Linux Post-Exploitation
Kuchunguza Nywila za Kuingia kwa Kutumia PAM
Hebu tuziconfigure moduli ya PAM ili kurekodi kila nywila ambayo kila mtumiaji anatumia kuingia. Ikiwa hujui ni nini PAM angalia:
PAM - Pluggable Authentication ModulesKwa maelezo zaidi angalia chapisho la asili. Hii ni muhtasari tu:
Muhtasari wa Mbinu: Moduli za Uthibitishaji Zinazoweza Kusanikishwa (PAM) hutoa uwezo wa kusimamia uthibitishaji kwenye mifumo inayotumia Unix. Wanaweza kuboresha usalama kwa kubinafsisha michakato ya kuingia lakini pia wanaweza kuleta hatari ikiwa hutumiwa vibaya. Muhtasari huu unaelezea mbinu ya kukamata nywila za kuingia kwa kutumia PAM, pamoja na mikakati ya kupunguza madhara.
Kukamata Nywila:
Skripti ya bash iliyoitwa
toomanysecrets.sh
imeundwa ili kurekodi jaribio la kuingia, ikikamata tarehe, jina la mtumiaji ($PAM_USER
), nywila (kupitia stdin), na anwani ya IP ya mwenyeji wa mbali ($PAM_RHOST
) kwenye/var/log/toomanysecrets.log
.Skripti hiyo inafanywa iweze kutekelezwa na kuingizwa kwenye usanidi wa PAM (
common-auth
) kwa kutumia moduli yapam_exec.so
na chaguo la kukimbia kimya kimya na kuonyesha kitambulisho cha uthibitishaji kwa skripti.Mbinu hii inaonyesha jinsi mwenyeji wa Linux uliingiliwa unavyoweza kutumiwa kwa siri kurekodi nywila.
Kuweka Backdoor kwenye PAM
Kwa maelezo zaidi angalia chapisho la asili. Hii ni muhtasari tu:
Moduli ya Uthibitishaji Inayoweza Kufungwa (PAM) ni mfumo unaotumiwa chini ya Linux kwa uthibitishaji wa mtumiaji. Inafanya kazi kwa misingi mitatu kuu: jina la mtumiaji, nenosiri, na huduma. Faili za usanidi kwa kila huduma zinapatikana kwenye saraka ya /etc/pam.d/
, ambapo maktaba za pamoja hushughulikia uthibitishaji.
Lengo: Badilisha PAM ili kuruhusu uthibitishaji kwa kutumia nenosiri maalum, ukikwepa nenosiri halisi la mtumiaji. Hii inazingatia sana faili ya pam_unix.so
inayotumiwa na faili ya common-auth
, ambayo inajumuisha karibu huduma zote kwa uthibitishaji wa nenosiri.
Hatua za Kubadilisha pam_unix.so
:
pam_unix.so
:Tafuta Maelekezo ya Uthibitishaji kwenye faili ya
common-auth
:
Mstari unaohusika na kuthibitisha nenosiri la mtumiaji unaita
pam_unix.so
.
Badilisha Msimbo wa Chanzo:
Ongeza kauli ya masharti kwenye faili ya chanzo ya
pam_unix_auth.c
ambayo inaruhusu ufikiaji ikiwa nenosiri lililopangwa limetumiwa, vinginevyo, inaendelea na mchakato wa kawaida wa uthibitishaji.
Kurekebisha na Kubadilisha maktaba iliyobadilishwa ya
pam_unix.so
kwenye saraka sahihi.Jaribio:
Ufikiaji unaruhusiwa kwenye huduma mbalimbali (ingia, ssh, sudo, su, skrini ya kuficha) kwa kutumia nenosiri lililopangwa, wakati mchakato wa kawaida wa uthibitishaji unabaki bila kuharibiwa.
Unaweza kiotomatisha mchakato huu kwa kutumia https://github.com/zephrax/linux-pam-backdoor
Last updated