597%25B6%25EF%25BC%258C%25E4%25BC%259A%25E4%25BD%25BF%25E7%25AE%25A1%25E9%2581%2593%25E7%2594%25A8%25E4%25BA%258E%25E4%25BF%259D%25E5%25AD%2598%25E6%2595%25B0%25E6%258D%25AE%25E7%259A%2584%25E7%25BC%2593%25E5%2586%25B2%25E5%258C%25BA%25E5%2585%25B1%25E4%25BA%25AB%25E6%2596%2587%25E4%25BB%25B6%25E7%259A%2584 "https://man7.org/linux/man-pages/man2/splice.2.html)%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8%E4%BB%8E%E4%B8%80%E4%B8%AA%E5%8F%AA%E8%AF%BB%E6%96%87%E4%BB%B6%E5%90%91%E4%B8%80%E4%B8%AA%E7%AE%A1%E9%81%93%5B%5E6%5D(https://man7.org/linux/man-pages/man2/pipe.2.html)%E4%B8%AD%E4%BC%A0%E8%BE%93%E6%95%B0%E6%8D%AE%E6%97%B6%EF%BC%8C%E4%BC%9A%E4%BD%BF%E7%AE%A1%E9%81%93%E7%94%A8%E4%BA%8E%E4%BF%9D%E5%AD%98%E6%95%B0%E6%8D%AE%E7%9A%84%E7%BC%93%E5%86%B2%E5%8C%BA%E5%85%B1%E4%BA%AB%E6%96%87%E4%BB%B6%E7%9A%84") page cache。由于 PIPE_BUF_FLAG_CAN_MERGE 标志位的存在,调用 splice(2) 之后再向管道中写入数据时,写入的数据会直接写到文件的 page cache 中。

漏洞危害:低权限用户可利用此漏洞向本没有写权限的文件中写入数据,进而实现提权。

修复方法:根据使用的发行版,关注官方的漏洞通告并升级内核到已修复的版本。

漏洞分析过程

漏洞的利用过程与 Linux 管道和 splice(2) 系统调用的实现机制有关,因此当了解了二者的实现机制后,就很容易理解漏洞的形成原因。

因此漏洞分析过程分两部分:第一部分结合内核源码介绍管道和 splice(2) 的实现原理,第二部分通过运行 PoC 并动态调试内核,来实际体验并验证漏洞的触发过程。

先导知识

pipe 实现机制

首先给出一张描述 pipe 相关内核数据结构之间关系的图:

【一>所有资源获取<一】 1、网络安全学习路线 2、电子书籍(白帽子) 3、安全大厂内部视频 4、100份src文档 5、常见安全面试题 6、ctf大赛经典题目解析 7、全套工具包 8、应急响应笔记
创建 pipe

创建 pipe 的系统调用有两个:pipe(2) 和 pipe2(2),原型为:


#include <unistd.h>

int pipe(int pipefd[2]);
int pipe2(int pipefd[2], int flags);

系统调用的定义在 /fs/pipe.c 文件中:


SYSCALL_DEFINE2(pipe2, int __user *, fildes, int, flags)
{return do_pipe2(fildes, flags);
}

SYSCALL_DEFINE1(pipe, int __user *, fildes)
{return do_pipe2(fildes, 0);
}

两个系统调用的入口都是 do_pipe2() 函数。这个函数的功能是:

  • 调用 __do_pipe_flags() 函数创建两个 struct file 结构体实例和两个对应的文件描述符。

  • 调用 copy_to_user() 函数将两个文件描述符拷贝给系统调用参数 pipefd。

  • 调用 fd_install() 函数将文件描述符和 struct file 结构体实例关联起来。

__do_pipe_flags()

再看 __do_pipe_flags() 函数。函数原型为:


static int __do_pipe_flags(int *fd, struct file **files, int flags);

第一个参数 fd 用于保存创建的两个文件描述符,第二个参数用于保存创建的两个 struct file 结构体实例,第三个参数是系统调用参数 flags 的值。

__do_pipe_flags() 函数的工作为:

  • 检查非法的标志位组合。

  • 调用 create_pipe_files() 函数创建两个 struct file 结构体实例。

  • 调用两次 get_unused_fd_flags() 函数创建两个文件描述符。

  • 调用 audit_fd_pair() 函数处理审计相关的工作。

create_pipe_files()

