SSH Passwort falsch

casi4712

Hallo allerseits,

ichhabe ein kleiens Problemchen, vielleicht kann ja jemand helfen und weiss wie es geht. Ich habe ein kleines Scrpzchen, um auf meinem root server einen Befehl auszuführen, hier exemplarisch ein restart des webservers. Das funktioniert auch, leider erkennt er nicht wenn ein falsches Kennwort eingegeben wird, also auf der ssh konsole Access denied erscheinen würd. Kenne mich mit den Umleitungsgeschichten noch nicht so aus, hier das kleine script:

AutoIt

...
.
.
Local $Password = InputBox("Anmeldeinformationen", "Geben Sie Ihr Passwort ein:", "", "*")

; Passwort muss eingegeben werden
If $Password <> "" Then
    ; Starten Sie PowerShell und übergeben Sie das Passwort
    Local $ServerIP = "x.x.x.x"
    Local $Command = 'systemctl restart apache2'
    Local $PSCommand = 'powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "'
    
    ; SSH Anmeldung
    $PSCommand &= '$Username = \"root\" ; ' ; Hier ist der Benutzername festgelegt
    $PSCommand &= '$Password = ConvertTo-SecureString -String \"' & $Password & '\" -AsPlainText -Force ; '
    $PSCommand &= '$Credential = New-Object System.Management.Automation.PSCredential($Username, $Password) ; '
    $PSCommand &= '$Session = New-SSHSession -ComputerName \"' & $ServerIP & '\" -Credential $Credential -Port 22 ; '
    
    
    ;SSH befehl ausführen
    $PSCommand &= 'Invoke-SSHCommand -SSHSession $Session -Command \"' & $Command2 & '\" ; ' ;restart Apache


    ;SSH beenden
    $PSCommand &= 'Remove-SSHSession -SSHSession $Session ; '
    $PSCommand &= '"'
    
    RunWait($PSCommand, "", @SW_HIDE)
    
    MsgBox(0, "Info", " Server wurde neu gestartet.")
Else
    MsgBox(16, "Fehler", "Kein Passwort eingegeben.")
EndIf

...
.
.

Alles anzeigen

Vielen dank schon mal und einen schönen Rest Sonntag

lg

casi4712

okidoki, danke erst mal, ich schau mir das morgen mal an, klingt interessant.

lg

Ich sehe gerade ich hoffe wir haben nicht aneinnder vorbei geredet, dass was du angehängt hat generiert ja einen MD5 Key, Ich habe ja für meinen Server ein Passwort, ich möchte das aber ungern in der autoit speichern, wär natürlich das einfachste. Die Sicherheit des Servers ist auch gewährleistet durch Zufügen des Zertifikats in die Registry, das ist also nicht das Problem, aber die Rückmeldung wenn ein falsches Passwort eingegeben wurde an autoit, da habe ich halt noch keine Lössung für.

**Alina**

Kannst Du auf dem Server irgendwie in eine Datei schreiben, wenn das Pw falsch ist?
Wenn ja, könntest Du im Skript abfragen, ob es die Datei gibt und wenn, ob da z.B. eine 1 steht für Passwort okay.
Du sendest ja etwas an einen Server und Du brauchst eine Rückmeldung. So könnte ich es mir vorstellen.

**Moombas**

Kannst du dir nicht die Ausgabe holen per

AutoIt

Local $iPID = Run(@ComSpec & " /c " & 'adb tcpip 5555', @SystemDir, @SW_HIDE, $STDERR_MERGED) ; $STDERR_CHILD + $STDOUT_CHILD); hier wäre dein Aufruf
Local $sOutput = ""

Do
    $sOutput &= StdoutRead($iPID)
Until @error

Und dann $stdout auswerten?

casi4712

hall danke euch erstmal, also wie ich dem SSH client das sagen soll dass er eine Datei schreiben soll müsste ich ma gucken.

