Как проснифать пользователей SSH после повышения прав на целевом сервере?

RavenMaster · 22.03.2025

Вообщем представим ситуацию, что на сервере (веб сервере) удалось повысить привелегии до root.
Мы можем прочитать /etc/shadow но пароли зашифрованы и нет ни времени ни ресурсов чтобы брутить эти пароли.
Нужно получить в открытом виде пароль рута и желательно всех остальных юзеров.
На ум приходит как-то пробекдорить SSHD сервер, чтобы он записывал открытым текстом куда-нибудь пароли после успешной авторизации.
Так вот, есть ли у кого ссылки на мануалы, где описано как это реализовать, чтобы это могло применяться без особых танцев с бубном на популярных
серверных хостинговых ОС типа Centos,Ubuntu server и т.п. Возможно какие-то руткиты которые не сложны в установке и не крашнут сервер.
Вообщем предлагаю описать тут все эффективные методики, манулы, видео ссылки

xargs · 22.03.2025

тема очень интересная, вот есть такой ханипот:

GitHub - cowrie/cowrie: Cowrie SSH/Telnet Honeypot https://docs.cowrie.org/

Cowrie SSH/Telnet Honeypot https://docs.cowrie.org/ - cowrie/cowrie

github.com

самому интересно было бы патчи увидеть

blackhand · 22.03.2025

RavenMaster сказал(а):

Вообщем представим ситуацию, что на сервере (веб сервере) удалось повысить привелегии до root.
Мы можем прочитать /etc/shadow но пароли зашифрованы и нет ни времени ни ресурсов чтобы брутить эти пароли.
Нужно получить в открытом виде пароль рута и желательно всех остальных юзеров.
На ум приходит как-то пробекдорить SSHD сервер, чтобы он записывал открытым текстом куда-нибудь пароли после успешной авторизации.
Так вот, есть ли у кого ссылки на мануалы, где описано как это реализовать, чтобы это могло применяться без особых танцев с бубном на популярных
серверных хостинговых ОС типа Centos,Ubuntu server и т.п. Возможно какие-то руткиты которые не сложны в установке и не крашнут сервер.
Вообщем предлагаю описать тут все эффективные методики, манулы, видео ссылки

Pam модуль нужен. Наверняка на гитхабе есть что-то похожее.

Exited3n · 22.03.2025

Самый простой вариант используя strace - strace -f -p $(pgrep -o sshd) -o /tmp/sniff.txt -v -e trace=read,write -s 128 &

Exited3n · 23.03.2025

Добавлю oneliner - cat /tmp/sniff.txt | grep --line-buffered "read(5,"| grep --line-buffered '\\f\\0\\0\\0'| sed 's/\\f\\0\\0\\0//g'

У меня Ubuntu и read(5, иногда бывает read(6, тут смотреть на месте и тестить

xargs · 23.03.2025

Помоему вы что-то ошибаетесь, пароль передается при конекте зашифрованый ключами поэтому ни tcpdump ни темболее strace не может их перехватить. Даже модуль Pam под сомнением но это не точно.

Exited3n · 23.03.2025

xargs сказал(а):

Помоему вы что-то ошибаетесь, пароль передается при конекте зашифрованый ключами поэтому ни tcpdump ни темболее strace не может их перехватить. Даже модуль Pam под сомнением но это не точно.

Я скрин скинул конкретный, т.е. лично протестил

Exited3n · 23.03.2025

xargs сказал(а):

при конекте

Я понял в чем твоя не уверенность, а у нас уже не при коннекте, а при обработке бинарника в памяти после коннекта

RavenMaster · 23.03.2025

Мне нужно перехватить пароль именно при подключение админа по SSH к серверу. Тоесть заранее запустить патч и забыть. админ же может подключаться через день, или через месяц и т.д.

у меня на веб-шелле суидник рутовый. тоесть я изнутри работаю.

CheckerChin · 23.03.2025

RavenMaster сказал(а):

На ум приходит как-то пробекдорить SSHD сервер, чтобы он записывал открытым текстом куда-нибудь пароли после успешной авторизации.

Если на машине включен ptrace (а он по умолчанию вроде включен), то ты можешь пропатчить sshd примерно так: https://blog.xpnsec.com/linux-process-injection-aka-injecting-into-sshd-for-fun/
Само собой это допилить надо.

