[TOC]

0x00 前言

描述:为了在渗安全透测试中隐藏自身的操作总结了以下技巧(tricks);


登录痕迹隐藏

1.将我的ssh登录痕迹隐匿于w 和last 命令中
1)为什么w和last都没有记录呢?
因为w命令显示信息来源于utmp而last来源于wtmp,并不是所有程序登录的时候都会调用utmp 和wtmp 日志记录接口,只有交互式会话才会调用utmp 和 wtmp的日志记录接口,其实像scp 、sftp 等也涉及到ssh登录但却不会在w和last中留下日志的程序也都是因为他们不输入交互式会话;

比如通过tty 或者pts或者图形界面登录的都会调用 utmp 和wtmp 日志记录接口,然后我们在使用w 和last 命令的时候就会发现登录信息

隐匿的ssh登录实际案例:

#方式1:
ssh -lroot 192.168.12.51 /usr/bin/bash #不属于交互式会话,此时系统没有为其分配tty
# id
# uid=0(root) gid=0(root) groups=0(root)


#方式2:[email protected]
ssh -T [email protected] /bin/bash -i #表示不分配伪终端-T 表示不分配伪终端 (正常的会话,在分配伪终端之后才会调用utmp和wtmp的日志接口)