渗透测试TIPS之删除、伪造Linux系统登录日志

0×00. 引言

擦除日志在渗透测试中是非常重要的一个阶段，这样可以更好地隐藏入侵痕迹，做到不被系统管理人员察觉，实现长期潜伏的目的。 前段时间NSA泄露的渗透测试工具中就有一款wtmp日志的擦除，非常好用，这引起了我的兴趣，于是研究了一下linux 登录相关二进制日志的文件格式，用python写了一个日志擦除，伪造的工具（末尾附源码）

0×01. Linux中与登录有关的日志及其格式分析

Linux中涉及到登录的二进制日志文件有

 /var/run/utmp

    /var/log/wtmp

    /var/log/btmp

    /var/log/lastlog 

其中 utmp 对应w 和 who命令； wtmp 对应last命令；btmp对应lastb命令；lastlog 对应lastlog命令

经查Linux man 手册，

/var/run/utmp
/var/log/wtmp
/var/log/btmp 

的二进制格式都是一样的， 我们姑且称之为xtmp 格式

而/var/log/lastlog 文件的格式与之不同，需单独分析，下面我们先分析xtmp的文件格式吧，这里以utmp 格式为例

UTMP 文件格式

utmp 文件格式是这样的：

 #define UT_LINESIZE     32 #define UT_NAMESIZE     32 #define UT_HOSTSIZE     256 struct utmp { short ut_type; /* Type of record */ pid_t ut_pid; /* PID of login process */ char ut_line[UT_LINESIZE]; /* Device name of tty - "/dev/" */ char ut_id[4]; /* Terminal name suffix,

                                             or inittab(5) ID */ char ut_user[UT_NAMESIZE]; /* Username */ char ut_host[UT_HOSTSIZE]; /* Hostname for remote login, or

                                             kernel version for run-level

                                             messages */ struct exit_status ut_exit; /* Exit status of a process

                                             marked as DEAD_PROCESS; not

                                             used by Linux init(8) */ /* The ut_session and ut_tv fields must be the same size when

               compiled 32- and 64-bit.  This allows data files and shared

               memory to be shared between 32- and 64-bit applications. */ #if __WORDSIZE == 64 && defined __WORDSIZE_COMPAT32 int32_t ut_session; /* Session ID (getsid(2)),

                                             used for windowing */ struct { int32_t tv_sec; /* Seconds */ int32_t tv_usec; /* Microseconds */ } ut_tv; /* Time entry was made */ #else long ut_session; /* Session ID */ struct timeval ut_tv; /* Time entry was made */ #endif int32_t ut_addr_v6[4]; /* Internet address of remote

                                             host; IPv4 address uses

                                             just ut_addr_v6[0] */ char __unused[20]; /* Reserved for future use */ };

    其中 exit_status 结构为： struct exit_status { /* Type for ut_exit, below */ short int e_termination; /* Process termination status */ short int e_exit; /* Process exit status */ };

其中 ut_type 为日志记录的类型，主要有以下几种日志 #define EMPTY         0 /* Record does not contain valid info

                               (formerly known as UT_UNKNOWN on Linux) */ #define RUN_LVL       1 /* Change in system run-level (see

                               init(8)) */ #define BOOT_TIME     2 /* Time of system boot (in ut_tv) */ #define NEW_TIME      3 /* Time after system clock change

                               (in ut_tv) */ #define OLD_TIME      4 /* Time before system clock change

                               (in ut_tv) */ #define INIT_PROCESS  5 /* Process spawned by init(8) */ #define LOGIN_PROCESS 6 /* Session leader process for user login */ #define USER_PROCESS  7 /* Normal process */ #define DEAD_PROCESS  8 /* Terminated process */ #define ACCOUNTING    9 /* Not implemented */ #define UT_LINESIZE      32 #define UT_NAMESIZE      32 #define UT_HOSTSIZE     256 

utmp 记录例子（二进制内容解析处理后）：

对比utmp的文件格式结构，挑几个重要的字段解释下

第1个字段7 表示这条记录类型，一般的用户正常登录记录类型都是7，错误登录是6 ，也就是btmp所记录的类型

第2个字段1497 是pid ，截图中我是用ssh远程登录linux，这里指的就是sshd的子进程bash的pid

第3个字段pts/0 表示的登录的伪终端 ，后面一串\0是填充的数据

第4个字段 ts/0表示的伪终端的后缀

第5个字段root 表示登录用户名，后面一串\0是填充数据，因为这个字段为32个字节大小

第6个字段10.1.100.1 表示的是登录主机，后面一串\0是填充数据，因为这个字段为256个字节大小

第10个字段表示的是登录时间，精确到秒

第11个字段表示的是登录时间中微妙部分

第12个字段表示的是登录sessionid

lastlog 文件格式：

 #define UT_LINESIZE     32 #define UT_HOSTSIZE     256 struct lastlog
      { __time_t ll_time; char ll_line[UT_LINESIZE]; char ll_host[UT_HOSTSIZE];
      }; 

lastlog 记录例子（二进制内容解析处理后）：

第1个字段表示最后一次登录时间

第2个字段表示最后一次登录的终端

第3个字段表示最后一次登录的IP

0×02. 擦除，伪造登录日志的测试

1.删除utmp记录，将自己从w或者who输出中隐藏

比如此时有两个登录记录，一个是root（要删除的记录），一个是f3

删除前：

删除后：

1. 添加utmp记录，伪造登录信息

添加前：

添加后：

注： 添加Fake 在线记录的时候，pid必须可以找到相应进程，一般可以使用sshd的或者是bash的相关PID

2.删除历史登录记录(wtmp)

删除前：

删除指定用户，指定host的历史登录记录

删除后：

3.添加wtmp记录

4.删除btmp记录

删除前

hacker 这个账户有很多次尝试登录记录

删除后：

5.添加btmp 伪造记录

6.删除lastlog 记录

hacker 用户最后一次登录记录，删除前：

删除后：

7.添加伪造的lastlog记录

python fake_login_log.py –mode add –type=lastlog –user=hacker –date=”2017-7-24 14:22:07

这里说明一下：lastlog中并不记录用户名，而是根据文件偏移位置来计算当前记录的用户名是多少，比如当前用户是f3，其UID为1001，那么lastlog 日志从头开始向后移动 1001　×　LAST_STRUCT_SIZE处的位置则为f3用户最后一次登录记录写入处（用户即使没有最后一次登录记录，在相应的偏移处都会有记录，这就是我们使用lastlog看到的never login的记录）

0×03. 源码

直接帖源码，格式上可能会影响阅读体验，帖下我的在线源码地址吧：点击打开在线源码

0×04. 总结

目前此工具可以实现对:

/var/run/utmp

/var/log/wtmp

/var/log/btmp

/var/log/lastlog 

进行删除，添加伪造记录功能，并且在修改相关文件后恢复其时间属性值（比如文件访问时间和文件修改时间），有人会说了，直接echo “” >/var/log/xtmp 不就行了吗，干嘛这么麻烦，直接删除是很好，不过有点粗暴。 本工具不仅可以实现按照 登录主机，登录用户， 时间戳等条件进行按需删除，还可以添加伪造登录记录，以达到迷惑系统管理员之目的。需要补充一点的是，目前还未实现根据时间区间来删除指定记录，也希望有兴趣的同学补充一下

参考：

1）https://linux.die.net/man/5/utmp 2）https://github.com/krig/lastlog/blob/master/lastlog.c 

*本文作者：knpewg85942