如上图,登录类型 10代表的是远程登录,使用administrator尝试登录了48w次,确认服务器正在遭受RDP协议暴力破解攻击,攻击来源为内网的另一台服务器。 由于远程管理端口发布到了,导致每天都会有不同的ip尝试爆破,通过TCP隧道访问目标端口,在目标服务器安全日志里留下的只有作为客户端代理服务器的ip地址。 ? (4)定位内部攻击者 在跳板机上找到了npc连接日志,存在各种公网ip尝试爆破3389的记录,找到最早的访问日志,包括访问内部的相关网站和服务器,初步怀疑为内部相关人员。 找到这几台服务器相关的管理员,确认了一下,出于对外网运维访问的需求,私自配置了内网穿透工具,将内网端口映射到了公网。 ? 03、安全总结 通过内网穿透工具,绕过了原有的网络限制,从而变相地把内网端口发布到公网了。一般情况下,这是由攻击者发起的,一旦发现就100%意味着服务器已沦陷。
前言 本该是风和日丽的一天,闲得无聊,打开了windows的事件查看器,诶,我不是换了rdp(远程桌面连接)的默认端口了吗,竟然还这么多登录日志,得~ 换端口果然是自欺欺人的事情。被爆破了。 原来还是RDP爆破啊。并且有来源ip了,来,继续。 RDP爆破防御 ? RDP爆破方式攻击防控思路梳理 简单有效-策略组限制 通过上图大佬的总结,我优先使用了策略组进行配置,账户锁定策略。 所以我只好继续 wail2ban wail2ban,linux中有个很好用的工具,叫做fail2ban,wail2ban算是它的windows版本,做的事情大致相同,从日志(事件)匹配并提取ip,进行封禁 我就想看看对方的RDP爆破和我正常的RDP连接有什么区别。 恩,Wireshark安装! 因为用到了TLS层,我后面甚至还做了解密(不做也可以)。 具体方式见如何使用Wireshark解密Windows远程桌面(RDP)协议 我的捕获过滤器是 port 端口号,显示过滤器为not ip.addr eq 本机ip ? 爆破数据包 ?
个人网站、项目部署、开发环境、游戏服务器、图床、渲染训练等免费搭建教程,多款云服务器20元起。
那就来试试速度超快的RDP-Sniper! [7kbScan]-RDP-Sniper [铸剑实战靶场内部版] ? 调用微软官方类库,使用rdp协议6.1版本 ,并支持NLA (详情请搜索Network Level Authentication) 。 编译后使用工具合并所需类库,使用更清爽。 内置了常见密码字典约200个以供测试。 靶场亮剑: 靶机已经搭设好,你只需要启动它,再掏出神器,便能感受极速爆破的快感! ? 更多精彩功能请下载后自行体验! 下载地址: https://github.com/7kbstorm/7kbscan-RDP-Sniper
上一篇讲到了如何用Python开发字典,而当我们手里有了字典 就可以进一步去做爆破的任务了,可以用现成的工具,当然也可以自己写 接下来我就要一步一步来写爆破工具! 爆破MySQL: 想要爆破MySQL目标至少要允许远程连接 我这里没有开启远程连接,只是爆破本地的MySQL 实际上,如果掌握了如何爆破本地MySQL,那么想要远程爆破MySQL也是很轻松的 最基本的实现 print "用户名:" + username + " 密码:" + password + " 破解失败" pass 固定好哪些用户名和哪些密码,以及爆破的 IP和端口,直接执行即可 进阶的MySQL爆破脚本:写的很完整,支持多线程 # -*-coding:utf-8 -*- """ MySQL爆破脚本 用法: python MysqlCrack2.py - result_pass) if result_user is None and result_pass is None: print "[+] Crack Fail" FTP破解工具开发
Hydra(九头蛇海德拉)是希腊神话之中的一个怪兽,以九个头闻名于世,在Kali中hydray(hai der rua) 是默认被安装的,该工具是密码破解的老司机,可以破解各种登录密码,非常怪兽,但是其稳定性不是很好 破解成功会提示用户名密码 其他破解使用方式 远程桌面暴力破解 hydra -L /data/dic/user.dic -P /data/dic/password.dic -t 1 192.168.2.57 rdp : hydra -l administrator -P pass.txt IP smb 破解pop3: hydra -l muts -P pass.txt my.pop3.mail pop3 破解rdp : hydra IP rdp -l administrator -P pass.txt -V 破解http-proxy: hydra -l admin -P pass.txt http-proxy:/
爆破原理 爆破的原理其实是通过枚举域名的A记录的方式来实现的 泛解析如何爆破 首先的访问一个随机并不存在的域名chorashishuaige.xx.com,记录其泛解析到的IP地址。 可以使用泛解析配合DNS轮询的方式,即访问一个随机不存在的域名chorashishuaige.xx.com会得到一组IP,访问另一个不存在的域名又会得到另外一组IP, 这样就会给域名爆破工具带来误报,当然域名爆破工具完全可以先多次枚举随机域名 o2o.xx.com的方式来在指定位置进行爆破 比如有一个6级域名test.m.esf.db.house.xx.com,如果不支持循环遍历,则需要先爆破xx.com,爆破出house.xx.com再爆破 大量的DNS请求会造成网络卡顿,特别是挂机循环爆破几天的情况下可能会影响到同事的网络,这个时候可以先暂停等后续再进行爆破。 使用方法 可以导入自己的字典进行爆破,也可以自己定义规则进行爆破。 爆破二级域名使用的是字典或者规则,爆破三级及以下使用的是字典2或者规则2。 开始功能即为使用字典或者规则进行二级域名的爆破,然后使用字典2或者规则2一直遍历到没有发现新的域名或者指定的层次为止。
在写自动化渗透工具的时候苦与没有好用的子域名爆破工具,于是自己就写了一个。 Ksubdomain是一个域名爆破/验证工具,它使用Go编写,支持在Windows/Linux/Mac上运行,在Mac和Windows上最大发包速度在30w/s,linux上为160w/s的速度。 总的来说,ksubdomain能爆破/验证域名,并且快和准确。 目前大部分开源的域名爆破工具都是基于系统socket发包,不仅会占用系统网络,让系统网络阻塞,且速度始终会有限制。 其中不仅限于突破安全壁垒的大型工具,也会包括涉及到优化日常使用体验的各种小工具,除了404本身的工具开放以外,也会不断收集安全研究、渗透测试过程中的痛点,希望能通过“404星链计划”改善安全圈内工具庞杂
第二,用户请求DNS之后,未必就非得访问它呀,比如本文下述的子域名爆破,我们只对DNS数据本身感兴趣,而不访问其域名,这样加密DNS就有了实际意义。 [2] 0x02 子域名爆破 我用C#写了一个非常简易的子域名爆破工具,为了演示DNS over HTTPS。(仅为技术讨论使用,请勿用于违法用途!) 这个工具我只测试了Windows 10 + Visual Studio 2017 + .NET Framework 4.6.1。 工具的地址:【点击底部阅读原文下载】。欢迎大家提交issues和PR。
简单介绍 xhydra是hydra的一个可视化工具,它可以利用众多协议进行口令、账号、密码的爆破,同样支持FPT、MYSQL、SMTP、TELNET、SSH等众多的协议爆破。 Passwords 界面介绍 Username 选项 比如你知道这个机器用户名是root,那么填写root即可 Username List选项 在不知道对方账号名称是,可以准备一个账号名字典来去进行爆破 Loop around users 选项 采用字典爆破时需要勾选 Portocol does not require usernames 选项 协议不需要账号,这一个选项一般不勾选 Password选项 知道密码不知道用户名,搭配字典使用 Tuning 界面介绍 Performance Options 线程设置得越高,爆破的速度就越来越快 Use a HTTP/HTTPS Proxy 可以配置代理进行爆破 Start 界面介绍 持续更新…
根据返回的长度就可以判断出正确密码了 整个流程中,只需要获取一次验证码,接下来就不用获取便可爆破了。 字典自行添加! 原文地址:http://www.maoyabk.cn/? post=135 后台密码爆破
