Linux系统下利用Impost3r劫持sudo命令窃取凭据

最新推荐文章于 2024-04-15 09:54:03 发布
最新推荐文章于 2024-04-15 09:54:03 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: att&ck 文章标签: linux 系统安全 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60274950/article/details/125560974
版权

        Impost3r是一款针对Linux平台的密码窃取工具,该工具采可以在linux系统的普通用户权限下制造水坑,从目标Linux主机中获取各类密码如ssh、su、sudo等。 软件使用 C 语言编写,可以在窃取密码后自动保存清理窃取痕迹,最大程度上让被攻击者无法察觉异常。

工具链接:https://github.com/ph4ntonn/Impost3r

更改.bashrc文件

        我们可以通过该工具窃取sudo密码,先假设我们已经获取了一台Linux服务器的普通用户权限,我们可疑通过对sudo命令劫持来实现sudo密码的窃取。首先我们需要对用户目录下的.bashrc文件进行配置,使其在执行sudo命令时会调用我们下文中对源码编译完成的.impost3rmo模块文件并注入该进程劫持密码。

        然后我们再对该源码中的sudo模块下的main.h头文件进行简单的调配。首先将其所调用的文件指向tmp目录下的.impost3r文件。同时我们也可以通过对define SAVE _OR _SEND 参数的配置来设置窃取成功后是将结果保存在靶机还是通过dns链接返回到攻击机上,这里我设置的是将获取的凭据保存在靶机上。

编译生成impost3r

        参数配置完成后我们就可以对sudo模块进行编译生成.impost3r文件并将其复制到tmp目录下。

 

普通用户测试(凭据可用于提权)

        这里我重新开了一个普通用户权限的窗口执行一个sudo命令来进行测试。

       命令执行完成之后在靶机的tmp目录下生成了.cache文件,该文件内容中保存了我们输入的用户名和密码,并且会记录下身份验证的结果是否正确。

检测方式

        通过Linux安全审核audit日志记录下了同一进程id加载不同进程的行为。该工具在窃取到凭据后还会进行痕迹清理的行为也可以通过检测.bashrc文件的覆盖行为以及impost3r的删除行为来进行检测。

