maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/linux-hardening/linux-post-exploitation/README.md

3.4 KiB
Raw Blame History

Linux Post-Exploitation

{{#include ../../banners/hacktricks-training.md}}

Sniffing Logon Passwords with PAM

Tuwekeze moduli ya PAM ili kurekodi kila nenosiri ambalo mtumiaji anatumia kuingia. Ikiwa hujui ni nini PAM angalia:

{{#ref}} pam-pluggable-authentication-modules.md {{#endref}}

Kwa maelezo zaidi angalia post ya asili. Hii ni muhtasari tu:

Muhtasari wa Mbinu: Pluggable Authentication Modules (PAM) hutoa kubadilika katika usimamizi wa uthibitishaji kwenye mifumo ya Unix. Wanaweza kuongeza usalama kwa kubadilisha michakato ya kuingia lakini pia wanaweza kuleta hatari ikiwa zitatumika vibaya. Muhtasari huu unaelezea mbinu ya kukamata taarifa za kuingia kwa kutumia PAM, pamoja na mikakati ya kupunguza hatari.

Kukamata Taarifa:

  • Skripti ya bash inayoitwa toomanysecrets.sh imeandaliwa ili kurekodi majaribio ya kuingia, ikikamata tarehe, jina la mtumiaji ($PAM_USER), nenosiri (kupitia stdin), na IP ya mwenyeji wa mbali ($PAM_RHOST) kwenye /var/log/toomanysecrets.log.
  • Skripti hiyo imefanywa kuwa executable na kuunganishwa kwenye usanidi wa PAM (common-auth) kwa kutumia moduli ya pam_exec.so yenye chaguzi za kufanya kazi kimya na kufichua tokeni ya uthibitishaji kwa skripti.
  • Njia hii inaonyesha jinsi mwenyeji wa Linux aliyeathirika anavyoweza kutumika kukamata taarifa kwa siri.
#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
sudo touch /var/log/toomanysecrets.sh
sudo chmod 770 /var/log/toomanysecrets.sh
sudo nano /etc/pam.d/common-auth
# Add: auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh
sudo chmod 700 /usr/local/bin/toomanysecrets.sh

Backdooring PAM

Kwa maelezo zaidi angalia post ya asili. Hii ni muhtasari tu:

Moduli ya Uthibitishaji Inayoweza Kuunganishwa (PAM) ni mfumo unaotumika chini ya Linux kwa uthibitishaji wa mtumiaji. Inafanya kazi kwa dhana tatu kuu: jina la mtumiaji, nenosiri, na huduma. Faili za usanidi kwa kila huduma ziko katika saraka ya /etc/pam.d/, ambapo maktaba za pamoja hushughulikia uthibitishaji.

Lengo: Badilisha PAM ili kuruhusu uthibitishaji kwa nenosiri maalum, ukipita nenosiri halisi la mtumiaji. Hii inazingatia hasa maktaba ya pamoja pam_unix.so inayotumiwa na faili ya common-auth, ambayo inajumuishwa na huduma nyingi kwa uthibitishaji wa nenosiri.

Hatua za Kubadilisha pam_unix.so:

  1. Pata Mwelekeo wa Uthibitishaji katika faili ya common-auth:
  • Mstari unaohusika na kuangalia nenosiri la mtumiaji unaita pam_unix.so.
  1. Badilisha Msimbo wa Chanzo:
  • Ongeza taarifa ya masharti katika faili la chanzo la pam_unix_auth.c inayoruhusu ufikiaji ikiwa nenosiri lililotengwa linatumika, vinginevyo, inaendelea na mchakato wa kawaida wa uthibitishaji.
  1. Recompile na Badilisha maktaba iliyobadilishwa pam_unix.so katika saraka inayofaa.
  2. Kujaribu:
  • Ufikiaji unaruhusiwa katika huduma mbalimbali (kuingia, ssh, sudo, su, screensaver) kwa nenosiri lililotengwa, wakati michakato ya kawaida ya uthibitishaji inabaki bila kuathiriwa.

Tip

Unaweza kujiandaa mchakato huu kwa https://github.com/zephrax/linux-pam-backdoor

{{#include ../../banners/hacktricks-training.md}}