Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   Гарантированный доступ к башу сервера при потере шелла(без руткитов). (https://forum.antichat.xyz/showthread.php?t=325097)

Га-Ноцри 23.03.2012 01:17
Доброй ночи. Собственно, назрел вопрос - как сохранить доступ к серверу(точнее к его командной оболочке), если вебшелл найдут и потрут при условии, что мы не используем руткиты?

Допустим, сценарий такой: удалось залить вебшелл, пробросить бекконнект, порутать сервер, создать бинарник вида

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]main[/COLOR][COLOR="#007700"]() {

[/COLOR][COLOR="#0000BB"]setuid[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]setgid[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]system[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"/bin/bash"[/COLOR][COLOR="#007700"]);

}[/COLOR][/COLOR
и запрятать его путем

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]mv имя_бинарника[/COLOR][COLOR="#007700"]/[/COLOR][COLOR="#0000BB"]bin[/COLOR][COLOR="#007700"]/[/COLOR][COLOR="#0000BB"]имя_бинарника[/COLOR][/COLOR
Но ведь основная проблема в том, если я правильно понимаю, что при потере вебшелла не удастся забиндиться/забекконектиться и, соответственно, мы потеряем доступ к этому бинарнику.

Что можно можно придумать (в *nix не силен, да, и очень плохо знаю его матчасть) за то время, пока есть полная власть над сервером? При условии что телнет закрыт, а сбрасывать ssh-пароль root'а не комильфо.

DeepBlue7 23.03.2012 01:22
Почему же не удастся забекконектится ? Просто попытки в цикл всунь... Ну и при загрузке системы чтобы запускался .

Га-Ноцри 23.03.2012 01:25
Цитата:
Сообщение от DeepBlue7
DeepBlue7 said:
Почему же не удастся забекконектится ? Просто попытки в цикл всунь... Ну и при загрузке системы чтобы запускался
.
А если сервер не выключался годами? И не планирует?

DeepBlue7 23.03.2012 01:46
Цитата:
Сообщение от Га-Ноцри
Га-Ноцри said:
А если сервер не выключался годами?
И не планирует?
Если линя, то почему бы в cron не засунуть ?

Га-Ноцри 23.03.2012 01:57
Цитата:
Сообщение от DeepBlue7
DeepBlue7 said:
В cron джобы засунуть ?
Как вариант(записал в блокнот).

А еще? Акцентирую внимание - что на данный момент есть полная безграничная власть над сервером. Но она может, cкорее всего, внезапно оборваться(вебшелл удалят). Что еще можно придумать под рутом, чтобы потом получить баш сервера удаленно?

HAXTA4OK 23.03.2012 01:59
почему бы не сделать бэкдор в одном из файлов? шелл пропадет, есть вероятность что бэк останется, а через бэк заново залиться

Га-Ноцри 23.03.2012 02:12
Цитата:
Сообщение от HAXTA4OK
HAXTA4OK said:
почему бы не сделать бэкдор в одном из файлов?
Спасибо за ответ. Но это скорее теоретическая задача, которая не дает покоя. Тут скорее вопрос рассуждений.

Да, мы можем сделать бэкдор, залиться через него по новой, потом опять компилить сплоит и так тысячу раз. Мы можем засунуть свой бинарник в крон - но это будет продолжатся до его удаления, не более.

Поставим вопрос по другому - у вас есть 30 минут под рутом на целевой системе. Что бы вы сделали, чтобы максимально на ней закрепиться без использования руткитов(IDS и админы не дремлют), чтобы потом, в кратчайшие сроки восстановиться в правах до рута.

Как-то так.

winstrool 23.03.2012 07:10
может имеет смысл протроянить какую нить часто используемую библиотеку которая будет открывать порт для конекта?!

Pirotexnik 23.03.2012 10:35
Установить что-то типо rAdmin или пропатчить ядро того же nc. Понапрятать уйму суидников. Почистить все логи. Надеятся, что ничего не удалят.

Ereee 23.03.2012 15:54
Посмотри видос:

http://forum.antichat.net/threadedpost3071617.html

Думаю админы нe спалят.


Время: 08:28