Métodos para copiar archivos de un sistema Linux remoto por orden de detección (asumiendo que el shell remoto tiene privilegios de root)

1

Estoy conectado a una máquina virtual remota para realizar una práctica de prueba. Tengo un shell sh con privilegios de root en ese sistema y quiero saber cómo puedo obtener una copia de los contenidos de / etc / shadow en mi máquina local para verlos más adelante.

Suponiendo que no se haya detectado hasta ese momento, ¿cuáles son los métodos / programas estándar de Linux para obtener el contenido de / etc / shadow, o algún otro archivo, por orden de detección para el administrador del sistema remoto?

Se han sugerido algunos métodos, como cat + copy + paste, netcat y scp. El gato seguido de una copia y pegado parece primitivo, desordenado y propenso a errores. Netcat y scp parecen menos propensos a errores, pero no me atrevo a usarlos porque parecen más ruidosos y más rastreables, ya que tengo que ingresar mi otra información de identificación IP en la sesión de shell remota.

    
pregunta Info5ek 17.09.2016 - 03:01
fuente

5 respuestas

2

¿Por qué no estás registrando (localmente) todo lo que ves y haces?

$ script hax0r
Script started, file is hax0r
$ ssh vuln@target
<vuln> elevate_privileges
# vi harmless_file
:e /etc/shadow
(browse through the file if it doesn't fit on one screen)
:q
# exit
<vuln> exit
$ exit
Script done, file is hax0r

El contenido de la sombra ahora está en su archivo local, hax0r . Puede omitir algunos de los pasos (como intentar ocultar el acceso al archivo del historial del shell remoto) si lo desea. O use algún otro programa (¿quizás el registro integrado de su terminal?) Para capturar el historial de su shell local.

Por supuesto que siempre podrías:

$ ssh root@target cat /etc/shadow > remote_shadow

O simplemente:

$ scp root@target:/etc/shadow local_shadow
    
respondido por el drewbenn 17.09.2016 - 07:18
fuente
1

Puede intentar enviarlo por correo electrónico a una cuenta anónima, dependiendo de qué utilidades de correo están instaladas en la máquina víctima.

    
respondido por el Brian 17.09.2016 - 04:43
fuente
1

con gpg y cURL, puede colocar archivos encriptados en transfer.sh - usa SSL. %código%. Puedes subir con un oneliner también. Consulte enlace . Debes usar un binario estático compilado en casa en cualquier caso, o algo equivalente.

    
respondido por el user400344 18.09.2016 - 12:13
fuente
1

Si nadie ha detectado su shell inverso de raíz, el método que se cubre por completo es cat / etc / shadow en su sesión de shell y copiar el resultado en su ventana de terminal y pegarlo en su sesión de máquina de ataque.

    
respondido por el kaidentity 20.09.2016 - 20:14
fuente
0

Podría intentar filtrar los datos a través de un protocolo que no siempre está bien monitoreado. Los túneles NTP y DNS vienen a la mente, pero también existen túneles para otros protocolos.

Supongo que la detectabilidad depende de qué tan cerca esté mirando alguien y qué herramientas / sistemas están usando para detectar la exfiltración de datos. Cubrir tus pistas no debería ser un problema ya que tienes root.

Esto podría ser de interés: enlace

    
respondido por el stuffy 20.09.2016 - 22:13
fuente

Lea otras preguntas en las etiquetas