@Mombas: das werde ich gleich mal ausprobieren, ich versteh jetzt aber nicht was das hier macht:

Code

adb tcpip 5555

oder ist das nur exemplarisch gemeint, adb kenne ich von meinem Handy;)

danke und bis spädder

**AspirinJunkie**

Folgendes könnte irrelevant für dich sein aber eventuell hilft es dir weiter:

Passwörter bei Automatisierungen mitzugeben ist bewusst bei nahezu allen ssh Implementierungen unterbunden. Ja genau das scheinst du ja auch gar nicht zu tun - Ich weiß.

Die Alternative hierzu lautet komplexe Keys auszutauschen. Auf dem client werden diese dann auch meist noch gesichert abgelegt.

Bei Verwendung dieser Methode kann man z.b. openssh sagen, dass derjenige, welcher sich mit diesem Key angemeldet hat nur ganz bestimmte Befehle ausführen darf.

Da du ja nur von einem Befehl sprichst, wollte ich darauf hinweisen. So kann ein User der sich mit dem bestimmten Key anmeldet eben nur das ausführen und sonst nichts - unabhängig davon, welche Rechte dieser User auf dem Server sonst hat.

Der Schlüsselaustausch ist auch easy - google einfach mal nach ssh-copy-id.

Wie gesagt: kann am Thema von dir vorbei gehen, da ich den zu Anwendungsfall ja nicht genau kenne.

**Moombas**

Anstatt dem adb... muss dein Befehl rein, also:

AutoIt

Local $iPID = Run(@ComSpec & " /c " & $PSCommand, @SystemDir, @SW_HIDE, $STDERR_MERGED) ; $STDERR_CHILD + $STDOUT_CHILD)
Local $sOutput = ""

Do
    $sOutput &= StdoutRead($iPID)
Until @error

Consolewrite($sOutput & @CRLF)

Bin aber unsicher wie das mit dem Powershellcommand ist, also ob das da mit dem @Comspec etc. auch so funktioniert.

**Moombas**

Ich habe noch dieses Beispiel gefunden:

Code

__ExampleA()
Func __ExampleA()
    Local $o_CmdString = ' -command get-module -listavailable'
    Local $o_powershell = "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"
    Local $o_Pid = Run($o_powershell & $o_CmdString, '', @SW_Hide, $STDERR_CHILD + $STDOUT_CHILD)
    ProcessWaitClose($o_Pid)

    Local $o_Output = StdoutRead($o_Pid)
    ConsoleWrite($o_Output & @CRLF)
EndFunc

Quelle: https://www.autoitscript.com/forum/topic/20…rom-powershell/

Musst du natürlich anpassen und danach das $o_Output auswerten.

casi4712

ne Iddee wäre vielleicht die authlog aus var/logs auf der LinuxSeite zu nutzen, bei erscheinen dann diese 2 Zeilen:

Zitat

Oct 9 14:49:39 s19457989 sshd[2278]: Failed password for invalid user spark from 220.83.208.16 port 37428 ssh2

Oct 9 14:49:40 s19457989 sshd[2278]: Connection closed by invalid user spark 220.83.208.16 port 37428 [preauth]

Könnte man dass evtl checken durch Autoit

casi4712

ok Moombas dann werd ich das erst mal prüfen

recht herzlichen Dank für euren Input

casi4712

so ich habe mal versucht jetzt eure Vorschläge zusammenzupacken und bin jetzt zu folgendem funktionsähigen Ergebnis gekommen, wenn jemand noch Ergänzungsvorschläge hat, gerne:

AutoIt

#include <File.au3>
#include <GUIConstantsEx.au3>
#include <ProgressConstants.au3>
#include <StaticConstants.au3>
#include <MsgBoxConstants.au3>
#include <FileConstants.au3>
#include <MsgBoxConstants.au3>
#include <WinAPIFiles.au3>

; Datei "log.txt" löschen, falls vorhanden
FileDelete("C:\log.txt")

Global  $PSCommand = 'powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "'
Global $ServerIP = "x.x.x.x"
Global $Command2 = 'systemctl start apache2'

While 1
    ; Benutzer zur Eingabe des Passworts auffordern
    Local $Password = InputBox("Anmeldeinformationen", "Geben Sie Ihr Passwort ein:", "", "*")

