Как проверить пароль в Linux?

22

Я хочу проверить в командной строке linux, совпадает ли заданный пароль открытого текста с зашифрованным паролем в / etc / shadow

(Мне нужно это для аутентификации пользователей сети. Я использую встроенный Linux.)

У меня есть доступ к самому файлу / etc / shadow.

michelemarcon
источник
Войти как пользователь с паролем?
Кусалананда
Тест должен быть выполнен автоматически, я не могу вручную ввести пароль с веб-сервера
michelemarcon

Ответы:

17

Вы можете легко извлечь зашифрованный пароль с помощью awk. Затем вам нужно извлечь префикс $algorithm$salt$(при условии, что в этой системе не используется традиционный DES, что сильно не рекомендуется, потому что в наши дни его можно перебрать).

correct=$(</etc/shadow awk -v user=bob -F : 'user == $1 {print $2}')
prefix=${correct%"${correct#\$*\$*\$}"}

Для проверки пароля базовая функция C есть crypt, но нет стандартной команды оболочки для доступа к ней.

В командной строке вы можете использовать однострочник Perl для вызова cryptпароля.

supplied=$(echo "$password" |
           perl -e '$_ = <STDIN>; chomp; print crypt($_, $ARGV[0])' "$prefix")
if [ "$supplied" = "$correct" ]; then 

Так как это не может быть сделано в чисто инструментальных оболочках, если у вас есть доступный Perl, вы можете сделать все это в Perl. (Или Python, Ruby, ... все, что у вас есть, которое может вызвать cryptфункцию.) Предупреждение, непроверенный код.

#!/usr/bin/env perl
use warnings;
use strict;
my @pwent = getpwnam($ARGV[0]);
if (!@pwent) {die "Invalid username: $ARGV[0]\n";}
my $supplied = <STDIN>;
chomp($supplied);
if (crypt($supplied, $pwent[1]) eq $pwent[1]) {
    exit(0);
} else {
    print STDERR "Invalid password for $ARGV[0]\n";
    exit(1);
}

На встроенной системе без Perl я бы использовал небольшую специализированную C-программу. Предупреждение, набранное прямо в браузере, я даже не пытался скомпилировать. Это предназначено для иллюстрации необходимых шагов, а не как надежная реализация!

/* Usage: echo password | check_password username */
#include <stdio.h>
#include <stdlib.h>
#include <pwd.h>
#include <shadow.h>
#include <sys/types.h>
#include <unistd.h>
int main(int argc, char *argv[]) {
    char password[100];
    struct spwd shadow_entry;
    char *p, *correct, *supplied, *salt;
    if (argc < 2) return 2;
    /* Read the password from stdin */
    p = fgets(password, sizeof(password), stdin);
    if (p == NULL) return 2;
    *p = 0;
    /* Read the correct hash from the shadow entry */
    shadow_entry = getspnam(username);
    if (shadow_entry == NULL) return 1;
    correct = shadow_entry->sp_pwdp;
    /* Extract the salt. Remember to free the memory. */
    salt = strdup(correct);
    if (salt == NULL) return 2;
    p = strchr(salt + 1, '$');
    if (p == NULL) return 2;
    p = strchr(p + 1, '$');
    if (p == NULL) return 2;
    p[1] = 0;
    /*Encrypt the supplied password with the salt and compare the results*/
    supplied = crypt(password, salt);
    if (supplied == NULL) return 2;
    return !!strcmp(supplied, correct);
}

Другой подход заключается в использовании существующей программы, такой как suили login. На самом деле, если вы можете, было бы идеально устроить так, чтобы веб-приложение могло выполнять все, что ему нужно su -c somecommand username. Трудность здесь заключается в том, чтобы ввести пароль su; это требует терминала. Обычный инструмент для эмуляции терминала - ожидаемый , но это большая зависимость для встроенной системы. Кроме того, хотя он suнаходится в BusyBox, он часто опускается, поскольку для многих его применений требуется, чтобы двоичный файл BusyBox был установлен как root. Тем не менее, если вы можете сделать это, это самый надежный подход с точки зрения безопасности.

Жиль "ТАК - перестань быть злым"
источник
1
Мне нравится suподход.
Бенджон
6

Посмотрите на man 5 shadowи man 3 crypt. Из последнего вы можете узнать, что хеши паролей /etc/shadowимеют следующую форму:

 $id$salt$encrypted

где idопределяет тип шифрования и, читая далее, может быть одним из

          ID  | Method
          ---------------------------------------------------------
          1   | MD5
          2a  | Blowfish (not in mainline glibc; added in some
              | Linux distributions)
          5   | SHA-256 (since glibc 2.7)
          6   | SHA-512 (since glibc 2.7)

В зависимости от типа хэша вам нужно использовать соответствующую функцию / инструмент для генерации и проверки пароля «вручную». Если система содержит mkpasswdпрограмму, вы можете использовать ее, как предложено здесь . (Вы берете соль из файла теней, если это не было очевидно.) Например, с md5паролями:

 mkpasswd -5 <the_salt> <the_password>

сгенерирует строку, которая должна соответствовать /etc/shadowзаписи.

rozcietrzewiacz
источник
1
На моем Debian wheezy у меня был совершенно другой синтаксис команды mkpasswd, которую я должен был установить, используя apt-get install whois. Командная строка для теневой линии <user>:$6$<salt>$<pwd>:былаmkpasswd -msha-512 <password> <salt>
Даниэль Алдер
1

Был подобный вопрос, заданный на переполнении стека . cluelessCoder предоставил сценарий с использованием ожидаемого , который вы можете иметь или не иметь во встроенной системе.

#!/bin/bash
#
# login.sh $USERNAME $PASSWORD

#this script doesn't work if it is run as root, since then we don't have to specify a pw for 'su'
if [ $(id -u) -eq 0 ]; then
        echo "This script can't be run as root." 1>&2
        exit 1
fi

if [ ! $# -eq 2 ]; then
        echo "Wrong Number of Arguments (expected 2, got $#)" 1>&2
        exit 1
fi

USERNAME=$1
PASSWORD=$2

#since we use expect inside a bash-script, we have to escape tcl-$.
expect << EOF
spawn su $USERNAME -c "exit" 
expect "Password:"
send "$PASSWORD\r"
#expect eof

set wait_result  [wait]

# check if it is an OS error or a return code from our command
#   index 2 should be -1 for OS erro, 0 for command return code
if {[lindex \$wait_result 2] == 0} {
        exit [lindex \$wait_result 3]
} 
else {
        exit 1 
}
EOF
mr.Shu
источник
0

Имейте в виду, что, если система правильно настроена, программу нужно будет запускать с правами root.

Лучшее решение, чем непосредственное чтение файла с тенью и написание собственного кода на crypt, - просто использовать привязки pam.

В архиве squid использовался простой инструмент CLI для проверки имен пользователей / паролей с использованием stdio - настолько прост в адаптации к аргументам - хотя ранее взломанная версия вряд ли была плакатом для структурированного программирования. Быстрый гугл, и похоже, что более свежие версии были значительно очищены, но все еще есть кое-что.

symcbean
источник
0
#! /bin/bash
#  (GPL3+) Alberto Salvia Novella (es20490446e)


passwordHash () {
    password=${1}
    salt=${2}
    encryption=${3}

    hashes=$(echo ${password} | openssl passwd -${encryption} -salt ${salt} -stdin)
    echo $(substring ${hashes} "$" "3")
}


passwordIsValid () {
    user=${1}
    password=${2}

    encryption=$(secret "encryption" ${user})
    salt=$(secret "salt" ${user})
    salted=$(secret "salted" ${user})
    hash=$(passwordHash ${password} ${salt} ${encryption})

    [ ${salted} = ${hash} ] && echo "true" || echo "false"
}


secret () {
    secret=${1}
    user=${2}
    shadow=$(shadow ${user})

    if [ ${secret} = "encryption" ]; then
        position=1
    elif [ ${secret} = "salt" ]; then
        position=2
    elif [ ${secret} = "salted" ]; then
        position=3
    fi

    echo $(substring ${shadow} "$" ${position})
}


shadow () {
    user=${1}
    shadow=$(cat /etc/shadow | grep ${user})
    shadow=$(substring ${shadow} ":" "1")
    echo ${shadow}
}


substring () {
    string=${1}
    separator=${2}
    position=${3}

    substring=${string//"${separator}"/$'\2'}
    IFS=$'\2' read -a substring <<< "${substring}"
    echo ${substring[${position}]}
}


passwordIsValid ${@}
Альберто Сальвия Новелла
источник
Извергает ошибкиline 61: :: syntax error: operand expected (error token is ":")
Хефлинг
Эмулятор терминала должен быть Bash 5, и вы должны указать и имя пользователя, и пароль в качестве аргументов. Я проверил это работает.
Альберто Сальвия Новелла