通用Linux系统密码劫持记录研究总结

文章预览

什么是密码劫持？ 记录任何在终端中输入的密码，包括使用 su 、 sudo 、 ssh 等命令时输入的密码。 具体原理如下： 终端拦截 ：作为一个中介程序插入到终端与其他程序之间。当用户在终端中输入密码时,能够捕获这些输入。 环境变量和别名 ： 通过设置环境变量或在 .bashrc 中添加别名可以替代常用命令（如 sudo ）执行，从而记录用户输入的密码。 如果用户调用 sudo ，实际上会运行Subtty，这样Subtty可以记录后续输入。 使用LD_PRELOAD ：可以作为一个共享库，利用 LD_PRELOAD 技术挂载到系统中。这使得它可以拦截标准库调用（如 execv ），在执行原程序之前，先通过Subtty处理输入，从而实现记录。 日志记录 ：捕获到的密码会被记录到文件中，方便后续查看。 假设我们获取了一个普通用户nick的shell，在.bashrc在添加sudo 或su的别名： 管理员登入这台主机使用 ………………………………