Die einfachsten und dümmsten Schwachstellen werden bei Sicherheitsüberprüfungen auf Linux-Betriebssystemen übersehen. Wenn wir häufig Argumente entdecken, die an Prozesse übergeben werden, können wir Hinweise darauf erhalten, wie ein System gefährdet werden kann. Um uns bei dieser Aufgabe zu helfen, haben wir das pspy-Tool gefunden, mit dem Prozessinformationen abgerufen werden können , ohne über Root-Berechtigungen für Linux-Betriebssysteme zu verfügen.
Mit pspy können wir Befehle von anderen Benutzern ausführen lassen, Cronjobs erstellen, Argumente an die Befehle übergeben usw. Die erhaltenen Informationen werden auf dem Bildschirm in verschiedenen Farben angezeigt und enthalten Details wie Uhrzeit, Datum, UID, PID usw. Es gibt andere Tools, um Prozesse wie Htop aufzulisten, oder wir können sogar lsof um die von einem Prozess geöffneten Dateien lsof , aber sie erfordern exklusive Berechtigungen, um vertrauliche Informationen abzurufen. Mit pspy wird alles vereinfacht, die erforderlichen Berechtigungen werden minimiert und vertrauliche Informationen können ohne Einschränkungen überprüft werden.
So installieren Sie pspy, um Prozessinformationen ohne Root-Berechtigungen abzurufen.
Die Installation von pspy ist sehr einfach , da der Entwickler selbst kompilierte und einsatzbereite Binärdateien anbietet. Trotzdem können wir sie für uns selbst kompilieren, da das Projekt Open Source ist und wir es im Internet unter https://github.com/DominicBreuker/pspy untersuchen können .
Wir haben verschiedene vorkompilierte Binärdateien, einerseits statische Binärdateien für 32-Bit-Systeme und 64-Bit-Systeme . Wenn die Größe von statischen Binärdateien (größer als 4 MB) ein Problem darstellt, können wir von libc abhängige Binärdateien verwenden, die eine kleinere Größe haben (ca. 1 MB) und auch mit UPX komprimiert werden. Der große Vorteil der Verwendung von statischen Binärdateien besteht darin, dass sie in jeder Linux-Distribution funktionieren sollten.
Wie funktioniert pspy und worauf basiert es, um die Prozessinformationen zu erhalten?
Durch das Scannen von procfs (Linux Process Files System) erhält Pspy die Informationen über die Prozesse. Hierfür wird die inotify-API verwendet , für die keine Root-Berechtigungen erforderlich sind , sodass wir sie ohne Einschränkungen verwenden können. Mit dieser API können wir Benachrichtigungen erhalten, wenn eine Datei erstellt, geändert oder gelöscht wird.
Pspy kombiniert die oben genannten Punkte und überwacht mit der inotify-API den Inhalt des System- /proc Ordners , um zu versuchen, die erstellten Prozesse zu erfassen. Es gibt Prozesse, die Millisekunden am Leben bleiben, daher garantiert Pspy nicht, dass wir die Gesamtheit der Systemprozesse erfassen (obwohl ich zugeben muss, dass ihre Wirksamkeit sehr hoch ist) .
Durch die Verwendung dieser API garantieren Sie auch, dass Sie die CPU nicht intensiv nutzen und das Programm diskreter arbeitet, ohne die Aufmerksamkeit auf sich zu ziehen.
Beispiele für die Verwendung von Pspy zum Erfassen von Prozessen unter Linux ohne Berechtigungen.
Sobald wir die entsprechende Binärdatei für unser System heruntergeladen haben, müssen wir sicherstellen, dass sie über Ausführungsberechtigungen verfügt. Dafür gibt es nichts Besseres, als den Befehl chmod +x pspy64 .
Der am häufigsten verwendete Befehl ist ./pspy64 -pf -i 1000 , mit dem wir Dateisystemereignisse überwachen und API-Ereignisse in einem Intervall von 1000 Millisekunden (1 Sekunde) ./pspy64 -pf -i 1000 .
Jetzt können wir den Befehl ./pspy64 --help ausführen, um die Hilfe auf dem Bildschirm anzuzeigen und den Befehl mit den Modifikatoren vorzubereiten, die unseren Anforderungen am besten entsprechen.