再看 create_pipe_files() 函数 函数的用途是根据传入的标志位创建两个 struct file 结构体实例。流程为:

  • 调用 get_pipe_inode() 函数创建一个 inode 实例。

  • 如果标志位设置了 O_NOTIFICATION_PIPE 位,则初始化一个 watch 队列。

  • 调用 alloc_file_pseudo() 函数创建一个 strcut file 实例,并将 private_data 字段的值设置为 inode->i_pipe 的值。

  • 调用 alloc_file_clone() 函数拷贝一个 struct file 实例,同样将其 private_data 字段的值设置为 inode->i_pipe 的值。

  • 调用 stream_open() 函数打开两个文件。

get_pipe_inode()

接下来看看 get_pipe_inode() 函数是如何创建 inode 实例的。

  • 调用 new_inode_pseudo() 函数创建一个 inode 实例。

  • 调用 alloc_pipe_info() 函数创建一个 pipe_inode_info 实例。

  • 设置 inode 实例的以下字段:* inode->i_pipe 设置为 pipe 实例指针。* inode->i_fop 设置为 pipefifo_fops 变量的指针。* inode->i_state 设置为 I_DIRTY。* inode->i_mode 设置为 S_IFIFO | S_IRUSR | S_IWUSR。* inode->i_uid 设置为 fsuid,inode->i_gid 设置为 fsgid。* inode->i_atime、inode->i_mtime、inode->i_ctime 均设置为当前时间。

关键的内核数据结构

这里涉及到第一个关键的结构体 struct pipe_inode_info 内核使用这个结构体来描述一个 pipe:


/**
 *struct pipe_inode_info - a linux kernel pipe
 *@mutex: mutex protecting the whole thing
 *@rd_wait: reader wait point in case of empty pipe
 *@wr_wait: writer wait point in case of full pipe
 *@head: The point of buffer production
 *@tail: The point of buffer consumption
 *@note_loss: The next read() should insert a data-lost message
 *@max_usage: The maximum number of slots that may be used in the ring
 *@ring_size: total number of buffers (should be a power of 2)
 *@nr_accounted: The amount this pipe accounts for in user->pipe_bufs
 *@tmp_page: cached released page
 *@readers: number of current readers of this pipe
 *@writers: number of current writers of this pipe
 *@files: number of struct file referring this pipe (protected by ->i_lock)
 *@r_counter: reader counter
 *@w_counter: writer counter
 *@fasync_readers: reader side fasync
 *@fasync_writers: writer side fasync
 *@bufs: the circular array of pipe buffers
 *@user: the user who created this pipe
 *@watch_queue: If this pipe is a watch_queue, this is the stuff for that
 **/
struct pipe_inode_info {struct mutex mutex;wait_queue_head_t rd_wait, wr_wait;unsigned int head;unsigned int tail;unsigned int max_usage;unsigned int ring_size;
#ifdef CONFIG_WATCH_QUEUEbool note_loss;
#endifunsigned int nr_accounted;unsigned int readers;unsigned int writers;unsigned int files;unsigned int r_counter;unsigned int w_counter;struct page *tmp_page;struct fasync_struct *fasync_readers;struct fasync_struct *fasync_writers;struct pipe_buffer *bufs;struct user_struct *user;
#ifdef CONFIG_WATCH_QUEUEstruct watch_queue *watch_queue;
#endif
};

pipe 中的数据保存在结构体 pipe_buffer page 字段:


/**
 *struct pipe_buffer - a linux kernel pipe buffer
 *@page: the page containing the data for the pipe buffer
 *@offset: offset of data inside the @page
 *@len: length of data inside the @page
 *@ops: operations associated with this buffer. See @pipe_buf_operations.
 *@flags: pipe buffer flags. See above.
 *@private: private data owned by the ops.
 **/
struct pipe_buffer {struct page *page;unsigned int offset, len;const struct pipe_buf_operations *ops;unsigned int flags;unsigned long private;
};

