Linux Post-Exploitation

Jifunze kuhusu kuvamia AWS kutoka mwanzo hadi kuwa bingwa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Kudukua Nywila za Kuingia kwa Kutumia PAM

Hebu tusanidi moduli ya PAM ili kurekodi kila nywila ambayo mtumiaji anatumia kuingia. Ikiwa hujui ni nini PAM angalia:

Kwa maelezo zaidi angalia chapisho asili. Hii ni muhtasari tu:

Muhtasari wa Mbinu: Moduli za Uthibitishaji Zinazoweza Kusanikishwa (PAM) hutoa uwezo wa kusimamia uthibitishaji kwenye mfumo wa Unix. Zinaweza kuimarisha usalama kwa kubinafsisha mchakato wa kuingia lakini pia zinaweza kuwa na hatari ikitumiwa vibaya. Muhtasari huu unaelezea mbinu ya kukamata nywila za kuingia kwa kutumia PAM, pamoja na mikakati ya kupunguza hatari.

Kukamata Nywila:

  • Script ya bash iliyoitwa toomanysecrets.sh imeundwa ili kurekodi jaribio la kuingia, ikikamata tarehe, jina la mtumiaji ($PAM_USER), nywila (kupitia stdin), na anwani ya IP ya mwenyeji wa mbali ($PAM_RHOST) kwenye /var/log/toomanysecrets.log.

  • Script hiyo inafanywa kuwa inatekelezeka na kuunganishwa kwenye usanidi wa PAM (common-auth) kwa kutumia moduli ya pam_exec.so na chaguo za kukimbia kimya kimya na kuonyesha ishara ya uthibitishaji kwa script.

  • Mbinu hii inaonyesha jinsi mwenyeji wa Linux aliyeathiriwa anaweza kudukuliwa ili kurekodi nywila kwa siri.

#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
sudo touch /var/log/toomanysecrets.sh
sudo chmod 770 /var/log/toomanysecrets.sh
sudo nano /etc/pam.d/common-auth
# Add: auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh
sudo chmod 700 /usr/local/bin/toomanysecrets.sh

Kuingiza Backdoor kwenye PAM

Kwa maelezo zaidi angalia chapisho asili. Hii ni muhtasari tu:

Pluggable Authentication Module (PAM) ni mfumo unaotumiwa chini ya Linux kwa uthibitishaji wa mtumiaji. Inafanya kazi kwa misingi mitatu kuu: jina la mtumiaji, nywila, na huduma. Faili za usanidi kwa kila huduma zinapatikana katika saraka ya /etc/pam.d/, ambapo maktaba za pamoja hushughulikia uthibitishaji.

Lengo: Badilisha PAM ili kuruhusu uthibitishaji kwa kutumia nywila maalum, kukiuka nywila halisi ya mtumiaji. Hii inazingatia sana maktaba ya pamoja ya pam_unix.so inayotumiwa na faili ya common-auth, ambayo inajumuishwa na huduma nyingi kwa uthibitishaji wa nywila.

Hatua za Kubadilisha pam_unix.so:

  1. Tafuta Mwongozo wa Uthibitishaji katika faili ya common-auth:

  • Mstari unaohusika na ukaguzi wa nywila ya mtumiaji unaita pam_unix.so.

  1. Badilisha Kanuni ya Chanzo:

  • Ongeza kauli ya masharti katika faili ya chanzo ya pam_unix_auth.c ambayo inaruhusu ufikiaji ikiwa nywila iliyopangwa imetumiwa, vinginevyo, inaendelea na mchakato wa kawaida wa uthibitishaji.

  1. Rekebisha na Badilisha maktaba iliyobadilishwa ya pam_unix.so katika saraka sahihi.

  2. Jaribio:

  • Ufikiaji unaruhusiwa kwenye huduma mbalimbali (login, ssh, sudo, su, screensaver) kwa kutumia nywila iliyopangwa, wakati mchakato wa kawaida wa uthibitishaji unaendelea kama kawaida.

Unaweza kiotomatisha mchakato huu na https://github.com/zephrax/linux-pam-backdoor

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Last updated