T1003.008 - /etc/passwd и /etc/shadow

Примеры обнаружения с помощью продуктов "Кода Безопасности":
Secret Net Studio Континент 4

Техники:  T1003 , T1003.001 , T1003.002 , T1003.003 , T1003.004 , T1003.005 , T1003.006 , T1003.007 , T1003.008

Злоумышленники могут попытаться получить дамп содержимого /etc/passwd и /etc/shadow для автономного взлома паролей. Большинство современных операционных систем Linux используют комбинацию /etc/passwd и /etc/shadow для хранения информации об учетной записи пользователя, включая хэши паролей в /etc/shadow. По умолчанию /etc/shadow доступен для чтения только пользователю root.(Цитата: Linux Password and Shadow File Formats)

Утилита Linux, unshadow, может быть использована для объединения двух файлов в формат, подходящий для утилит взлома паролей, таких как John the Ripper: (Цитата: nixCraft - John the Ripper) # /usr/bin/unshadow /etc/passwd /etc/shadow > /tmp/crack.password.db

https://attack.mitre.org/techniques/T1003/008

← Назад

Визуализация смежных техник для T1003.008