Linux Post-Exploitation

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Sniffing Logon Passwords with PAM

Tuwekeze moduli ya PAM ili kurekodi kila nenosiri anayotumia mtumiaji kuingia. Ikiwa hujui ni nini PAM angalia:

PAM - Pluggable Authentication Modules

Kwa maelezo zaidi angalia post ya asili. Hii ni muhtasari tu:

Muhtasari wa Mbinu: Moduli za Uthibitishaji Zinazoweza Kuunganishwa (PAM) zinatoa kubadilika katika usimamizi wa uthibitishaji kwenye mifumo ya Unix. Zinaweza kuongeza usalama kwa kubadilisha michakato ya kuingia lakini pia zinaweza kuleta hatari ikiwa zitatumiwa vibaya. Muhtasari huu unaelezea mbinu ya kukamata taarifa za kuingia kwa kutumia PAM, pamoja na mikakati ya kupunguza hatari.

Kukamata Taarifa:

Skripti ya bash inayoitwa toomanysecrets.sh imeandaliwa ili kurekodi majaribio ya kuingia, ikikamata tarehe, jina la mtumiaji ($PAM_USER), nenosiri (kupitia stdin), na IP ya mwenyeji wa mbali ($PAM_RHOST) kwenye /var/log/toomanysecrets.log.
Skripti hiyo imefanywa kuwa executable na kuunganishwa kwenye usanidi wa PAM (common-auth) kwa kutumia moduli ya pam_exec.so yenye chaguzi za kufanya kazi kimya na kufichua tokeni ya uthibitishaji kwa skripti.
Mbinu hii inaonyesha jinsi mwenyeji wa Linux aliyeathirika anavyoweza kutumiwa vibaya ili kurekodi taarifa kwa siri.

#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
sudo touch /var/log/toomanysecrets.sh
sudo chmod 770 /var/log/toomanysecrets.sh
sudo nano /etc/pam.d/common-auth
# Add: auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh
sudo chmod 700 /usr/local/bin/toomanysecrets.sh

Backdooring PAM

Kwa maelezo zaidi angalia post ya asili. Hii ni muhtasari tu:

Moduli ya Uthibitishaji Inayoweza Kuunganishwa (PAM) ni mfumo unaotumika chini ya Linux kwa uthibitishaji wa mtumiaji. Inafanya kazi kwa dhana tatu kuu: jina la mtumiaji, nenosiri, na huduma. Faili za usanidi kwa kila huduma ziko katika saraka ya /etc/pam.d/, ambapo maktaba za pamoja hushughulikia uthibitishaji.

Lengo: Badilisha PAM ili kuruhusu uthibitishaji kwa nenosiri maalum, kupita nenosiri halisi la mtumiaji. Hii inazingatia hasa maktaba ya pamoja pam_unix.so inayotumiwa na faili ya common-auth, ambayo inajumuishwa na karibu huduma zote kwa uthibitishaji wa nenosiri.

Hatua za Kubadilisha `pam_unix.so`:

Pata Mwelekeo wa Uthibitishaji katika faili ya common-auth:

Mstari unaohusika na kuangalia nenosiri la mtumiaji unaita pam_unix.so.

Badilisha Msimbo wa Chanzo:

Ongeza taarifa ya masharti katika faili ya chanzo ya pam_unix_auth.c inayoruhusu ufikiaji ikiwa nenosiri lililotangazwa linatumika, vinginevyo, inaendelea na mchakato wa kawaida wa uthibitishaji.

Recompile na Badilisha maktaba iliyobadilishwa ya pam_unix.so katika saraka inayofaa.
Kujaribu:

Ufikiaji unaruhusiwa katika huduma mbalimbali (kuingia, ssh, sudo, su, screensaver) kwa nenosiri lililotangazwa, wakati michakato ya kawaida ya uthibitishaji inabaki bila kuathiriwa.

Unaweza kujiandaa kwa mchakato huu na https://github.com/zephrax/linux-pam-backdoor

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au fuata sisi kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousLinux Environment Variables NextPAM - Pluggable Authentication Modules

Last updated 6 days ago

Sniffing Logon Passwords with PAM

Backdooring PAM

Hatua za Kubadilisha pam_unix.so:

Sniffing Logon Passwords with PAM

Backdooring PAM

Hatua za Kubadilisha pam_unix.so:

Hatua za Kubadilisha `pam_unix.so`:

Hatua za Kubadilisha `pam_unix.so`: