linux 查看用户登录信息

共 1726字,需浏览 4分钟

 ·

2022-02-10 21:56

本文来自“白帽子社区知识星球”

作者:孙伟



白帽子社区知识星球

加入星球,共同进步
01

last


查看用户登录历史,读取的是/var/log/wtmp文件中的内容,此文件为二进制格式,无法直接查看其内容。

参数

示例

无参数

查看指定用户登录时间

-a:将登陆ip显示在最后一行

-d:将主机名转换为IP地址

-f:读取特定文件

-F:显示完整时间

i:显示IP

因为是本地登录,所以是0.0.0.0 

-n:设置列出名单的显示列数

-R:不显示主机名

-t:查看指定时间之前的用户登录历史

显示2022年01月10日00时00分00秒之前登录的用户 

-s:查看指定时间之后的用户登录历史

显示2022年01月10日00时00分00秒之后登录的用户 

-p:显示指定时间登录的用户信息

显示2022年01月09日登录的用户 

-w:显示完整用户名和主机名称

-x:显示系统开关机以及执行等级信息

02

lastb


用于列出登入系统失败的用户相关信息。读取的是/var/log/btmp文件 需要sudo权限 

参数

用法与last基本一致

03

lastlog


可简单查看所有用户最后一次的登陆时间,默认是读取/var/log/lastlog文件内容

参数

示例

无参数

-b:显示哪天之前登录的用户

-c:清除指定用户信息,需要和-u配合使用

-S:需配合-u指定用户,将指定用户的登录时间定为当前时间

-t:显示指定天数以来的登录信息

-u:查看指定用户的信息

04

who


显示系统中有哪些使用者正在使用

参数

-a:显示所有信息

-b:显示启动信息,可以用于查询启动时间

-d:显示退出的进程。

-H:显示标题栏

-l:显示已登录用户的信息

-m:显示精简信息

-q:显示当前有几个用户正在使用

-r:显示本地系统节点的运行级别

-s:仅列出名字、线路和时间字段,等同于不加参数

-u:显示每个当前用户的用户名、tty、登录时间、线路活动和进程标识。

-T:显示 tty 终端的状态,“+”表示对任何人可写,“-”表示仅对 root 用户或所有者可写,“?”表示遇到线路故障。

05

w


用于显示目前登入系统的用户信息。与who的区别:w 命令除了能知道目前已登陆的用户信息,还可以知道每个用户执行任务的情况。

参数

示例

无参数

标题含义
USER登录到系统的用户。
TTY登录终端。
FROM表示用户从哪里登陆进来,一般显示远程登陆主机的 IP 地址或者主机名。
LOGIN@用户登陆的日期和时间。
IDLE表示某个程序上次从终端开始执行到现在所持续的时间。
JCPU和该终端连接的所有进程占用的CPU运算时间。这个时间里并不包括过去的后台作业时间,但是包括当前正在运行的后台作业所占用的时间。
PCPU当前进程所占用的 CPU 运算时间。
WHAT当前用户正在执行的进程名称和选项,换句话说,就是表示用户当前执行的是什么命令。

-h:不显示标题

-u:忽略执行程序的名称

-f:不显示远程主机名字段

就是不显示from字段 

-o:使用旧样式

缺少几个字段的数据 

-i:显示IP地址或主机名

06

users


显示当前当登录的用户的用户名 

参数

命令后面接文件,常用的文件有/var/log/wtmp,/var/run/utmp

示例

还可以进行统计 


07

查看反弹shell的一般方法

以上的方法都是查看正常使用账号密码登录的账号的方法。反弹shell的统计和查看方法不在其中。一般反弹shell都会调用/bin/bash可/bin/sh。因此,我们可以借助这个方法,查看进程进行筛选。例如:

ps -ef|grep "/bin/bash"`

ps -ef|grep "sh"

ps -ef|grep "socat"

如果觉得本文不错的话,欢迎加入知识星球,星球内部设立了多个技术版块,目前涵盖“WEB安全”、“内网渗透”、“CTF技术区”、“漏洞分析”、“工具分享”五大类,还可以与嘉宾大佬们接触,在线答疑、互相探讨。


▼扫码关注白帽子社区公众号&加入知识星球▼



浏览 44
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报