    ; Stellen Sie sicher, dass ein Passwort eingegeben wurde
    If $Password = "" Then
        MsgBox(16, "Fehler", "Kein Passwort eingegeben.")
        ExitLoop
    EndIf

    ; Starten Sie PowerShell und übergeben Sie das Passwort
    ;StartSSH  
    $PSCommand &= '$Username = \"root\" ; ' ; Hier ist der Benutzername festgelegt
    $PSCommand &= '$Password = ConvertTo-SecureString -String \"' & $Password & '\" -AsPlainText -Force ; '
    $PSCommand &= '$Credential = New-Object System.Management.Automation.PSCredential($Username, $Password) ; '
    $PSCommand &= '$Session = New-SSHSession -ComputerName \"' & $ServerIP & '\" -Credential $Credential -Port 22 ; '
    
    ;SSHcommand
      $PSCommand &= 'Invoke-SSHCommand -SSHSession $Session -Command \"' & $Command2 & '\" ; '
    
    ;SSH Sessioin beenden
    $PSCommand &= 'Remove-SSHSession -SSHSession $Session ; "'

    Local $pid = Run($PSCommand, "", @SW_HIDE, $STDERR_CHILD + $STDOUT_CHILD)
    
    
    Local $output = ""
    Local $errorOutput = ""

        While 1
            $line = StdoutRead($pid)
            If @error Then ExitLoop
            $output &= $line
        WEnd

        While 1
            $line = StderrRead($pid)
            If @error Then ExitLoop
            $errorOutput &= $line
        WEnd

    If StringInStr($errorOutput, "Permission denied (keyboard-interactive)") Then
        MsgBox(16, "Fehler", "Zugriff verweigert. Bitte überprüfen Sie das Passwort.")
    Else
        FileWrite("C:\log.txt", $output)
        MsgBox(0, "Info", "Server wurde neu gestartet. Weitere Informationen finden Sie in C:\log.txt.")
        ExitLoop
    EndIf
WEnd

Alles anzeigen

lg und eine schöne Woche noch

**Moombas**

Habe das für dich mal ein wenig überarbeitet:

AutoIt

Opt('MustDeclareVars', 1)
#include <File.au3>
#include <GUIConstantsEx.au3>
#include <ProgressConstants.au3>
#include <StaticConstants.au3>
#include <MsgBoxConstants.au3>
#include <FileConstants.au3>
#include <MsgBoxConstants.au3>
#include <WinAPIFiles.au3>

; Datei "log.txt" löschen, falls vorhanden
FileDelete("C:\log.txt")

;Variablen gehören an den Anfang und wenn sie nicht in einer Funktion definiert werden, müssen sie Global gesetzt werden, nicht Lokal
Global $PSCommand, $password, $pid, $output, $errorOutput, $line, $tries = 0
Global Const $maxfails = 3
Global Const $ServerIP = "x.x.x.x"
Global Const $Command2 = 'systemctl start apache2'

While 1
    $output = ""
    $errorOutput = ""
    ; Benutzer zur Eingabe des Passworts auffordern
    $Password = InputBox("Anmeldeinformationen", "Geben Sie Ihr Passwort ein:", "", "*")
    ;Es wurde Abbrechen geklickt
    If @error = 1 then ExitLoop

    ; Stellen Sie sicher, dass ein Passwort eingegeben wurde
    If $Password = "" Then
        MsgBox(16, "Fehler", "Kein Passwort eingegeben.")
        ExitLoop
    EndIf

    ;Anzahl Versuche hochzählen
    $tries += 1

    ; Starten Sie PowerShell und übergeben Sie das Passwort
    ;StartSSH
    $PSCommand = 'powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "'
    $PSCommand &= '$Username = \"root\" ; ' ; Hier ist der Benutzername festgelegt
    $PSCommand &= '$Password = ConvertTo-SecureString -String \"' & $Password & '\" -AsPlainText -Force ; '
    $PSCommand &= '$Credential = New-Object System.Management.Automation.PSCredential($Username, $Password) ; '
    $PSCommand &= '$Session = New-SSHSession -ComputerName \"' & $ServerIP & '\" -Credential $Credential -Port 22 ; '

