Linux Post-Exploitation
PAM के साथ लॉगऑन पासवर्ड को स्निफ़ करें
आइए एक PAM मॉड्यूल कॉन्फ़िगर करें ताकि हर उपयोगकर्ता जो लॉगिन करता है, उसका पासवर्ड लॉग कर सकें। अगर आपको PAM क्या है इसका पता नहीं है तो देखें:
pagePAM - Pluggable Authentication Modulesअधिक विवरण के लिए मूल पोस्ट देखें। यह सिर्फ एक सारांश है:
तकनीक अवलोकन: प्लगेबल प्रमाणीकरण मॉड्यूल (PAM) यूनिक्स-आधारित सिस्टमों पर प्रमाणीकरण को प्रबंधित करने में लचीलाई प्रदान करते हैं। वे लॉगिन प्रक्रियाओं को अनुकूलित करके सुरक्षा को बढ़ा सकते हैं लेकिन गलत तरीके से उपयोग किए जाने पर खतरे भी उठा सकते हैं। यह सारांश एक तकनीक को आउटलाइन करता है जिससे PAM का उपयोग करके लॉगिन क्रेडेंशियल्स को कैप्चर किया जा सकता है, साथ ही संशोधन रणनीतियों।
क्रेडेंशियल्स को कैप्चर करना:
toomanysecrets.sh
नामक एक बैश स्क्रिप्ट तैयार किया जाता है ताकि लॉगिन प्रयासों को लॉग किया जा सके, जिसमें तारीख, उपयोगकर्ता नाम ($PAM_USER
), पासवर्ड (stdin के माध्यम से), और रिमोट होस्ट IP ($PAM_RHOST
) को/var/log/toomanysecrets.log
में कैप्चर किया जाता है।स्क्रिप्ट को क्रियाशील बनाया जाता है और
pam_exec.so
मॉड्यूल का उपयोग करके PAM कॉन्फ़िगरेशन (common-auth
) में शामिल किया जाता है, जिसमें स्क्रिप्ट को चुपचाप चलाने और प्रमाणीकरण टोकन को स्क्रिप्ट को उजागर करने के विकल्प शामिल हैं।यह दिखाता है कि कैसे एक कंप्रोमाइज़्ड लिनक्स होस्ट को गुप्त रूप से क्रेडेंशियल्स लॉग करने के लिए उपयोग किया जा सकता है।
PAM में बैकडोरिंग
अधिक विवरण के लिए मूल पोस्ट देखें। यह केवल एक सारांश है:
प्लगेबल प्रमाणीकरण मॉड्यूल (PAM) एक सिस्टम है जो लिनक्स के तहत उपयोगकर्ता प्रमाणीकरण के लिए उपयोग किया जाता है। यह तीन मुख्य अवधारणाओं पर काम करता है: उपयोगकर्ता नाम, पासवर्ड, और सेवा। प्रत्येक सेवा के लिए कॉन्फ़िगरेशन फ़ाइलें /etc/pam.d/
निर्देशिका में स्थित हैं, जहां साझा पुस्तकालय प्रमाणीकरण का संचालन करती है।
उद्देश्य: PAM को संशोधित करें ताकि एक विशिष्ट पासवर्ड के साथ प्रमाणीकरण संभव हो, वास्तविक उपयोगकर्ता पासवर्ड को छोड़कर। यह विशेष रूप से common-auth
फ़ाइल द्वारा उपयोग किए जाने वाले pam_unix.so
साझा पुस्तकालय पर ध्यान केंद्रित है, जो पासवर्ड सत्यापन के लिए लगभग सभी सेवाओं द्वारा समाविष्ट किया जाता है।
pam_unix.so
को संशोधित करने के लिए चरण:
pam_unix.so
को संशोधित करने के लिए चरण:common-auth
फ़ाइल में प्रमाणीकरण निर्देशिका का पता लगाएं:
उपयोगकर्ता के पासवर्ड की जांच के लिए जिम्मेदार लाइन
pam_unix.so
को बुलाती है।
स्रोत को संशोधित करें:
pam_unix_auth.c
स्रोत फ़ाइल में एक शर्तमय वक्तव्य जोड़ें जो यदि एक पूर्वनिर्धारित पासवर्ड का उपयोग किया जाता है, तो पहुँच देता है, अन्यथा, यह सामान्य प्रमाणीकरण प्रक्रिया के साथ आगे बढ़ता है।
पुनः कॉम्पाइल और पुनः रखें संशोधित
pam_unix.so
पुस्तकालय को उचित निर्देशिका में।परीक्षण:
पूर्वनिर्धारित पासवर्ड के साथ विभिन्न सेवाओं (लॉगिन, ssh, sudo, su, स्क्रीनसेवर) में पहुँच प्रदान की जाती है, जबकि सामान्य प्रमाणीकरण प्रक्रियाएँ प्रभावित नहीं होती हैं।
Last updated