1. 项目概述为什么SSH弱口令依然是“低垂的果实”在网络安全领域SSHSecure Shell协议是远程管理服务器、传输文件最核心、最广泛使用的加密通道。它设计之初就是为了替代不安全的Telnet和FTP其安全性建立在强加密算法和密钥交换机制之上。然而一个再坚固的城堡如果守门人口令过于简单那么攻破它可能只需要一把“万能钥匙”——也就是我们常说的弱口令字典。这就是为什么“SSH弱口令爆破”在渗透测试和红队评估中始终是一个绕不开的、高优先级的基础攻击面。它不涉及复杂的漏洞利用不依赖0day纯粹是“人”的疏忽——管理员使用了默认口令、简单数字序列、常见单词组合或是公司名年份这类极易猜测的密码。我见过太多案例一个配置了复杂防火墙规则、打了所有系统补丁的服务器仅仅因为root账户的密码是“admin123”或“Password2023!”就被轻易拿下导致整个内网沦陷。对于攻击者而言这就像在战场上发现了一个没有上锁的弹药库成本极低收益极高。因此作为防御方理解攻击者如何利用Metasploit这样的自动化框架进行SSH弱口令爆破是构建有效防御策略的第一步。这不仅能帮助我们检查自身资产的安全性更能深刻理解自动化攻击的流程从而在日志监控、告警规则设置上做到有的放矢。今天我们就来深入拆解如何使用Metasploit Framework在5分钟内完成一次针对SSH服务的自动化弱口令检测。我会附上经过实战筛选和优化的字典配置思路而不仅仅是扔给你一个文件。毕竟好的工具重要但用好工具的思路更重要。2. 核心工具与原理Metasploit的SSH登录扫描模块2.1 Metasploit Framework不只是漏洞利用很多人一提到Metasploit第一反应就是“漏洞利用工具”。这没错但它更是一个功能极其强大的渗透测试平台。其auxiliary/scanner/ssh/目录下集成了多种针对SSH服务的辅助模块包括版本探测、用户枚举以及我们今天重点使用的登录扫描Login Scanner。auxiliary/scanner/ssh/ssh_login模块就是专门为SSH弱口令爆破而生的。它的工作原理非常直接连接建立模块尝试与目标IP地址的22端口默认SSH端口建立TCP连接。协议交互完成SSH协议版本协商和密钥交换。认证尝试使用我们提供的用户名和密码组合逐一尝试进行身份验证。结果判定根据服务器的响应接受或拒绝来判断尝试是否成功。这个过程完全模拟了一个正常的SSH客户端登录行为因此在网络层面它产生的流量与普通管理登录无异隐蔽性相对较高。但会在目标系统的认证日志如/var/log/auth.log或/var/log/secure中留下大量失败的登录记录这是防御方需要重点监控的。2.2 模块核心参数深度解析启动模块后使用show options命令你会看到一系列参数。理解每个参数的含义和配置逻辑是高效利用该模块的关键。msf6 auxiliary(scanner/ssh/ssh_login) show options Module options (auxiliary/scanner/ssh/ssh_login): Name Current Setting Required Description ---- --------------- -------- ----------- BLANK_PASSWORDS false no Try blank passwords for all users BRUTEFORCE_SPEED 5 yes How fast to bruteforce, from 0 to 5 DB_ALL_CREDS false no Try each user/password couple stored in the current database DB_ALL_PASS false no Add all passwords in the current database to the list DB_ALL_USERS false no Add all users in the current database to the list PASSWORD no A specific password to authenticate with PASS_FILE no File containing passwords, one per line RHOSTS yes The target host(s), range CIDR identifier, or hosts file with syntax file:path RPORT 22 yes The target port (TCP) STOP_ON_SUCCESS false yes Stop guessing when a credential works for a host THREADS 1 yes The number of concurrent threads (max one per host) USERNAME no A specific username to authenticate with USERPASS_FILE no File containing users and passwords separated by space, one pair per line USER_AS_PASS false no Try the username as the password for all users USER_FILE no File containing usernames, one per line VERBOSE true yes Whether to print output for all attempts我们来拆解几个最核心的参数RHOSTS这是目标地址。它支持多种格式单个IP192.168.1.100IP范围192.168.1.1-192.168.1.254CIDR网段192.168.1.0/24文件导入file:/path/to/targets.txt(文件内每行一个IP或主机名)实操心得对于内网扫描我习惯先使用nmap -sS -p 22 --open 192.168.1.0/24 -oG ssh_hosts.txt快速找出所有开放22端口的机器然后将结果文件处理成纯IP列表再用file:方式导入。这样比直接扫整个网段更精准、更高效。USERNAME与USER_FILEPASSWORD与PASS_FILE这两组参数定义了爆破的“用户名”和“密码”来源。USERNAME和PASSWORD用于指定单个值进行测试。USER_FILE和PASS_FILE用于指定字典文件模块会进行笛卡尔积组合尝试即用户字典中的每个用户尝试密码字典中的每个密码。注意事项USERPASS_FILE参数是另一个选择它要求文件格式为username password每行一对用空格分隔。这种方式适用于你已经掌握了一些特定的用户名-密码对应关系或者想测试一些固定组合避免全量组合带来的巨大时间开销。THREADS并发线程数。这是影响扫描速度的最关键参数之一。默认是1即单线程顺序尝试。你可以根据目标网络的性能和自身带宽适当提高例如设置为10或20。但务必注意过高的线程数会产生大量并发连接可能触发目标的防火墙或IPS/IDS的“暴力破解防护”规则导致IP被临时封锁也可能会对目标服务器造成拒绝服务DoS影响。在授权测试中建议从较低线程数如5开始根据响应情况调整。STOP_ON_SUCCESS这个参数非常实用。设置为true时一旦某个用户在某台主机上成功登录模块就会停止对该主机的后续尝试直接转向下一个目标。这能极大节省时间尤其是在你只想知道“有没有弱口令”而非“所有弱口令”时。BRUTEFORCE_SPEED暴力破解速度范围0-5。这个参数控制尝试之间的延迟。0最慢延迟最长5最快无延迟。它和THREADS共同作用。在需要规避检测或对老旧设备进行测试时可以调低此值。VERBOSE设置为true时会输出所有尝试记录成功和失败。在调试或需要完整日志时开启。如果只关心成功结果可以设为false界面会更清爽。3. 实战演练5分钟快速部署与执行下面我们进入实战环节。假设我们的测试环境是Kali Linux目标是一个内网IP192.168.1.105。3.1 步骤一启动Metasploit并加载模块首先打开终端启动Metasploit控制台。msfconsole等待初始化完成后搜索并加载SSH登录模块。search ssh_login use auxiliary/scanner/ssh/ssh_login3.2 步骤二配置目标与基础参数现在我们来设置最基本的目标和线程参数。set RHOSTS 192.168.1.105 set THREADS 5 set STOP_ON_SUCCESS true set VERBOSE false解释我们针对单个目标192.168.1.105使用5个并发线程一旦成功就停止并且不显示冗长的失败信息。3.3 步骤三准备与配置字典文件这是整个环节的灵魂。一个糟糕的字典会让你事倍功半一个精良的字典则能直击要害。我们不直接提供字典文件而是教你如何构建和选择。1. 用户名字典 (user.txt)对于SSH服务常见的用户名包括系统默认用户root,admin,ubuntu,centos,debian,test,user,guest,oracle,postgres,nginx,www-data等。公司相关公司名缩写、产品名、部门名称如dev,ops。个人信息管理员姓名拼音或缩写。你可以创建一个简单的用户名字典文件root admin ubuntu test user nginx2. 密码字典 (pass.txt)密码字典的构建更有讲究。一个高效的字典应该是“分层”的第一层极简通用弱口令。用于快速试探。123456 password 12345678 qwerty 123456789 12345 1234 111111 1234567 dragon第二层与用户名相关的密码。利用USER_AS_PASS参数或者手动组合。第三层常见默认口令。如admin123,Pssw0rd,Welcome123,Changeme123。第四层基于规则的密码。使用工具如crunch或hashcat的--stdout模式生成。例如生成所有6位数字密码crunch 6 6 0123456789 -o num_6.txt。或者生成“公司名年份”的变体。第五层大型通用字典。如rockyou.txtKali自带但通常体积庞大仅作为最后的手段。实操心得字典的“热身”策略我通常不会一上来就用几十MB的大字典。我的策略是先用一个包含20-50个最常用弱口令的微型字典配合root,admin等3-5个常见用户名进行“热身扫描”。这一步通常在几秒到一分钟内完成却能命中大量“裸奔”的服务器。如果热身失败再根据目标属性如公司行业、使用的CMS、设备品牌加载更具针对性的中型字典。大型通用字典通常只在时间充裕的深度测试中使用。现在假设我们准备好了user.txt和pass.txt将它们放在/home/kali/wordlists/目录下。在Metasploit中配置set USER_FILE /home/kali/wordlists/user.txt set PASS_FILE /home/kali/wordlists/pass.txt3.4 步骤四执行扫描与结果分析配置完成后可以先使用show options确认一遍所有参数。然后运行扫描。run # 或者 exploit如果一切顺利你可能会看到类似下面的成功输出[] 192.168.1.105:22 - Success: root:admin123 uid0(root) gid0(root) groups0(root) Linux target-host 5.4.0-xx-generic #xx-Ubuntu SMP ...这行信息就是“金子”它告诉我们目标192.168.1.105:22成功凭证用户名root密码admin123验证信息它甚至执行了id命令并返回了结果确认了我们获取的是root权限的shell。