正文

T1003.008 - 操作系统凭证转储:/etc/passwd、/etc/master.passwd和/etc/shadow

admin
admin V管理员 /0 评论 /35 阅读
0607
此篇文章发布距今已超过21天,您需要注意文章的内容或图片是否可用!
Atomic Red Team™是一个映射到MITRE ATT&CK®框架的测试库。安全团队可以使用Atomic Red Team快速、可移植和可重复地测试他们的环境。

本文章为Atomic Red Team系列文章,本篇文章内容为T1003-操作系统凭证转储最后一篇文章。本文的目的旨在帮助安全团队开展安全测试,发现安全问题,切勿将本文中提到的技术用作攻击行为,请切实遵守国家法律法规。

来自ATT&CK的描述

攻击者可能会尝试转储/etc/passwd/etc/shadow的内容,以便进行离线密码破解。大多数现代Linux操作系统会结合使用/etc/passwd/etc/shadow来存储用户账户信息,其中/etc/shadow用于存储密码哈希值。默认情况下,/etc/shadow仅允许root用户读取。(引用:Linux密码和影子文件格式)

Linux工具unshadow可用于将这两个文件合并为适合密码破解工具(如John the Ripper)使用的格式。(引用:nixCraft - John the Ripper)具体命令如下:

# /usr/bin/unshadow /etc/passwd /etc/shadow > /tmp/crack.password.db

原子测试

  • 原子测试#1 - 访问/etc/shadow(本地)
  • 原子测试#2 - 访问/etc/master.passwd(本地)
  • 原子测试#3 - 访问/etc/passwd(本地)
  • 原子测试#4 - 使用非cat的标准二进制文件访问/etc/{shadow,passwd,master.passwd}
  • 原子测试#5 - 使用Shell内置命令访问/etc/{shadow,passwd,master.passwd}

原子测试#1 - 访问/etc/shadow(本地)

在Linux环境中访问/etc/shadow文件。

  • 支持的平台:Linux
  • 自动生成的GUID:3723ab77 - c546 - 403c - 8fb4 - bb577033b235
  • 输入参数:
名称
描述
类型
默认值
output_file
捕获结果将放置的路径
路径
/tmp/T1003.008.txt
  • 攻击命令:使用bash运行!需要提升权限(例如root或管理员权限)
sudo cat /etc/shadow > #{output_file}cat #{output_file}
  • 清理命令:
rm -f #{output_file}

原子测试#2 - 访问/etc/master.passwd(本地)

在FreeBSD环境中访问/etc/master.passwd文件。

  • 支持的平台:Linux
  • 自动生成的GUID:5076874f - a8e6 - 4077 - 8ace - 9e5ab54114a5
  • 输入参数:
名称
描述
类型
默认值
output_file
捕获结果将放置的路径
路径
/tmp/T1003.008.txt
  • 攻击命令:使用sh运行!需要提升权限(例如root或管理员权限)
sudo cat /etc/master.passwd > #{output_file}cat #{output_file}
  • 清理命令:
rm -f #{output_file}

原子测试#3 - 访问/etc/passwd(本地)

在FreeBSD和Linux环境中访问/etc/passwd文件。

  • 支持的平台:Linux
  • 自动生成的GUID:60e860b6 - 8ae6 - 49db - ad07 - 5e73edd88f5d
  • 输入参数:
名称
描述
类型
默认值
output_file
捕获结果将放置的路径
路径
/tmp/T1003.008.txt
  • 攻击命令:使用sh运行!
cat /etc/passwd > #{output_file}cat #{output_file}
  • 清理命令:
rm -f #{output_file}

原子测试#4 - 使用非cat的标准二进制文件访问/etc/{shadow,passwd,master.passwd}

使用ed工具转储/etc/passwd/etc/master.passwd/etc/shadow文件内容。

  • 支持的平台:Linux
  • 自动生成的GUID:df1a55ae - 019d - 4120 - bc35 - 94f4bc5c4b0a
  • 输入参数:
名称
描述
类型
默认值
output_file
捕获结果将放置的路径
路径
/tmp/T1003.008.txt
  • 攻击命令:使用sh运行!需要提升权限(例如root或管理员权限)
unamestr=$(uname)if [ "$unamestr" = 'Linux' ]; then echo -"e /etc/passwdn,pne /etc/shadown,pn" | ed > #{output_file}; elif [ "$unamestr" = 'FreeBSD' ]; then echo -"e /etc/passwdn,pne /etc/master.passwdn,pne /etc/shadown,pn" | ed > #{output_file}; fi
  • 清理命令:
rm -f #{output_file}

原子测试#5 - 使用Shell内置命令访问/etc/{shadow,passwd,master.passwd}

使用Shell内置命令转储/etc/passwd/etc/master.passwd/etc/shadow文件内容。

  • 支持的平台:Linux
  • 自动生成的GUID:f5aa6543 - 6cb2 - 4fae - b9c2 - b96e14721713
  • 输入参数:
名称
描述
类型
默认值
output_file
捕获结果将放置的路径
路径
/tmp/T1003.008.txt
  • 攻击命令:使用sh运行!需要提升权限(例如root或管理员权限)
testcat(){ (while read line; do echo $line >> #{output_file}; done < $1) }"$(uname)" = 'FreeBSD' ] && testcat /etc/master.passwdtestcat /etc/passwdtestcat /etc/shadow
  • 清理命令:
rm -f #{output_file}


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com