linux 查看用户登录信息
本文来自“白帽子社区知识星球”
作者:孙伟
last
查看用户登录历史,读取的是/var/log/wtmp文件中的内容,此文件为二进制格式,无法直接查看其内容。
参数
示例
无参数
查看指定用户登录时间
-a:将登陆ip显示在最后一行
-d:将主机名转换为IP地址
-f:读取特定文件
-F:显示完整时间
i:显示IP
因为是本地登录,所以是0.0.0.0
-n:设置列出名单的显示列数
-R:不显示主机名
-t:查看指定时间之前的用户登录历史
显示2022年01月10日00时00分00秒之前登录的用户
-s:查看指定时间之后的用户登录历史
显示2022年01月10日00时00分00秒之后登录的用户
-p:显示指定时间登录的用户信息
显示2022年01月09日登录的用户
-w:显示完整用户名和主机名称
-x:显示系统开关机以及执行等级信息
lastb
用于列出登入系统失败的用户相关信息。读取的是/var/log/btmp文件 需要sudo权限
参数
用法与last基本一致
lastlog
可简单查看所有用户最后一次的登陆时间,默认是读取/var/log/lastlog文件内容
参数
示例
无参数
-b:显示哪天之前登录的用户
-c:清除指定用户信息,需要和-u配合使用
-S:需配合-u指定用户,将指定用户的登录时间定为当前时间
-t:显示指定天数以来的登录信息
-u:查看指定用户的信息
who
显示系统中有哪些使用者正在使用
参数
-a:显示所有信息
-b:显示启动信息,可以用于查询启动时间
-d:显示退出的进程。
-H:显示标题栏
-l:显示已登录用户的信息
-m:显示精简信息
-q:显示当前有几个用户正在使用
-r:显示本地系统节点的运行级别
-s:仅列出名字、线路和时间字段,等同于不加参数
-u:显示每个当前用户的用户名、tty、登录时间、线路活动和进程标识。
-T:显示 tty 终端的状态,“+”表示对任何人可写,“-”表示仅对 root 用户或所有者可写,“?”表示遇到线路故障。
w
用于显示目前登入系统的用户信息。与who的区别:w 命令除了能知道目前已登陆的用户信息,还可以知道每个用户执行任务的情况。
参数
示例
无参数
标题 | 含义 |
---|---|
USER | 登录到系统的用户。 |
TTY | 登录终端。 |
FROM | 表示用户从哪里登陆进来,一般显示远程登陆主机的 IP 地址或者主机名。 |
LOGIN@ | 用户登陆的日期和时间。 |
IDLE | 表示某个程序上次从终端开始执行到现在所持续的时间。 |
JCPU | 和该终端连接的所有进程占用的CPU运算时间。这个时间里并不包括过去的后台作业时间,但是包括当前正在运行的后台作业所占用的时间。 |
PCPU | 当前进程所占用的 CPU 运算时间。 |
WHAT | 当前用户正在执行的进程名称和选项,换句话说,就是表示用户当前执行的是什么命令。 |
-h:不显示标题
-u:忽略执行程序的名称
-f:不显示远程主机名字段
就是不显示from字段
-o:使用旧样式
缺少几个字段的数据
-i:显示IP地址或主机名
users
显示当前当登录的用户的用户名
参数
命令后面接文件,常用的文件有/var/log/wtmp,/var/run/utmp
示例
还可以进行统计
查看反弹shell的一般方法
以上的方法都是查看正常使用账号密码登录的账号的方法。反弹shell的统计和查看方法不在其中。一般反弹shell都会调用/bin/bash可/bin/sh。因此,我们可以借助这个方法,查看进程进行筛选。例如:
ps -ef|grep "/bin/bash"`
或
ps -ef|grep "sh"
或
ps -ef|grep "socat"
如果觉得本文不错的话,欢迎加入知识星球,星球内部设立了多个技术版块,目前涵盖“WEB安全”、“内网渗透”、“CTF技术区”、“漏洞分析”、“工具分享”五大类,还可以与嘉宾大佬们接触,在线答疑、互相探讨。
▼扫码关注白帽子社区公众号&加入知识星球▼
评论