首先使用namp工具对其进行信息收集:
1: 21端口存在匿名用户登录漏洞
1)漏洞利用:
2)漏洞加固:
3)加固验证:
再次使用匿名用户进行登录,发现无法登录,漏洞加固完成。
2:22端口存在弱口令漏洞
1)漏洞利用:
如果使用hydra不能爆话,就使用 -t,设置底线程的,或者使用msfconsole进行爆破
2)漏洞加固:
为root用户设置强密码
3)加固验证:
可以发现,密码并没有爆破成功。
3: 22端口存在root远程登录漏洞
1)漏洞利用:
2)漏洞加固:
3)加固验证:
再次登录提示,Permission denied
4: 80端口存在webshell后门漏洞
1)漏洞利用:
2)漏洞加固:
对潜在的webshell进行清除。
3)加固验证:
发现利用页面,已经被我们清除。
5: 高危端口存在后门漏洞
1)漏洞利用:
直接使用nc工具进行利用,得到root权限。
2)漏洞加固:
首先使用 netstat -tunlp 查看该端口的监听程序。
发现这里漏洞监听的端口均为autorunp程序。
使用 ps -ef |grep autorunp 查看后门程序的进程
发现最终运行的程序的目录在 /root/1/ 目录,下也可以直接使用 find/ -name autorunp 进行查找。
那么为什么一下子启动那么多进程呢? 肯定是有计划任务的。
可以看到,这里1分钟执行1次命令.最终导致开放的后门端口越来越多。
使用 crontab -e 将定时任务进行删除。之后使用 crontab -l 查看,已没有了计划任务。
往往这种后门程序还会开机自启动。
但是这里查看了一下并没有开机启动,可能是由于有了任务计划了吧,感觉再设置这一个就没必要了。
先将后门程序进行和删除.之后再批量杀死进程。
ps -ef 是 linux 系统查看说有进程的名称
grep autorunp 是查找带有后门程序的进程信息
cut -c 9-15 是截取输入行2的第9个字符到第15个字符,而这正好是 PID
xargs kali -9 是将前面输出的进程号,作为kali -9 名称的参数。
再次查看后面程序几经全部杀死.