Exited3n · 23.03.2025

RavenMaster сказал(а):

Мне нужно перехватить пароль именно при подключение админа по SSH к серверу. Тоесть заранее запустить патч и забыть. админ же может подключаться через день, или через месяц и т.д.

у меня на веб-шелле суидник рутовый. тоесть я изнутри работаю.

Я же специально в конце амперсанд & поставил, включил и забыл, пишет он в /tmp/sniff.txt Зашел через время и прочитал, разобраться то как оно работает не пробовал ?

Kushanashvili · 23.03.2025

RavenMaster сказал(а):

админ же может подключаться через день, или через месяц и т.д.

это что за важный ресурс такой где админ годами не заходит... (вопрос риторический).

RavenMaster · 23.03.2025

Kushanashvili сказал(а):

это что за важный ресурс такой где админ годами не заходит... (вопрос риторический).

Да не суть, я лишь хотел такой способ, чтобы не зависеть от момента конкретного захода админа

Exited3n сказал(а):

Я же специально в конце амперсанд & поставил, включил и забыл, пишет он в /tmp/sniff.txt Зашел через время и прочитал, разобраться то как оно работает не пробовал ?

Да, спасибо, понял. Я просто дополнительно пояснил, чтобы другие формучане лучше понял смысл моей задачи.

furi · 25.03.2025

через ld_preload перехватите эти функции, через них идет текстом пароль и ключ

user_key_allowed2;
sshpam_auth_passwd;
auth_shadow_pwexpired;
getpwnamallow;
login_write
read_passphrase;
ssh_userauth2;
key_perm_ok;
load_identity_file;
key_load_private_type

br0 · 25.03.2025

https://blog.xpnsec.com/linux-process-injection-aka-injecting-into-sshd-for-fun/

bademov · 02.04.2025

Exited3n сказал(а):

Самый простой вариант используя strace - strace -f -p $(pgrep -o sshd) -o /tmp/sniff.txt -v -e trace=read,write -s 128 &

Посмотреть вложение 105216

Посмотреть вложение 105215

подскажи пожалуйста, вот в xshell созранена сессия, я могу залогинится кинуть эту команду и у меня будет пользовательский пароль?

Exited3n · 02.04.2025

bademov сказал(а):

подскажи пожалуйста, вот в xshell созранена сессия, я могу залогинится кинуть эту команду и у меня будет пользовательский пароль?

Нет, это для realtime сбора, т.е. пароль получишь когда кто-то из пользователей залогиниться по ssh
Проверить это занимает 1 минуту, на своем сервере или виртуалке внутри сети

ckat_soft · 02.04.2025

RavenMaster сказал(а):

Вообщем представим ситуацию, что на сервере (веб сервере) удалось повысить привелегии до root.
Мы можем прочитать /etc/shadow но пароли зашифрованы и нет ни времени ни ресурсов чтобы брутить эти пароли.
Нужно получить в открытом виде пароль рута и желательно всех остальных юзеров.
На ум приходит как-то пробекдорить SSHD сервер, чтобы он записывал открытым текстом куда-нибудь пароли после успешной авторизации.
Так вот, есть ли у кого ссылки на мануалы, где описано как это реализовать, чтобы это могло применяться без особых танцев с бубном на популярных
серверных хостинговых ОС типа Centos,Ubuntu server и т.п. Возможно какие-то руткиты которые не сложны в установке и не крашнут сервер.
Вообщем предлагаю описать тут все эффективные методики, манулы, видео ссылки

Если еще актуально, с ваших слов root уже получен, подмените судо на заглушку свою и получите пароль, не забудьте запрашиваемую программу от рута стартануть чтоб не вызвать подозрение

Как проснифать пользователей SSH после повышения прав на целевом сервере?

RavenMaster

HDD-drive

xargs

Quad Robber

GitHub - cowrie/cowrie: Cowrie SSH/Telnet Honeypot https://docs.cowrie.org/

blackhand

RAID-массив

Exited3n

RAID-массив

Exited3n

RAID-массив

xargs

Quad Robber

Exited3n

RAID-массив

Exited3n

RAID-массив

RavenMaster

HDD-drive

CheckerChin

(L2) cache

Exited3n

RAID-массив

Kushanashvili

RAM

RavenMaster

HDD-drive

furi

HDD-drive

br0

старый школьник

bademov

CD-диск

Exited3n

RAID-массив

ckat_soft

(L3) cache