    ;SSHcommand
    $PSCommand &= 'Invoke-SSHCommand -SSHSession $Session -Command \"' & $Command2 & '\" ; '

    ;SSH Sessioin beenden
    $PSCommand &= 'Remove-SSHSession -SSHSession $Session ; "'

    $pid = Run($PSCommand, "", @SW_HIDE, $STDERR_CHILD + $STDOUT_CHILD)
    While 1
        $line = StdoutRead($pid)
        If @error Then ExitLoop
        $output &= $line
    WEnd

    While 1
        $line = StderrRead($pid)
        If @error Then ExitLoop
        $errorOutput &= $line
    WEnd

    If StringInStr($errorOutput, "Permission denied (keyboard-interactive)") Then
        MsgBox(16, "Fehler", "Zugriff verweigert. Bitte überprüfen Sie das Passwort.")
        ;Prüfen ob zu viele Fehlversuche erreicht wurden.
        If $tries = $maxfails then ExitLoop
    Else
        FileWrite("C:\log.txt", $output)
        MsgBox(0, "Info", "Server wurde neu gestartet. Weitere Informationen finden Sie in C:\log.txt.")
        ExitLoop
    EndIf
WEnd

Alles anzeigen

Peter S. Taler · *Ab 19-10-22 ergänzt um:*

Nur so am Rande.

Autoit kann Passwörter verschlüsselt z.B. in einer Ini Datei speichern. Wenn man ein Passwort im Source speichern möchte, oder den Schlüssel zu Verschlüsselung, kann man es in einem sinnlos langem Text String verstecken und die Auflösung (Extraktion) als Teil einer Rechenaufgabe. Damit sollte man, auch wenn es primitiv klingt vor den "billigsten Angriffen via Hex Editor geschützt sein... Das kann man natürlich beliebig "verschachteln"

Also etwa so: $_i = shfuihfgztcfqcvsvsvw3t_++***_##$%&44444848das_ist das Passwort******ojifejiejvwegvnuijnsehvuze6/89

$i_li = 5*8+2

$i_re = 6*6

$_i_real = stringTrimleft ($_i, $_li)

$_i_real = stringTrimright ($_i_real, $i_re)

Ps.: Und was nicht nach Passwort oder Schlüssel im Source aussieht wird als solcher auch nicht wahrgenommen. Unsichtbarkeit durch Unauffälligkeit

casi4712

jo danke MOmbi, war wohl gestern noch zu spät, komischerweise hat es da noch funktioneirt, ich versuchew mal Deine überarbeitete.

recht herzlichen Dank

lg

PS @Taler Danke für den Tip

casi4712

schon megakomisch, gestern hats wirklich noch funktioniert, jetzt bleibt das log immer leer und er fährt mit der weiteren Verarbeitung fort, auc hwenn er natürlcih nichts tut bei falschem Pw, aber er sagt das er was tut und keine erneute PW Abfrage, gestern stand noch im log irgendwas mit Fehler 0 bei erfolgtem Login.

Zum Mäuse melken

**Moombas**

Also auch deine vorher gepostete Variante (nicht meine Überarbeitete)?

Ich habe oben nochmal eine kleine Änderung bei meinem gemacht.

casi4712

ja funktioniert jetzt beides nicht mehr, ich hatte es gestern abend noch mehrfach getestet, selbst wenn ich bei 2ten mal das pw richtig eingebe kommt paswort verweigert, weil das log immer leer bleibt, kein Plan warum es gestern ging

@Taler:ist diede Methode sicher?

lg und einen schönen Abend

**Moombas**

casi4712: Ein gespeichertes Passwort ist nie sicher. Die Frage wäre eher ob sie "sicher genug" ist. Meine Antwort bliebe bei "nein".