前言: 在渗透测试中,针对各项服务(FTP、RDP等)的爆破往往是繁琐的,一款好用的爆破工具,可以提高渗透测试的效率,超级弱口令检查工具(作者shack2)支持很多服务的爆破,支持批量导入爆破。 工具采用C#开发,需要安装.NET Framework 4.0,工具目前支持SSH、RDP、SMB、MySQL、SQLServer、Oracle、FTP、MongoDB、Memcached、PostgreSQL 工具特点: 1.支持多种常见服务的口令破解,支持Windows账户弱口令检查(RDP(3389)、SMB)。 2.支持批量导入IP地址或设置IP段,同时进行多个服务的弱口令检查。 其他说明查看下载文件夹readme.txt和使用手册 2.工具界面 3.部分功能使用展示 (1)爆破FTP服务 (2)爆破PostgreSQL数据库 注:踩坑,当爆破服务不是常规端口,需在设置里更改端口 如果你要在Server 03或Xp上运行此工具,并且要使用RDP检查,请下载2019-03-22版本,2019-03-23以后版本,RDP不在支持。
HashCat系列软件在硬件上支持使用CPU、NVIDIA GPU、ATI GPU来进行密码破解。在操作系统上支持Windows、Linux平台,并且需要安装官...
,可以看下https://cloud.tencent.com/developer/article/1909626 一般维护系统时(比如远程不了时)才使用vnc登录 正常情况下请使用mstsc等标准远程工具而不是 webrdp 关于远程工具,继续往下看,刷新你的认知 RDP协议的推荐3种: https://docs.microsoft.com/zh-cn/windows-server/remote/remote-desktop-services remote-desktop-clients https://www.parallels.cn/products/ras/download/client/ https://jumpdesktop.com/ 类RDP www.radmin.cn/download/ (server、client端软件不同) https://www.nomachine.com/download(server、client端软件相同) 发散:非RDP 协议兼容QQ快捷登录,RDP协议不兼容QQ快捷登录 最好用的手机远程软件,非jump desktop莫属 这里贴一个jump desktop的apk,手机远程windows服务器的工具很多,最好用的是
结论先行:web rdp 软件Myrtille,支持server 2016/2019/2022系统 不需要输Server(:port),只需要输用户名和密码 安装完成后,在服务器内部验证的话,打开浏览器访问
渗透测试方法 凭据爆破 条件限制 目标 RDP 协议端口向你开放 演示 暴力破解服务器远程桌面账户密码,最好做一下前期的信息收集,猜测下目标的用户名,比如通过 smb 协议。 如果 smb 协议可以爆破的话,还是爆破 smb 协议吧,因为 rdp 协议比较脆弱,经不起高速的爆破。 hydra 走起。轻轻地爆破,不能太暴力。 再说爆破 rdp 应该不是明智之选吧。 RDP中间人攻击 通过任意方式将受害者的流量欺骗至攻击者机器,然后再用相关的工具处理用户登陆远程桌面的流量。 条件限制 能够把受害者机器的流量欺骗至攻击者机器 受害者使用远程桌面 演示 RDP 中间人攻击工具 Seth https://github.com/SySS-Research/Seth 稍微看看文档,直接运行 虽然直接爆破 RDP 可能不是明智之选,但是多个选择也就多条路,希望各位大佬发力,编写支持新版本 RDP 协议的爆破工具,不然也就只能等着 hydra 的作者更新了。
在Web渗透测试中有一个关键的测试项:密码爆破。 本文作者:whw1sfb 原文:https://www.freebuf.com/sectool/238272.html 免责声明:本文中提到工具与测试方法仅供研究学习使用,请遵守《网络安全法》等相关法律法规
