安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > 网络安全 > ssh无密后门-Linux的一个后门引发对PAM的探究

ssh无密后门-Linux的一个后门引发对PAM的探究

时间:2018-12-28来源:未知 作者:91ri点击:
今天在搜索关于Linux下的后门姿势时,发现一条命令如下: 软链接后门: Default 1 ln - sf / usr / sbin / sshd / tmp / su ; / tmp / su - oPort = 5555 ; 经典后门。直接对sshd建立软连接,之后用任意密码登录即可。 sshroot@x.x.x.x-p 5555 这个是大家也经
//内容来自安云网

今天在搜索关于Linux下的后门姿势时,发现一条命令如下:
软链接后门: //本文来自安云网

//内容来自AnYun.ORG

Default

1

ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=5555;

经典后门。直接对sshd建立软连接,之后用任意密码登录即可。
ssh root@x.x.x.x -p 5555这个是大家也经常会用到的命令,但是在好奇心的驱使下,为什么任意密码就可以了?
于是搜索了相关的资料,发现都是执行了这条命令就可以免密码登录了,但是为什么却没有一篇详细的解答。
1.2   调查

首先测试一下这个命令:

ssh无密后门-Linux的一个后门引发对PAM的探究

在A的机器上执行了如下命令:

Default

1

ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=5555;

在B机器SSH登录A机器,输入任意密码,成功登录。
先理解这条命令主要在做什么:
首先,做一个软链接,结果在/tmp/su  参数的意义: -o option  -p port
这样就开启了一个端口为5555的服务:
ssh无密后门-Linux的一个后门引发对PAM的探究
测试过程中发现,只允许命名为su,命名其他尝试登录都不成功(/tmp/xxx)。
ssh无密后门-Linux的一个后门引发对PAM的探究
于是看了一下sshd相关的log,发现如下:
ssh无密后门-Linux的一个后门引发对PAM的探究
发现是基于pam认证的,使用了pam中的su,为了区分是否和/bin/中的su是否相关,做了测试如下:

ssh无密后门-Linux的一个后门引发对PAM的探究
把/bin/su 重新命名为其他文件,发现依然能够任意密码登录,又做了测试如下:

Default

1

cp /etc/pam.d/su /etc/pam.d/xxx

ssh无密后门-Linux的一个后门引发对PAM的探究

在此执行:

Default

1

ln -sf /usr/sbin/sshd /tmp/xxx; /tmp/xxx -oPort=5555;

ssh无密后门-Linux的一个后门引发对PAM的探究

成功登录,根据日志和实践现在确认调用的是/etc/pam.d/su

1.3   疑问

现在确认了是pam中的su导致的,为什么就不需要密码就可以登录?
简单的diff了一下pam中的sshd和su的区别:
ssh无密后门-Linux的一个后门引发对PAM的探究
这里需要了解一下PAM中的控制标记:
ssh无密后门-Linux的一个后门引发对PAM的探究
sshd的pam认证使用了required和include,su使用了sufficient,在此就可以看出二者的区别了。
我们发现su的认证使用了pam_rootok.so,他是如何验证的,为什么导致我们输入任何密码就通过。
于是查了下pam_rootok.so的相关信息:
ssh无密后门-Linux的一个后门引发对PAM的探究

他的认证模块是认证你的UID是否为0,他会return pam的结果。
再去看一下pam_rootok.so的源码,发现:
ssh无密后门-Linux的一个后门引发对PAM的探究

他先会调用getuid(),如果get的uid为0,他会检查selinux的root是否为0或是否启用selinux下为0,返回认证成功,否则认证失败。
那么getuid()是从哪里来的,查一下官网:
ssh无密后门-Linux的一个后门引发对PAM的探究
是根据进程来取得的,根据pam_rootok的文档,我们也可以对su进行调试:
ssh无密后门-Linux的一个后门引发对PAM的探究
pam_rootok.so返回成功,依次向下执行so,都会成功,建立会话。
查看log:
ssh无密后门-Linux的一个后门引发对PAM的探究

第一条:

Default

1

pam_rootok(su:auth): authentication succeeded

1.4   真相

至此也终于清楚了为什么就可以输入任意密码进行登录。
我们重新捋一捋:
ssh无密后门-Linux的一个后门引发对PAM的探究

1.5   彩蛋

实际的真相就是在pam中的pam_rootok模块,pam_rootok通过了认证还会一次向下执行,但是下面的都会依赖于pam_rootok的认证,auth =>account =>session:
ssh无密后门-Linux的一个后门引发对PAM的探究

通过查找其实不单单是su存在pam_rootok,只要满足了上述的三个条件都可以进行”任意密码登录”。

1.6   参考资料

https://linux.die.net/man/8/pam_rootok
https://fossies.org/dox/Linux-PAM-1.3.0/pam__rootok_8c_source.html
https://fossies.org/dox/Linux-PAM-1.3.0/pam__succeed__if_8c.html
https://fossies.org/dox/Linux-PAM-1.3.0/pam__succeed__if_8c_source.html
http://man7.org/linux/man-pages/man2/getuid.2.html
http://www.tuxradar.com/content/how-pam-works
http://www.centoscn.com/CentOS/help/2014/0504/2899.html

FROM:http://www.91ri.org/16803.html

本文标题: ssh无密后门-Linux的一个后门引发对PAM的探究 91ri
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容