顺便看看 alloc_pipe_info() 函数是怎样初始化 pipe_inode_info 结构体的。

  • 使用 kzalloc 函数创建一个 pipe_inode_info 实例。kzalloc 函数与 kmalloc 类似,只不过会初始化分配的内存。

  • 根据用户是否有 CAP_SYS_RESOURCE 权限决定 pipe 缓冲区的大小,并保存在 pipe_bufs 变量里。缓冲区的大小以页为单位。非 root 用户可以将缓冲区大小扩展为最大 1048576 个字节,保存在 pipe_max_size 变量中。可以通过 /proc/sys/fs/pipe-max-size 调整这个值。默认大小为 PIPE_DEF_BUFFERS (16)个内存页。

  • 检查当前用户是否创建了过多的 pipe。

  • 调用 kcalloc 函数为 pipe_inode_info 结构体的 bufs 字段分配内存。kcalloc 与 kzalloc 类似,只不过是分配连续若干个指定大小的内存块。

  • 初始化 pipe_buffer 中的其它成员:* 初始化读写队列。* 将读者和写者的数量初始化为 1。* pipe 的最大可使用量、缓冲区大小、记账个数都初始化为 pipe_bufs 变量的值。* 设置用户为当前用户。* 初始化互斥锁。

读写 pipe

上文中提到的 pipefifo_fops 是一个 struct file_operations 类型的常量,表示 pipe 文件支持的文件操作有哪些,以及保存了对应操作的函数指针:


const struct file_operations pipefifo_fops = {.open= fifo_open,.llseek= no_llseek,.read_iter= pipe_read,.write_iter= pipe_write,.poll= pipe_poll,.unlocked_ioctl= pipe_ioctl,.release= pipe_release,.fasync= pipe_fasync,
};

在上面 create_pipe_files() 函数中,会将 file 结构体实例的 f_op 字段设置成 pipefifo_fops 结构体的指针。用户态执行上面支持的系统调用时,VFS 会调用结构体中相应的函数。


ssize_t vfs_write(struct file *file, const char __user *buf, size_t count, loff_t *pos)
{...if (file->f_op->write)ret = file->f_op->write(file, buf, count, pos);else if (file->f_op->write_iter)ret = new_sync_write(file, buf, count, pos);...
}

以 write(2) 系统调用为例,进入系统调用入口之后,实际会调用 vfs_write() 函数。而 pipe 支持 write_iter 而不是 write,因此会接着执行 new_sync_write():


static ssize_t new_sync_write(struct file *filp, const char __user *buf, size_t len, loff_t *ppos)
{struct iovec iov = { .iov_base = (void __user *)buf, .iov_len = len };struct kiocb kiocb;struct iov_iter iter;ssize_t ret;init_sync_kiocb(&kiocb, filp);kiocb.ki_pos = (ppos ? *ppos : 0);iov_iter_init(&iter, WRITE, &iov, 1, len);ret = call_write_iter(filp, &kiocb, &iter);BUG_ON(ret == -EIOCBQUEUED);if (ret > 0 && ppos)*ppos = kiocb.ki_pos;return ret;
}

call_write_iter() 是一个内联函数:


static inline ssize_t call_write_iter(struct file *file, struct kiocb *kio,struct iov_iter *iter) {return file->f_op->write_iter(kio, iter);
}

其它系统调用类似,不再赘述。总之,从 pipe 中读取数据时,最终调用的是 pipe_read() 函数;向 pipe 中写入数据时,最终调用的是 pipe_write() 函数。

pipe_write()

先来看 pipe_write() 函数的主要流程:

  • 如果 pipe 读者的数量为 0,则向进程发送 SIGPIPE 信号,并返回 EPIPE 错误。

  • 计算要写入的数据总大小是否是页帧大小的倍数,并将余数保存在 chars 变量中。

  • 如果 chars 不为零,而且 pipe 不为空,则:* 获取 pipe 头部的缓冲区。* 如果缓冲区设置了标志位 PIPE_BUF_FLAG_CAN_MERGE,且缓冲区中已有的数据长度与 chars 的和不超过一个页帧的大小,则将 chars 长度的数据写入到当前的缓冲区中。* 如果剩余要写入的数据大小为零,则直接返回。

  • 在 for 循环中:* 判断 pipe 的读者数量是否为零。* 如果 pipe 没有被填满:* 获取 pipe 头部的缓冲区。* 如果还没有为缓冲区分配页帧,则调用 alloc_page() 函数分配一个。* 使用自旋锁锁住 pipe 的读者等待队列。再次检测 pipe 是否被填满,是则终止当前循环,执行下一次循环。* 将 struct pipe_inode_info 实例的 head 字段值增加 1。并释放自旋锁。* 设置当前缓冲区的字段。* 如果创建 pipe 时指定了 O_DIRECT 选项,则将缓冲区的 flags 字段设置为 PIPE_BUF_FLAG_PACKET,否则设置为 PIPE_BUF_FLAG_CAN_MERGE。* 将要写入的数据拷贝到当前的缓冲区中,并设置相应的偏移量字段。

splice 系统调用

splice() 系统调用避免在内核地址空间与用户地址空间的拷贝,从而快速地在两个文件描述符之间传递数据。函数原型为:


#define _GNU_SOURCE
#include <fcntl.h>

ssize_t splice(int fd_in, off64_t *off_in, int fd_out, off64_t *off_out, size_t len, unsigned int flags);

此次漏洞使用的情况是从文件向管道传递数据,因此 fd_in 指代一个普通文件,off_in 表示从指定的文件偏移处开始读取,fd_out 指代一个 pipe,len 表示要传输的数据长度,flags 表示标志位。详细情况可以参考手册。

看看 splice() 系统调用的主要流程。系统调用的定义在 fs/splice.c 文件中,主要工作由 __do_splice() 函数完成。

__do_splice() 在做完简单的参数检查之后,又调用 do_splice() 函数实现主要工作。

do_splice() 中,会根据两个文件描述符的类型进入不同的分支。当前情况下,fd_out 指代一个 pipe,因此会进入 if (opipe) 这个分支。主要工作通过 do_splice_to() 函数完成。


/*
 * Determine where to splice to/from.
 */
long do_splice(struct file *in, loff_t *off_in, struct file *out, loff_t *off_out, size_t len, unsigned int flags)
{struct pipe_inode_info *ipipe;struct pipe_inode_info *opipe;loff_t offset;long ret;// 判断两个文件描述符的打开模式是否符合条件if (unlikely(!(in->f_mode & FMODE_READ) || !(out->f_mode & FMODE_WRITE)))return -EBADF;ipipe = get_pipe_info(in, true);opipe = get_pipe_info(out, true);// 当 in 和 out 都是 pipe 的情况if (ipipe && opipe) {if (off_in || off_out)return -ESPIPE;/* Splicing to self would be fun, but... */if (ipipe == opipe)return -EINVAL;if ((in->f_flags | out->f_flags) & O_NONBLOCK)flags |= SPLICE_F_NONBLOCK;return splice_pipe_to_pipe(ipipe, opipe, len, flags);}// 当 in 是 pipe 的情况if (ipipe) {......}// 当 out 是 pipe 的情况if (opipe) {// 不能为 pipe 设置偏移量if (off_out)return -ESPIPE;if (off_in) {if (!(in->f_mode & FMODE_PREAD))return -EINVAL;offset = *off_in;} else {offset = in->f_pos;}if (out->f_flags & O_NONBLOCK)flags |= SPLICE_F_NONBLOCK;// 获取 pipe 的锁pipe_lock(opipe);// 等待 pipe 有可使用的缓冲区ret = wait_for_space(opipe, flags);if (!ret) {unsigned int p_space;// 计算能够读取的文件长度,不应该超过 pipe 剩余的缓冲区大小/* Don't try to read more the pipe has space for. */p_space = opipe->max_usage - pipe_occupancy(opipe->head, opipe->tail);len = min_t(size_t, len, p_space << PAGE_SHIFT);// 调用 do_splice_to() 实现主要工作ret = do_splice_to(in, &offset, opipe, len, flags);}// 释放 pipe 的锁pipe_unlock(opipe);if (ret > 0)// 唤醒 pipe 的读者等待队列中的进程wakeup_pipe_readers(opipe);if (!off_in)in->f_pos = offset;else*off_in = offset;return ret;}return -EINVAL;
}
do_splice_to()

在 do_splice_to() 中,主要功能是通过输入文件的 splice_read() 方法实现的。这里以 ext4 文件系统为例,在 fs/ext4/file.c 文件中查看 ext4_file_operations 变量可知,ext4 文件系统中,splice_read 使用的是定义在 fs/splice.c 中的 generic_file_splice_read() 方法。接着通过调试可知接下来的函数调用链:


generic_file_splice_read() -> call_read_iter() -> generic_file_buffered_read() -> copy_page_to_iter() -> copy_page_to_iter_pipe()

call_read_iter() 是一个定义在 include/linux/fs.h 中的内联函数,实际调用的是输入文件的 read_iter() 方法。而 ext4 文件系统的 read_iter() 方法是 ext4_file_read_iter()。在当前情况下,会调用 generic_file_rad_iter(),其接着调用 generic_file_buffered_read()。

copy_page_to_iter_pipe()

generic_file_buffered_read() 是通用的文件读取例程,将文件读取到 page cache 后会通过 copy_page_to_iter() 函数将文件对应的 page cache 与 pipe 的缓冲区关联起来。实际的关联操作通过定义在 /lib/iov_iter.c 中的 copy_page_to_iter_pipe() 实现:


/*
 * page 是文件对应的内存页帧,pipe 实例被包裹在 struct iov_iter 实例中
*/
static size_t copy_page_to_iter_pipe(struct page *page, size_t offset, size_t bytes, struct iov_iter *i)
{struct pipe_inode_info *pipe = i->pipe;struct pipe_buffer *buf;unsigned int p_tail = pipe->tail;unsigned int p_mask = pipe->ring_size - 1;unsigned int i_head = i->head;size_t off;if (unlikely(bytes > i->count))bytes = i->count;if (unlikely(!bytes))return 0;if (!sanity(i))return 0;off = i->iov_offset;buf = &pipe->bufs[i_head & p_mask];if (off) {if (offset == off && buf->page == page) {/* merge with the last one */buf->len += bytes;i->iov_offset += bytes;goto out;}i_head++;buf = &pipe->bufs[i_head & p_mask];}if (pipe_full(i_head, p_tail, pipe->max_usage))return 0;buf->ops = &page_cache_pipe_buf_ops;// 增加 page 实例的引用计数get_page(page);// 将 pipe 缓冲区的 page 指针指向文件的 pagebuf->page = page;buf->offset = offset;buf->len = bytes;pipe->head = i_head + 1;i->iov_offset = offset + bytes;i->head = i_head;
out:i->count -= bytes;return bytes;
}

漏洞复现

分析

如果了解了向 pipe 写入数据的过程,以及 splice() 系统调用从文件向 pipe 传输数据的过程,就不难理解漏洞的形成原因了。对照漏洞发现者提供的 PoC 来解释漏洞形成原因:

  • 首先创建一个 pipe。接着每次向 pipe 中写入一个页帧大小的数据。从 pipe_write() 可知,每次写入都不会进入 if (chars && !was_empty) 这个分支,因为写入数据的大小为页帧大小的整数倍时,chars 的值总为零。创建 pipe 的时候没有指定 O_DIRECT 标志,因此在 for 循环中会将每个 pipe_buffer 的标志位设置为 PIPE_BUF_FLAG_CAN_MERGE。

  • 接下来打开要覆写的文件,并通过 splice() 系统调用向 pipe 中写入一个字节。根据 splice() 的实现,将文件从硬盘读取到 page cache 后,会把文件对应的 page 与 pipe_buffer 的 page 字段关联起来,并且不会重置 pipe_buffer 的 flags 字段。也就是说,此时 flags 字段的值仍为 PIPE_BUF_FLAG_CAN_MERGE。

  • 最后向 pipe 中写入小于一个页帧大小的数据。进入 pipe_write() 之后,会进入 if (chars && !was_empty) 分支。由于在 copy_page_to_iter_pipe() 中,将文件的 page 与 pipe_buffer 的 page 字段关联之后,将 pipe_inode_info 实例的 head 值增加了 1,因此为了将小于一个页帧的数据写入到前一个 pipe_buffer 中, if 分支里获取 pipe_buffer 的时候将 head 值减 1,从而此时 pipe_buffer 的 page 指向的是文件的 page。

调试验证

首先创建一个要覆写的文件并用随机字符串填充:

然后在 GDB 中分别在 pipe_write 和 copy_page_to_iter_pipe 两个函数设置断点:

然后在 GDB 中使用 continue 命令让虚拟机继续运行,并执行 PoC 程序。然后会在 pipe_write 处停止。使用下面的 GDB 脚本可以看到,pipe 的所有 pipe_buffer 中的标志位都为零:


set $index = 0
while ($index < pipe->ring_size)print pipe->bufs[$index++]->flags
end