新电脑使用Microsoft账号登录后,RDP提示“你的凭据不工作” 在修改Microsoft账户密码后,RDP的密码一直不更新 在Microsoft账户开启无密码后,RDP无法使用 如果你不属于上述的情况 我意识到,是因为没更新,本地和远程的数据不一样,这个数据可能也不仅限于RDP的密码 至此,我试着研究是否存在主动更新密码的方法,于是我发现是StackExchange的问题 我尝试了将账户类型转换为本地账户 ,再更改为在线账户 当我修改成本地账户时,所有问题得到解决,当我修改为在线账户时,首先出现的是RDP无法连接,就像被墙了一样,我尝试连接127.0.0.1,发现没有任何问题 我初步判断这是由于防火墙重置我修改的 接下来顺藤摸瓜,我发现当我用Microsoft密码登录电脑后,RDP又可以正常使用了! 解决方案 在RDP密码与想象中情况不符合的时候,使用Microsoft账户密码登录一次电脑即可 在Windows的开箱界面,会直接让你登录和设置pin,然后几乎一直都是在用pin登录。
总结一下工具特点:人无我有,人有我优。 废话不多说,先说特性。 特性: 1.快,快的有点狠。爆破分为三种模式:low,medium和high。 3.C段,爆破完成后自动对非cdn的ip段进行排序,助力快速挖洞。 4.全,测试了某卖饭域名,结果不到3万,中速模式下一个半小时跑完的。 -d , –domain 要爆破的域名例如:test.com -l , –level 爆破的域名级数,如test.test.com是1,test.test.test.com是二级 运行截图(仅用于功能演示 写在最后: 这肯定不是我的第一款开源工具,之后会继续开发其他的,比如cdn检测,服务识别等等。此外打个广告,我博客地址:https://www.yanxiuer.com。 工具地址:https://github.com/yanxiu0614/subdomain3
2.3 IPS防护 为防止攻击者通过RDP爆破的方式植入勒索病毒,可通过配置入侵防护系统(IPS)进行有效防护,详细操作如下: 1. RDP爆破的检测规则名为:“[23545] Microsoft Windows远程桌面用户登录口令暴力猜测。”该规则默认已包含在Default规则模板中。 ? 4、用户还可根据实际情况调整针对RDP爆破的检测频率,依次点击“系统”-“系统配置”-“专业参数”,相关参数说明如下: 参数名 说明 merger_time 默认为3600s,表示3600s内同源同目的的相同事件只显示一次 violence_guess_check_level 开启或关闭爆破检测 violence_guess_check_level 单位时间内爆破次数 violence_guess_limit_time 附录A解密工具 病毒作者已经公开了部分5.0.3及之前版本的解密密钥,这些密钥主要是针对叙利亚地区的受害者,Bitdefender已经发布了针对GandCrab勒索软件的解密工具,该工具只能恢复感染5.0.4
本工具可以爆破存在验证码的登录点 Github地址: https://github.com/JK1706/explosion Part.1 使用方法 一、首先打开软件如图所示(分为配置项和重发器) 此处的验证码路径应该填入 http://xxx.xxx.com/captcha ☆注意如带有参数形式验证码,则去掉参数填入 ④字典拖入 不需要复制粘贴,只需要把字典文件拖入(显示导入成功即可) ☆爆破哪个拖入哪个 ,记得打上对勾 ⑤配置项完成后,点击按钮发送重发器 接下来是重要的几步,请仔细看: 第一:如果导入的用户名字典,只对用户名进行爆破,此处应该改为 第二:如果导入的是密码字典,只对密码爆破,此处应该改为 第三:如果两个都爆破,则都需要改 ⑥最后一步 点击爆破 爆破的结果会显示在右边类似burp,然后每点击右边的每一行,都会在左边的框框显示相对应的响应包数据,如果遇到乱码则解码一下就可以了。 ⑦实例 此处如果爆破用户名,密码显示原始密码,也就是你的请求包里的密码。则显示原始用户名。 最后的最后,感谢各位师傅的支持。
检测工具是腾讯云为广大开发者、站长提供的一种免费检测工具服务,其中包括:域名检测工具 和苹果ATS检测工具。腾讯云将陆续提供更多实用检测工具,敬请期待……
扫码关注腾讯云开发者
领取腾讯云代金券
云服务器
网站备案
对象存储
云直播
实时音视频
