sshd-poison是一个获取基于pam的sshd身份验证信誉的工具，该工具开始附加主sshd pid并等待某些事件，当创建新进程时，这意味着启动了新连接，之后该工具将等待execve事件，然后检查执行的程序是否相同作为主要的pid，为了确保重新执行（这就是为什么我们需要控制主pid，每个重新执行将擦除任何内存修改），然后在新进程的入口点设置断点，等待程序加载共享库。
当它完成并且断点已经命中时，它将被取消，程序将shellcode写入代码，并且libpam使用的pam_set_item的GOT条目将被更改，对pam_set_item函数的内部libpam调用。
日志格式是password\0rhost\0user\0。

安装

https://github.com/hc0d3r/sshd-poison
cd sshd-poison
make

演示