#رمضانيات_DFIR
14 رمضان - authrozed_keys 🔐
ال authorized_keys هو artifact خاص بال SSH ويستخدم بشكل أساسي من قبل مديري الخوادم لأدارة الأجهزة بأنظمة ال *nix.
#DFIR #BlueTeam
14 رمضان - authrozed_keys 🔐
ال authorized_keys هو artifact خاص بال SSH ويستخدم بشكل أساسي من قبل مديري الخوادم لأدارة الأجهزة بأنظمة ال *nix.
#DFIR #BlueTeam
في ال SSH فيه أكثر من طريقة لل authentication. أكثر طريقتين معروفه هي ال password authentication و ال keypair authentication. ال password authentication هو أسهل طريقة, وهي بستخدام أسم المستخدم و الرقم السري الخاص للمستخدم لتسجيل الدخول
ال keypair authentication او بعض الأحيان تلقى أسمه publickey authentication. في هذي الطريقة يقوم المستخدم بعمل مفاتيح التشفير بعدين ينسخ ال public key للملف authorized_keys و يحتفظ بال private key لأستخدامه في عملية تسجيل الدخول
ملف ال authorized_keys موجود في المجلد الشخصي للمستخدم داخل مجلد أسمه ssh.
خلينا ناخذ مثال, عندي جهاز ال IP الخاص فيه هو 10.10.10.137 و ابغى أسجل دخول على هذا الجهاز بأسم المستخدم u0041
خلينا ناخذ مثال, عندي جهاز ال IP الخاص فيه هو 10.10.10.137 و ابغى أسجل دخول على هذا الجهاز بأسم المستخدم u0041
اول شي خلينا نسجل دخول بشكل طبيعي, بنشوف أنه بيطلب منا الرقم السري الخاص بالمستخدم u0041
طيب كيف ممكن نستخدم ال publickey authentication؟
1️⃣
أول شي نحتاج نفعل خاصية ال publickey authentication من الأعدادات الخاصة بخدمة ال SSH, زي مو موضح في الصورة. هذا الخيار مفعل بشكل أفتراضي في أغلب الأنظمة
1️⃣
أول شي نحتاج نفعل خاصية ال publickey authentication من الأعدادات الخاصة بخدمة ال SSH, زي مو موضح في الصورة. هذا الخيار مفعل بشكل أفتراضي في أغلب الأنظمة
2️⃣
الخطوة الثانية أن أحنا نسوي مفاتيح التشفير, و ننسخ ال public key الى ال authorized_keys زي مو موضح في الصور الي تحت
الخطوة الثانية أن أحنا نسوي مفاتيح التشفير, و ننسخ ال public key الى ال authorized_keys زي مو موضح في الصور الي تحت
3️⃣
اخر شي ننسخ ال private key لل client و نحاول نسجل دخول بستخدام ال publickey authentication
اخر شي ننسخ ال private key لل client و نحاول نسجل دخول بستخدام ال publickey authentication
ال adverseries يستخدمون هذي الطريقة عشان يعطيه persistence على الجهاز. فحتى لو تغير الرقم السري للمستخدم ال publickey authentication بتبقى شغالة, تحتاج تشيل ال public key من ال authorized_keys عشان تعطل تسجيل الدخول على المخترق
طيب وش الشي الي أدور عليه في هذا ال artifact؟
- تاريخ التعديل على ملف authorized_keys
- تأكد من تسجيل الدخول بأستخدام ال public key في ال auth.log/secure.log (قد كتبت عنه ثريد)
- ال comment في هذا الملف يعطيك معلومات وين صار generate لمفاتيح التشفير, زي مو موجود في الصورة
- تاريخ التعديل على ملف authorized_keys
- تأكد من تسجيل الدخول بأستخدام ال public key في ال auth.log/secure.log (قد كتبت عنه ثريد)
- ال comment في هذا الملف يعطيك معلومات وين صار generate لمفاتيح التشفير, زي مو موجود في الصورة
جاري تحميل الاقتراحات...