Whoami__zhenghailin
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
域内凭据窃取
G3et的博客
05-27 198
使用procdump获取密码副本,采用此方式可以解决mimikatz无法使用的问题,导出的dmp文件可在其他主机进行还原密码。本地认证中用来处理用户输入密码的进程为lsass.exe,密码会在这个进程中明文保存,供该进程将密码计算成NTLM Hash与sam进行比对。需要注意,windows server 2008及以前的版本在系统中存储的是明文密码,而在之后的版本默认导出的密码均为NTLM hash。转储了lsass进程,把内存dump出来的dmp文件可以通过本地mimikatz进行解密。
Linux 命令劫持了,该怎么处理?
icontent
03-19 410
转自:http://www.pinlue.com/article/2021/03/0200/0011549730700.html
探索Impost3r:一款创新的代码混淆工具
最新发布
gitblog_00008的博客
04-15 416
探索Impost3r:一款创新的代码混淆工具 项目地址:https://gitcode.com/ph4ntonn/Impost3r 在软件开发的世界里,保护源码的安全性是至关重要的。Impost3r 是一个Python编写的开源项目,专注于提供代码混淆功能,使得源码难以被逆向工程破解。本文将深入介绍该项目的技术原理、应用场景和独特之处,以期吸引更多的开发者关注并尝试使用。 项目简介 Impost3...
linux劫持ls命令记录root密码
9ian1i
08-31 2471
今天学习的时候看到了一个通过劫持su命令获取root密码的例子,我稍稍做一下解释,代码如下:/* * kpr-fakesu.c V0.9beta167 ;P * by koper <koper@linuxmail.org> * * /bin/su sends various failure information depending on the OS ver. * Please modify t
Hook技术--③Linux系统调用劫持 hook
一些个人笔记,写的不好之处,还请海涵
10-31 502
使用Makefile编译,insmod插入内核模块后,再执行ls时,就会进入到我们的系统调用,我们可以在hook代码中删掉某些文件,ls就不会显示这些文件,但是这些文件还是存在的。当用户态发起一个系统调用时,会通过80软中断进入到syscall hander,进而进入全局的系统调用表sys_ call _table去查找具体的系统调用,那么。系统调用劫持的目的是改变系统中原有的系统调用,用我们自己的程序替换原有的系统调用。,系统调用表实际上是指针数组,下标是系统调用号,
Impost3r::ghost:Impost3r-一个Linux密码小偷
01-30
Impost3r::ghost:Impost3r-一个Linux密码小偷
Impost-开源
04-13
Impost是一款开源的网络安全审计工具,专为协议利用分析和取证设计。在当前数字化高度发展的社会,网络安全成为了不可忽视的重要领域。Impost的出现,为安全专家和研究人员提供了一个强大的平台,以深入理解网络攻击...
Amplify Impostors 0.94
03-28
可以将模型转换为可多多角度观看的片来优化资源,会自动匹配模型角度,接近于真实3D模型,但是面熟确实完全不一个量级,可做到上万面的中远景变为几十面
第三方软件IMS后处理
10-06
第三方软件、用于编程软件的后处理设置,适用于CATIA UG等加工编程软件
Intellij IDEA 与maven 版本不符 Unable to import maven project See logs for details: No implementation for
08-18
- 在选定的版本目录下,进入`binaries`子目录,下载`bin.zip`文件,解压后将Maven的`bin`目录添加到系统环境变量`PATH`中,以便IDEA能够识别。 - 最后,重启IntelliJ IDEA,尝试重新导入Maven项目,看是否解决了...
linux执行一条指令取址,Linux下实现劫持系统调用的总结(下)--原理分析
weixin_35895485的博客
05-13 153
本文欢迎自由转载,但请标明出处和本文链接,并保持本文的完整性。Dec 2, 2009二、实现原理分析实现的方法就是通过中断向量表,找到系统调用的中断向量,再通过系统调用时执行的指令,最终找到系统调用表的地址,进行系统调用的替换。(一)中断向量表地址的获取中断向量表(IDT)的入口地址是通过IDTR寄存器来确定的。IDTR寄存器的内容如下图所示。这就是上面代码中定义结构体struct idtr {u...
linux基于此语言的密码,Impost3r:一款针对Linux密码提取工具
weixin_33701379的博客
04-29 91
Impost3r是一款针对Linux平台的密码管理工具,该工具采用C语言开发,可以帮助广大研究人员在渗透测试的过程中,从目标Linux主机中获取各类密码(ssh、su、sudo)。此工具仅限于安全研究和教学,请不要将其用于恶意目的。功能特性1、自动擦除密码窃取行为痕迹;2、通过DNS协议传输结果;3、无需用户交互,用户无法察觉;依赖组件工具下载广大研究人员可以使用下列命令将该项目源码克隆至本...
蓝易云:linux劫持rm命令实现安全删除
高性价比服务器就选:蓝易云
09-28 60
命令需要谨慎使用,确保只在必要的情况下执行删除操作。同时,建议备份重要文件,以防误操作导致数据丢失。命令,可以将其替换为自定义的脚本或命令,添加额外的安全确认步骤,例如询问用户是否确认删除。如果输入其他任何字符(包括回车键),则将取消删除操作。命令时,将会弹出确认提示,要求您确认是否执行删除操作。命令来实现安全删除,以防止误操作删除重要文件。为了使这个设置永久生效,可以将以上命令添加到。在Linux系统中,可以通过劫持(或覆盖)并按下回车键,则执行真正的。现在,当您在终端中执行。
凭证窃取的几种方式
Wawyw's Blog
07-19 1103
0x01 Windows登录凭证窃取 Windows的系统密码hash默认情况下一般由两部分组成:第一部分是LM-hash,第二部分是NTLM-hash。它们都是用户密码经过hash加密后的形式。 Windows系统下hash密码格式为:用户名称:RID:LM-HASH值:NT-HASH值。 例如: Administrator:500:AF01DF70036EBACFAAD3B435B51404EE:44F077E27F6FEF69E7BD834C7242B040 用户名称为:Administrato
C/C++ 如何劫持别人家的命令||函数||程序(只能对于window而言)
weixin_33842304的博客
03-22 181
  要实现下面程序,首先我们需要三个文件 detours.h ,detours.lib ,detver.h(可以去网上下载)     1. 首先让我们看看,一个最简单的C程序,如何劫持system函数.   1 #include&lt;stdio.h&gt; 2 #include&lt;stdlib.h&gt; 3 #include&lt;string.h&gt; 4 #...
镜像劫持
sudo 专栏
02-27 3265
操作系统本身就自带映像劫持的功能,病毒通过修改注册表来实现对杀毒软件的劫持,当你运行杀软的时候,它就会自动把目标指向病毒的路径,结果,运行的是病毒,而不是杀毒软件。  一、镜像劫持概述  系统在试图执行一个从命令行调用可执行文件,运行请求时,会先检查运行程序是不是可执行文件,如果是的话,继续检查格式,最后才会检查文件是否存在。如果不存在的话,它会提示系统
应急响应中Linux库文件劫持
dayouzi的博客
02-13 1145
在日常的应急工作中,经常遭遇挖矿病毒的案例,但是往往用ps,top等命令是看不到异常的,且即使kill掉进程和计划任务项往往过一会进程就会重新起来。这种情况往往是存在预加载恶意动态链接库的后门,其实网上有很多详细的文章去讲解这个技术,这里笔者也是为了插个眼。动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式,在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术。
Linux 命令劫持了,怎么处理
热门推荐
02-26 2万+
在一些应急场景中,我们经常会遇到有些木马会替换常用的系统命令进行伪装,即使我们清理了木马,执行ps、netstat等系统命令时又启动了木马进程。 这种手法相对比较隐蔽,排查起来也比较困难,本文分享两种比较简单的排查技巧。 1、AIDE 入侵检测 AIDE 是一款入侵检测工具,主要用途是检查文档的完整性。通过构建一个基准的数据库,保存文档的各种属性,一旦系统被入侵,可以通过对比基准数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值