然后接着执行 15 次 continue 命令,在第 16 次向 pipe 中写入数据之前停止。再次查看所有 pipe_buffer 的标志位,发现都被置为了 PIPE_BUF_FLAG_CAN_MERGE:

当最后一次 pipe_write 执行完后,pipe->head 的值为 16。

接着执行 continue 命令,会在 copy_page_to_iter_pipe 处停下来。单步进入几步之后,先把 pipe 变量和文件对应的 page 实例的地址保存到变量中。

因为当前 pipe->head 的值是 16,而 pipe->ring_size 的值时默认的 16,因此第 395 行代码中取到的是第一个 pipe_buffer。

接下来将文件的 page 与 pipe_buffer 的 page 字段关联起来,并将 pipe 的 head 字段加一,即此时为 17。

接着 continue,会停在 pipe_write 处。接着单步执行,会进入触发漏洞的 if 分支。然后查看 buf->page 的值,和之前保存的文件的 page 的地址相同。继续之后,文件覆写成功:

低权限用户篡改没有写权限文件的验证

在上面的验证过程中,由于使用的是最简单的内核以及 busybox,因此使用 root 用户。为了验证低权限用户可以成功篡改没有写权限的文件,在此使用 ArchLinux 发行版,以 5.10.69-1-lts 内核版本作验证:

结论

经复现过程可知,漏洞利用方式相对简单,建议受影响的机器立即升级到官方最新版本。

网络安全成长路线图

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成hei客大神,这个方向越往后,需要学习和掌握的东西就会越来越多,以下是学习网络安全需要走的方向:

