当前位置:网站首页>6-18漏洞利用-后门连接

6-18漏洞利用-后门连接

2022-07-25 21:48:00 山兔1

在这里插入图片描述

后门连接探测

某些情况下,服务器可能存在某些后门,可以使用Nmap进行探测和尝试。

我们之前就已经探测了他对应的端口与服务,然后对目标的IP地址进行探测

nmap -sV -p 1524 192.168.1.105

在这里插入图片描述

可以看到这里给出了一个service,说是给了一个绑定shell,以及它的banner信息,root shell

nmap 192.168.1.105

在这里插入图片描述

我们在这里看到ingreslock内容,我们可以进一步探测

nmap -p 1524 -sV 192.168.1.105

在这里插入图片描述

我们根据bindshell,猜测到,会是一个后门程序,这个时候,我们就需要验证这个猜测,我们用nc连接目标地址的端口号,来对其后门进行连接,从而获取对应的权限

nc连接后门获取权限

Nc 目标IP 端口号 连接后门程序。

nc 192.168.1.105 1524

在这里插入图片描述

连接之后,我们可以执行对应的命令,使用id和whoami来查看当前的权限,以及执行其它的系统命令

ifconfig
//查看当前连接到的服务器IP地址

在这里插入图片描述

id
whoami
hostname

在这里插入图片描述

我们以root权限登录到远程目标的服务器上面,执行最高权限的命令

我们服务器为什么存在后门程序

1、我们当前的服务器已经遭受过对应的黑客攻击,使得它在原有的服务器上面留了个后门,我们通过检测发现到这个后门,就可以直接顺着它的shell,进行连接

2、系统管理员,在某些情况下,需要对远程的机器进行管理,但是在管理的过程中,需要对应的反弹shell,这个时候,它很有可能开启了一个等待连接的shell,我们直接连接这个端口号,循着管理员的思路、方法、路径,进到系统中

3、某些软件本身就存在连接shell后门,这个时候,我们可以直接进行连接,连接到对应的shell

如何进行防御

我们一定要检测,当前系统,开放了那些端口,在某些情况下,尽量没有使用的端口,尽量关闭,我们只开启,我们服务器运行状态下,必须要开启的端口号,不相关的端口号,直接关闭,当然,我们也要实时监测系统服务器的网络状态,在出现连接过程中,我们一定要注意很有可能,这就是一次连接后门程序的一个活动,我们要对它进行实时监控

原网站

版权声明
本文为[山兔1]所创,转载请带上原文链接,感谢
https://blog.csdn.net/m0_53008479/article/details/125973487

边栏推荐

猜你喜欢

随机推荐