Linux Post-Exploitation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
各ユーザーがログインに使用するパスワードをログに記録するためにPAMモジュールを設定しましょう。PAMが何か分からない場合は、次を確認してください:
PAM - Pluggable Authentication Modules詳細については、元の投稿を確認してください。これは要約です:
技術概要: プラガブル認証モジュール(PAM)は、Unixベースのシステムでの認証管理に柔軟性を提供します。ログインプロセスをカスタマイズすることでセキュリティを強化できますが、誤用されるとリスクも伴います。この要約では、PAMを使用してログイン資格情報をキャプチャする技術と、その緩和戦略を概説します。
資格情報のキャプチャ:
toomanysecrets.shという名前のbashスクリプトが作成され、ログイン試行を記録し、日付、ユーザー名($PAM_USER)、パスワード(stdin経由)、およびリモートホストIP($PAM_RHOST)を/var/log/toomanysecrets.logにキャプチャします。
スクリプトは実行可能にされ、pam_exec.soモジュールを使用してPAM構成(common-auth)に統合され、静かに実行し、認証トークンをスクリプトに公開するオプションが付与されます。
このアプローチは、侵害されたLinuxホストが資格情報を密かに記録するためにどのように悪用されるかを示しています。
詳細については、元の投稿を確認してください。これは要約です:
プラガブル認証モジュール(PAM)は、Linuxでユーザー認証に使用されるシステムです。これは、ユーザー名、パスワード、およびサービスの3つの主要な概念に基づいて動作します。各サービスの設定ファイルは/etc/pam.d/ディレクトリにあり、共有ライブラリが認証を処理します。
目的:特定のパスワードで認証を許可するようにPAMを変更し、実際のユーザーパスワードをバイパスします。これは、パスワード検証のためにほぼすべてのサービスに含まれているcommon-authファイルで使用されるpam_unix.so共有ライブラリに特に焦点を当てています。
pam_unix.soの変更手順:common-authファイル内の認証ディレクティブを特定:
ユーザーのパスワードを確認する責任がある行はpam_unix.soを呼び出します。
ソースコードを変更:
pam_unix_auth.cソースファイルに、事前定義されたパスワードが使用された場合にアクセスを許可する条件文を追加し、そうでない場合は通常の認証プロセスを続行します。
再コンパイルして、適切なディレクトリに変更されたpam_unix.soライブラリを置き換えます。
テスト:
事前定義されたパスワードでさまざまなサービス(ログイン、ssh、sudo、su、スクリーンセーバー)にアクセスが許可され、通常の認証プロセスには影響がありません。
このプロセスをhttps://github.com/zephrax/linux-pam-backdoorで自動化できます
AWSハッキングを学び、練習する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、練習する:HackTricks Training GCP Red Team Expert (GRTE)
