Linux Post-Exploitation

Reading time: 4 minutes

tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a HackTricks y HackTricks Cloud repos de github.

Captura de Contraseñas de Inicio de Sesión con PAM

Vamos a configurar un módulo PAM para registrar cada contraseña que cada usuario utiliza para iniciar sesión. Si no sabes qué es PAM, consulta:

PAM - Pluggable Authentication Modules

Para más detalles, consulta el post original. Esto es solo un resumen:

Descripción de la Técnica: Los Módulos de Autenticación Pluggable (PAM) ofrecen flexibilidad en la gestión de la autenticación en sistemas basados en Unix. Pueden mejorar la seguridad al personalizar los procesos de inicio de sesión, pero también presentan riesgos si se utilizan de manera incorrecta. Este resumen describe una técnica para capturar credenciales de inicio de sesión utilizando PAM, junto con estrategias de mitigación.

Captura de Credenciales:

Se crea un script bash llamado toomanysecrets.sh para registrar los intentos de inicio de sesión, capturando la fecha, el nombre de usuario ($PAM_USER), la contraseña (a través de stdin) y la IP del host remoto ($PAM_RHOST) en /var/log/toomanysecrets.log.
El script se hace ejecutable e integra en la configuración de PAM (common-auth) utilizando el módulo pam_exec.so con opciones para ejecutarse en silencio y exponer el token de autenticación al script.
El enfoque demuestra cómo un host Linux comprometido puede ser explotado para registrar credenciales de manera discreta.

bash

#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
sudo touch /var/log/toomanysecrets.sh
sudo chmod 770 /var/log/toomanysecrets.sh
sudo nano /etc/pam.d/common-auth
# Add: auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh
sudo chmod 700 /usr/local/bin/toomanysecrets.sh

Backdooring PAM

Para más detalles, consulta el post original. Esto es solo un resumen:

El Módulo de Autenticación Pluggable (PAM) es un sistema utilizado en Linux para la autenticación de usuarios. Funciona en tres conceptos principales: nombre de usuario, contraseña y servicio. Los archivos de configuración para cada servicio se encuentran en el directorio /etc/pam.d/, donde las bibliotecas compartidas manejan la autenticación.

Objetivo: Modificar PAM para permitir la autenticación con una contraseña específica, eludiendo la contraseña real del usuario. Esto se centra particularmente en la biblioteca compartida pam_unix.so utilizada por el archivo common-auth, que es incluido por casi todos los servicios para la verificación de contraseñas.

Pasos para Modificar `pam_unix.so`:

Localizar la Directiva de Autenticación en el archivo common-auth:

La línea responsable de verificar la contraseña de un usuario llama a pam_unix.so.

Modificar el Código Fuente:

Agregar una declaración condicional en el archivo fuente pam_unix_auth.c que otorgue acceso si se utiliza una contraseña predefinida; de lo contrario, procede con el proceso de autenticación habitual.

Recompilar y Reemplazar la biblioteca modificada pam_unix.so en el directorio apropiado.
Pruebas:

Se concede acceso a través de varios servicios (login, ssh, sudo, su, screensaver) con la contraseña predefinida, mientras que los procesos de autenticación normales permanecen sin afectar.

note

Puedes automatizar este proceso con https://github.com/zephrax/linux-pam-backdoor

tip