当我正在进行常规渗透测试时,发现OpenSSH具有弱RSA-2048和DSA-1024密钥的漏洞。
所以,我已经下载了相同的漏洞并获得了一些弱密钥。 现在,当我尝试使用RSA私钥/公钥对系统进行身份验证时。它仍然问我密码。
我用过
的方式 ssh -i /my/keys/location user@IPaddress
但是,从概念上讲,在使用RSA密钥进行身份验证时,不应该要求输入密码。
您可能会认为,authorized_keys
密钥是通过使用强制创建的,因此它们存在于authroized_keys中。
欢迎任何有关相同的评论或建议。
此致