# 网络安全学习方法

上面介绍了技术分类和学习路线,这里来谈一下学习方法: ## 视频学习

无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

教IT的无语强
关注
网络安全系列-三十二:基于kali系统安装CALDERA【建立在MITRE ATT&CK™之上的网络安全平台】
penriver的博客
08-27 2431
CALDERA™是一个网络安全平台,旨在轻松自动化对手模拟,协助手动红队,并自动化事件响应。 它建立在MITRE ATT&CK™框架上,是MITRE的一个活跃的研究项目。 CALDERA™框架由两个部分组成: - **核心系统**:框架代码,包括一个带有REST API和web界面的异步命令与控制(C2)服务器。 - **插件**: 扩展了核心框架功能,并提供了额外的功能。示例包括代理、报告、TTPs 集合等。 本文在kali系统中,搭建CALDERA环境,用于学习............
网络安全-kali配置ssh服务+敏感文件泄+dirsearch脚本
weixin_48137911的博客
04-14 716
seccure shell 就是加密的telnet 远程用的。#PermitRootLogin yes 然后保存退出。然后通过命令查看看到ssh服务已经runing状态。输入 set number 找到第57行。把这个前面的#注释给去掉。在第32行后面加上这条。使用xshell连接。
4.4、漏洞利用-SSH弱口令破解
c10udz的博客
09-12 1496
原理:ssh服务用户名和密码弱口令注释:-h,指定目标主机;-u,用户名;-U,用户字典;-p,密码;-P,密码字典;-M指定破解服务类型ssh 用户名@IP地址输入密码即可登录使用metasploit进行ssh登录,会自动建立对应的bash shell连接。利用上一步获取的bash shell,注入meterpreter payload,从而获取更强大功能的shell。
OpenSSH命令注入漏洞(CVE-2020-15778)
热门推荐
qq_42947816的博客
02-09 2万+
一般在特定环境下利用,比如在知道SSH账户密码后,但禁用SSH登陆或SSH连接被阻止,服务器允许使用scp传文件的情况下,可对其进行命令注入,所以如果攻击者不知道ssh账密,此漏洞无法利用。
Kali下的SSH爆破工具
7Riven's blog
11-24 6606
1.hydra(九头蛇)工具 使用已知用户,进行密码爆破 hydra -l zhangsan -P /root/passwd.txt ssh://192.168.10.1 使用已知密码,进行用户爆破 hydra -L /root/user.txt -p 123.com ssh://192.168.10.1 使用用户字典、密码字典,对多个目标主机进行爆破 hydra -L /root/user...
网络安全 Kali web安全 基于SMB协议收集信息
xueshenlaila的博客
03-23 652
SMB概述:服务器消息块(Server Message Block,缩写为SMB),又称网络文件共享系统(Common Internet File System,缩写为CIFS),一种应用层网络传输协议,由微软开发,主要功能是使网络上的机器能够共享计算机文件、打印机、串行端口和通讯等资源。 经过Unix服务器厂商重新开发后,它可以用于连接Unix服务器和Windows客户机,执行打印和文件共享等任务。
网络安全:Metasploit 渗透测试之信息收集
weixin_46035615的博客
04-19 3154
网络安全:Metasploit 渗透测试之信息收集 1 基于 TCP 协议收集主机信息 2 基于 SNMP 协议收集主机信息 3 基于 SMB 协议收集信息 4 基于 SSH 协议收集信息 5 基于 FTP 协议收集信息
xshell和xftp7用ssh连接kali虚拟机
04-17
网络安全、服务器管理和维护、软件开发等众多IT领域中,SSH协议都扮演着非常重要的角色。本文将介绍如何使用Xshell和Xftp7这两个常用的网络工具,通过SSH连接到一个Kali Linux虚拟机。 Xshell是一款在Windows平台...
网络安全之—Kali Linux基本命令大全
Jay
12-23 2591
系统信息 arch 显示机器的处理器架构(1) uname -m 显示机器的处理器架构(2) uname -r 显示正在使用的内核版本 dmidecode -q 显示硬件系统部件 - (SMBIOS / DMI) hdparm -i /dev/hda 罗列一个磁盘的架构特性 hdparm -tT /dev/sda 在磁盘上执行测试性读取操作 cat /proc/cpuinfo 显示CPU info的信息 cat /proc/interrupts 显示中断 cat /proc/meminfo 校验内存使用 c
kali下破解ssh私钥并远程登录
zhaozhanyong的专栏
03-28 2757
1、获取对方的id_isa和authorized_keys(私钥); 2、运行ssh -i id_rsa用户名@ip,会提示输入口令 3、使用ssh2john,可将id_isa秘钥信息转换为john可识别的信息, chmod 600 id_isa ssh2johnid_isa> isacrack 4、利用字典解密isacrack信息 zcat /usr/share/word...
网络安全(黑客技术)2024年三个月自学手册
2401_85026116的博客
09-14 2993
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全 L1 Introduction to Security
weixin_74400487的博客
09-12 778
Then he/she may be able to decrypt passwords offline using brute force (thereby bypassing methods to prevent on-line password cracking).暴力破解是一种尝试所有可能的密码组合,直到找到正确密码的方法。由于这种破解尝试是在攻击者的系统上进行的,而不是直接针对目标系统,因此它可以绕过目标系统上可能存在的防止在线密码破解的措施,如账户锁定策略或登录尝试限制。
网络安全实训八(y0usef靶机渗透实例)
Wrop的博客
09-12 478
y0usef靶机渗透实例
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
最新发布
2401_84466224的博客
09-14 1118
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
国家网络安全宣传周 | 2024年网络安全领域重大政策法规一览
WAJXY2021的博客
09-12 1133
整理了2024年国内发布的网络安全领域相关政策法规,希望能为广大从业者与关注者提供相关参考,共同促进网络安全生态的健康发展。
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
09-09 1753
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
Web安全网络安全:SQL漏洞注入
hong161688的博客
09-10 987
Web安全领域,SQL注入漏洞(SQL Injection Vulnerability)是一种极具破坏性的安全威胁。它允许攻击者通过向Web应用程序的输入字段中插入或“注入”恶意的SQL代码片段,从而操纵后台数据库系统,执行未授权的数据库查询,甚至可能获取数据库管理权限,进而对整个系统造成严重的安全损害。本文将从SQL注入的原理、分类、危害及防御策略等方面进行详细阐述。
2024世界技能大赛某省选拔赛“网络安全项目”B模块--数字取证解析②(超详细~)
Aluxian_的博客
09-13 404
现在,A 集团已遭受来自不明组织的非法恶意攻击,您的团队需要帮助 A 集团追踪此网络攻击来源,分析恶意攻击攻击行为的证据线索,找出操作系统和应用程序中的漏洞或者恶意代码,帮助其巩固网络安全防线。A 集团的 WebServer 服务器被黑客入侵,该服务器的 Web 应用系统被上传恶意软件,系 统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行 全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为, 和残留的关键证据信息
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值