从一次‘被黑’演练说起：记录我用Nmap信息收集+社工字典，10分钟‘破解’同事测试机SSH的全过程

从一次内部安全演练看SSH防护Nmap信息收集与社工字典的实战启示那天下午茶水间闲聊时技术主管突然提议要不要来场即兴安全演练给你10分钟试试能不能突破测试组的CentOS 7服务器。作为团队里对渗透测试最感兴趣的成员我当即接受了这个挑战。桌上显示器还亮着同事的工位名牌这或许就是第一个突破口。1. 锁定目标信息收集的艺术从抽屉取出准备好的Kali Linux启动盘插入笔记本在Live环境中打开终端。虽然知道目标IP段是192.168.5.0/24但具体哪台是测试机仍需确认。比起常规的ping扫描我更倾向使用ARP协议探测sudo arp-scan --localnet --interfaceeth0三秒后终端返回两个活跃主机192.168.5.23 00:1a:4b:3c:2d:5e Dell Inc. 192.168.5.107 00:0c:29:8f:1b:e2 VMware, Inc.根据MAC地址特征192.168.5.107显然是虚拟化的测试机。接下来用Nmap进行深度指纹识别nmap -sV -O -T4 192.168.5.107关键输出片段显示22/tcp open ssh OpenSSH 8.4p1 (protocol 2.0) MAC Address: 00:0C:29:8F:1B:E2 (VMware) Device type: general purpose Running: Linux 3.X|4.X OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4信息拼图1SSH版本OpenSSH 8.4p12020年发布存在已知弱配置风险系统架构Linux内核3.x/4.x时代产物虚拟化平台VMware ESXi常见MAC前缀提示现代企业网络通常禁用ICMPARP扫描和TCP SYN扫描组合能有效规避基础防御2. 社工密码字典的精准构建回到工位瞥见测试组同事桌上的便利贴Jenkins密码StrBuck2023。这启发我采用混合字典策略字典生成逻辑基础字典融合RockYou.txtTop1000弱密码公司特征年份变体2020~2023公司产品名年份如CloudBox2023个人特征基于公开信息宠物名生日同事微信头像显示金毛犬车牌片段停车场看到的粤B·5TE8使用Crunch生成结构化组合crunch 8 8 -t ,Str%% -o custom_dict.txt最终字典结构示例Str2020! Str2021 Goldie0228 CloudBox233. 智能爆破Hydra的高效运用传统暴力破解效率低下我采用分层验证策略阶段式攻击参数hydra -L users.txt -P custom_dict.txt -t 4 -vV \ -o result.txt -I ssh://192.168.5.107关键优化-t 4匹配SSH服务器的MaxStartups默认值-vV实时观察尝试组合先测试3个常见用户名再扩展名单执行6分38秒后控制台突然返回[22][ssh] host: 192.168.5.107 login: devops password: Goldie0228验证连接ssh devops192.168.5.107成功登录后立即执行history命令发现近期有sudo操作记录——这正是权限提升的下一步线索。4. 从攻击视角看防御加固这次演练暴露出几个典型防护漏洞SSH安全配置对比表风险配置推荐方案实施命令示例密码认证密钥认证密码禁用PasswordAuthentication no默认端口22非标准端口端口敲门Port 65222低版本OpenSSH定期升级漏洞监控yum update openssh-server无失败限制Fail2Ban自动封禁maxretry 3常见系统用户名自定义低权限用户useradd -s /bin/false deploy注意生产环境应启用双因素认证如Google Authenticator PAM模块回到工位后我立即给测试组发了加固建议。主管看着计时器显示的9分47秒笑着说下次得把咖啡杯上的便利贴收起来了。这场十分钟的攻防游戏再次验证了安全防护中攻击者思维的价值——只有知道矛有多锋利才能铸就更坚固的盾。