Aber du könntest das anders lösen, wobei ich das dennoch nicht ideal finden würde:

1. Du speicherst das Passwort AES-256 verschlüsselt in einer (ini) Datei oder registry. Dafür wird zur ver- und Entschlüsselung ein eindeutiger CryptKey benötigt.

2. Anstatt also das Passwort zu prüfen, prüfst du ob die Entschlüsselung des Passworts mit dem eingegebenen Key mit Passwortvorgaben passt (ggf. Regex und auf Großbuchstaben, Sonderzeichen, mind. Passwortlänge etc. prüfen).

Meine bisherigen Tests haben bei falschen Cryptkey immer "ÿÿÿÿ" ergeben (ggf. abweichende Länge), was mit dem Regex als Fehlschlag gelten würde.

3. Wenn Regex passt, kannst du das entschlüsselte Passwort übergeben, wenn nicht: schon hier abbrechen.

Beispiel für eine AES-256 Verschlüsselung (ohne die Prüfung per RegEx etc.):

AutoIt

Opt('MustDeclareVars', 1)
#cs ----------------------------------------------------------------------------

    AutoIt Version: 3.3.16.0
    Author:         Moombas

    Script Function:
Programm zum Verschlüsseln und Entschlüsseln von Strings z.B. zur sicheren Passwortübermittlung, wenn beide Seiten das Programm haben.
#ce ----------------------------------------------------------------------------
#AutoIt3Wrapper_Au3Check_Parameters=-q -d -w 1 -w 2 -w 3 -w 4 -w 5 -w 6 -w 7

#include <Crypt.au3>
#include <MsgBoxConstants.au3>

Global $Eingabe, $Richtung

While 1
    $Eingabe  = InputBox('String', 'Type in the string: ', ClipGet(), '')
    If @error Then Exit
    $Richtung = MsgBox($MB_YESNO, 'Encode or Decode', 'Do you want to encode (Yes) or decode (No) the string?')
    If @error Then Exit
    If StringLen($Eingabe) > 0 Then
        Doit()
    Else
        Exit
    EndIf
WEnd

Func Doit()
Local Const $vCryptKey = _Crypt_DeriveKey(StringToBinary('DeinCryptKey'), $CALG_AES_256)
    _Crypt_Startup()
    if $Richtung = $IDYES then ;Verschlüsseln
        $Eingabe = _Crypt_EncryptData($Eingabe, $vCryptKey, $CALG_USERKEY)
        $Eingabe = StringTrimLeft($Eingabe, 2)
    ElseIf $Richtung = $IDNO then ;Entschlüsseln
         $Eingabe = BinaryToString(_Crypt_DecryptData('0x' & $Eingabe, $vCryptKey, $CALG_USERKEY))
    EndIf
    ClipPut($Eingabe)
    MsgBox($MB_SYSTEMMODAL, "", "The following data is stored in the clipboard: " & @CRLF & $Eingabe)

    _Crypt_DestroyKey($vCryptKey) ; Destroy the cryptographic key.
    _Crypt_Shutdown() ; Shutdown the crypt library.
    Exit
EndFunc

Alles anzeigen

**Moombas**

Btw.: Füg mal zwischen Zeile 51 und 52 folgendes ein ProcessWaitClose($pid) und teste erneut.

Ansonsten hier meine angesprochene Variante (mit Testwerten!):

AutoIt

Opt('MustDeclareVars', 1)
#include <File.au3>
#include <GUIConstantsEx.au3>
#include <ProgressConstants.au3>
#include <StaticConstants.au3>
#include <MsgBoxConstants.au3>
#include <FileConstants.au3>
#include <MsgBoxConstants.au3>
#include <WinAPIFiles.au3>
#include <Crypt.au3>

; Datei "log.txt" löschen, falls vorhanden
FileDelete("C:\log.txt")

;Variablen gehören an den Anfang und wenn sie nicht in einer Funktion definiert werden, müssen sie Global gesetzt werden, nicht Lokal
Global $password, $pid, $output, $errorOutput, $line, $tries = 0
Global $PSCommand           = 'powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "'
Global Const $maxfails      = 3         ;maximale Anzahl der Versuche
Global Const $PW_length_min = 8         ;mind. Passwortlänge für RegEx-Prüfung
Global Const $PW_length_max = ''        ;max Passwortlänge für RegEx-Prüfung, wenn Länge beliebig ist, muss ein leerer String übergeben werden
Global Const $PW_Chars      = '@$!%*?&' ;zul. Zeichen im Passwort für RegExPrüfung
Global Const $ServerIP      = "x.x.x.x"
Global Const $Command2      = 'systemctl start apache2'
Global Const $test_enc_Password = 'CA260316F9B34763E8FBD199D35CA7104CBBB647A6137012B2E32196C0ADBAB9' ;Nur zum testen, dieser String muss wie angegeben idealerweise aus registry, ini o.ä. ausgelesen werden

While 1
    $output = ""
    $errorOutput = ""
    ; Benutzer zur Eingabe des Passworts auffordern
    $Password = InputBox("Anmeldeinformationen", "Geben Sie Ihr Passwort ein:", "", "*")
    ;Es wurde Abbrechen geklickt
    If @error = 1 then ExitLoop
    ; Stellen Sie sicher, dass ein Passwort eingegeben wurde
    If $Password = "" Then
        MsgBox($IDCONTINUE  + $MB_RETRYCANCEL, "Fehler", "Kein Passwort eingegeben.")
        ExitLoop
    EndIf
    $Password = _DecryptPassword($Password, $test_enc_Password)
    ;Anzahl Versuche hochzählen
    $tries += 1

    ;Nur zum Testen: funktionierendes Passwort zum Verschlüsselten in $test_enc_Password :  123Ab!afavcas!!!12321
    If not StringRegExp($Password, '^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[' & $PW_Chars & '])[A-Za-z\d' & $PW_Chars & ']{' & $PW_length_min & ',' & $PW_length_max & '}$') then
        MsgBox(16, "Fehler", "Zugriff verweigert. Bitte überprüfen Sie das Passwort.")
        ;Prüfen ob zu viele Fehlversuche erreicht wurden.
        If $tries = $maxfails then ExitLoop
        ContinueLoop
    EndIf

    ; Starten Sie PowerShell und übergeben Sie das Passwort
    ;StartSSH
    $PSCommand &= '$Username = \"root\" ; ' ; Hier ist der Benutzername festgelegt
    $PSCommand &= '$Password = ConvertTo-SecureString -String \"' & $Password & '\" -AsPlainText -Force ; '
    $PSCommand &= '$Credential = New-Object System.Management.Automation.PSCredential($Username, $Password) ; '
    $PSCommand &= '$Session = New-SSHSession -ComputerName \"' & $ServerIP & '\" -Credential $Credential -Port 22 ; '

    ;SSHcommand
    $PSCommand &= 'Invoke-SSHCommand -SSHSession $Session -Command \"' & $Command2 & '\" ; '

    ;SSH Sessioin beenden
    $PSCommand &= 'Remove-SSHSession -SSHSession $Session ; "'

    $pid = RunWait($PSCommand, "", @SW_HIDE, $STDERR_CHILD + $STDOUT_CHILD)
    ProcessWaitClose($pid)
    ExitLoop
WEnd

Func _DecryptPassword($_CryptKey, $s_Password)
Local $Return
Local Const $vCryptKey = _Crypt_DeriveKey(StringToBinary($_CryptKey), $CALG_AES_256)
    _Crypt_Startup()

    $Return = BinaryToString(_Crypt_DecryptData('0x' & $s_Password, $vCryptKey, $CALG_USERKEY))

    _Crypt_DestroyKey($vCryptKey) ; Destroy the cryptographic key.
    _Crypt_Shutdown() ; Shutdown the crypt library.

    Return $Return
EndFunc

Alles anzeigen

casi4712

okidoki recht herzlichen Dank, werde ich morgen gleich mal testen

lg und schönen Abend noch

SSH Passwort falsch

Ähnliche Themen

Controlsend in PuTTY für WOL