重要提示成功登录后Metasploit会自动在后台为该会话创建一个“SSH Session”。你可以使用sessions -l命令查看所有活跃的会话并使用sessions -i 会话ID来交互式地进入这个shell就像你直接用ssh客户端连接上去一样。这是进行后续横向移动或信息收集的起点。4. 高级技巧与字典优化配置4.1 利用Metasploit数据库进行智能爆破Metasploit内置的数据库PostgreSQL不仅仅用来存储扫描结果更能为后续攻击提供智能化的数据支持。在启动msfconsole前需要确保数据库服务已启动并连接。# Kali中启动服务并初始化通常只需一次 sudo systemctl start postgresql sudo msfdb init # 启动msfconsole并自动连接数据库 msfconsole -q在数据库支持下你可以使用以下高级功能db_nmap使用db_nmap代替普通nmap进行扫描所有结果开放端口、服务、主机信息会自动存入数据库。creds命令管理添加、查看、导出成功获取的凭证。模块参数联动前面提到的DB_ALL_CREDS,DB_ALL_PASS,DB_ALL_USERS参数可以直接调用数据库中已存储的凭证、密码或用户名来作为本次爆破的字典源。这在针对一个大型内网进行测试时非常有用可以从已攻破的机器上收集到的信息用于攻击其他机器。4.2 字典的“动态生成”与“规则化”思路手动维护静态字典是基础但真正的效率来自于动态生成。这里介绍两个核心思路1. 使用cewl生成定制化字典cewl是一个爬取网站并生成基于关键词的密码字典的工具。假设目标公司官网是www.target-company.com你可以这样做cewl -d 3 -m 6 -w company_words.txt https://www.target-company.com-d 3: 爬取深度为3。-m 6: 只收集长度至少为6的单词。-w: 输出到文件。然后你可以用这个company_words.txt作为基础结合密码常见规则首字母大写、尾部加数字年份、特殊符号替换用脚本进行处理生成一个高度定制化的字典。2. 使用hashcat规则进行智能变形hashcat不仅是密码破解工具其“规则”功能可以让你用一个基础字典衍生出无数变体。例如有一个基础密码company通过规则可以实现Company(首字母大写)Company2023(尾部加年份)C0mpany(字母o替换为数字0)Company!(尾部加标点)你可以直接使用hashcat附带的优秀规则集如best64.rule,d3ad0ne.rule来扩展你的小字典# 使用 best64.rule 规则对 base_pass.txt 进行扩展输出到 expanded_pass.txt hashcat --force --stdout base_pass.txt -r /usr/share/hashcat/rules/best64.rule expanded_pass.txt4.3 规避检测与速率控制在真实的渗透测试或安全评估中避免触发安全设备的告警同样重要。调整BRUTEFORCE_SPEED和THREADS如前所述降低速度、减少并发是最直接的方法。使用代理或TOR网络通过set Proxies命令设置SOCKS代理将流量转发隐匿真实IP。但这会显著降低速度。随机化尝试顺序Metasploit的扫描模块通常是顺序尝试行为模式固定。更高级的做法是编写自定义的Ruby脚本模块实现用户名和密码的随机抽取尝试增加行为噪音。分散扫描源如果条件允许从多个不同的IP地址发起扫描每个IP只尝试有限的次数。5. 防御视角如何发现和阻止此类攻击作为防守方了解攻击手法后我们可以采取以下措施1. 强化认证策略治本之策禁用密码登录强制使用SSH密钥对这是最有效的方法。在/etc/ssh/sshd_config中设置PasswordAuthentication no和PubkeyAuthentication yes。使用强密码策略如果必须使用密码强制要求长度如16位以上、复杂度大小写字母、数字、特殊符号组合并定期更换。禁止root用户直接远程登录设置PermitRootLogin no使用普通用户登录后再su或sudo。使用多因素认证MFA为SSH登录添加第二重验证如Google Authenticator。2. 网络层控制限制SSH访问源IP通过防火墙如iptables,ufw或SSH配置中的AllowUsers、AllowGroups指令只允许来自管理IP段的连接。修改默认端口将SSH服务端口从22改为一个非标准的高位端口可以阻挡绝大部分自动化扫描脚本。但这只是“安全通过隐匿”并非绝对安全。3. 主动监控与告警监控认证日志集中收集和分析/var/log/auth.log或/var/log/secure日志。重点关注短时间内来自同一IP的大量失败登录尝试。尝试使用不存在的用户名如admin,test登录。成功登录的来源IP异常。部署入侵检测系统使用如fail2ban或denyhosts这样的工具。它们可以实时分析日志当检测到来自某个IP的失败登录次数超过阈值时自动将其IP加入防火墙黑名单一段时间。fail2ban简单配置示例安装后通常已经内置了针对SSHsshd的监控 jail你只需要在/etc/fail2ban/jail.local中调整maxretry最大重试次数和bantime封禁时间即可。4. 定期进行漏洞扫描与弱口令自查使用同样的工具如Metasploit或专门的弱口令扫描器如Hydra,Medusa在授权的前提下定期对自己的外网和内网SSH服务进行扫描主动发现风险。使用脚本定期检查服务器上的用户密码强度。攻击与防御是一场永恒的博弈。通过Metasploit进行SSH弱口令爆破是一项基础但至关重要的技能。它清晰地揭示了一个道理在安全体系中人的因素和基础配置往往是最薄弱的环节。掌握它不仅是为了“进攻”更是为了能更好地“防守”从攻击者的视角审视自身系统的坚固程度。记住安全是一个过程而非一个状态。持续地评估、加固和监控才是应对此类“低垂果实”式威胁的根本之道。