1. strace简介
1.1. 安装strace
1.2. strace使用条件
1.3. strace语法
2. 收集任意已有进程登录凭证
2.1. 获取sshd进程明文密码
2.2. 获取sshd进程私钥
3. 收集任意指定程序登录凭证
3.1. 收集ssh登录凭证
3.2. 收集su、sudo等需要提升权限运行的程序的登录凭证
4. 总结
5. 参考链接
当渗透测试人员拿到shell后,如果要进一步渗透,信息收集是重中之重,内网渗透的深入程度取决于信息收集的深度,内网渗透的本质就是信息收集,而登录凭证的收集是信息收集的重点方向。关于linux系统下登录凭证收集的文章多为翻查文件。本文将研究linux系统下的通过调试程序的方法,跟踪进程数据的方式收集登录凭证。
strace是linux中的调试工具,可通过附加到进程来调试正在运行的进程,strace记录一个正在运行的程序正在执行的系统调用以及参数。我们可以通过这种方式来跟踪任何进程数据,比如sshd ssh su sudo
等进程数据来获取登录凭证。
例如,如果一个应用程序(例如Pidgin)遭到入侵,攻击者就有可能附加到其他正在运行的进程(例如Firefox,SSH会话,GPG代理等)以提取其他凭证并继续扩大范围,无需借助用户协助的网络钓鱼就可以进行攻击。
strace简介
安装strace
strace使用条件
Linux Kernel 3.4及更高版本支持完全限制或禁用ptrace的功能。这可以通过使用sysctl将kernel.yama.ptrace_scope设置为1、2或3来完成。默认情况下,大多数发行版都将其设置为1。根据Linux Kernel Yama Documentation,这些数字映射到以下权限:
这样可以通过运行sysctl kernel.yama.ptrace_scope=3
在系统上禁用ptrace。但是,这可能会破坏正在运行的其他程序。例如,Wine在禁用ptrace的情况下无法正常工作。我建议您测试非生产服务器,并验证其所有功能在未启用ptrace的情况下能否正常运行。禁用ptrace还可以阻止某些调试功能。
查看修改系统strace配置
strace语法
收集任意已有进程登录凭证
strace -p
参数指定进程,收集对应进程的系统调用数据
获取sshd进程明文密码
1.root权限执行
2.查找用户名和密码的正则表达式为read\(6, ".+\\0\\0\\0\\.+"
获取sshd进程私钥
1.root权限执行
2.查找私钥直接搜索字符串PRIVATE KEY
收集任意指定程序登录凭证
给指定程序设置命令别名,使运行指定程序时自动strace读写系统调用,收集登录凭证
收集ssh登录凭证
1.添加命令别名
2.记录的strace文件如下:
3.可以通过正则.+@.+\bpassword
定位密码位置
收集su、sudo
等需要提升权限运行的程序的登录凭证
1.给strace程序添加suid权限,即以root权限执行
2.添加命令别名
3.记录的strace文件如下:
4.根据程序运行输出的特征字符串定位密码位置
总结
当linux系统配置文件/proc/sys/kernel/yama/ptrace_scope
值不为3
时,可以通过strace
记录任何程序的系统调用(常用read、write调用)来获取登录凭证
参考链接
https://klionsec.github.io/2016/09/22/strace/
https://blog.netspi.com/using-strace-to-monitor-ssh-connections-on-linux/
https://www.kernel.org/doc/Documentation/security/Yama.txt
版权声明:
本文由last0monster@MS509团队成员原创,已于2020年5月发表于“先知社区”,转载请注明来源
MS509为“中国网安”开展互联网攻防技术研究的专业团队,当前主攻方向包括WEB安全、移动安全、二进制安全等。更多团队动态,尽在博客www.ms509.com;微博搜索 MS509。加入我们:https://www.ms509.com/contact/
文章来源: https://mp.weixin.qq.com/s?__biz=MzAwODgxNTA2NA==&mid=2650935401&idx=1&sn=1479fdbbe9e2779477b2fe764bffb2c2&chksm=809f98deb7e811c8a5a448b520c1b889f0ed2414d433565b495051dce624dfa94a94a7473ddc&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh