附件：HUCkit.zip 



教程所需软件：HUCkit.zip（附件） 

http://www.cnhonker.com/HUCkit.zip 





一.后门的安放 





当我们通过某种手段控制一个主机时，为了使自己能再次光顾这台计算机，我们通常在这个机器上留下后门，以便我们再次访问．一个做得好的后门，即使在入侵被管理员发现后，仍然能让你再次访问到主机． 

本文的意旨是让你学会如何在完全控制系统后保留自己的根用户权限，下面介绍一下我常用的制作后门的手法，不会也不可能覆盖到所有可能的方法，请原谅． 





1.Rhosts + + 后门 



　　在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证方法. 用户可以轻易的改变设置而不需口令就能进入. 入侵者只要向可以访问的某用户的rhosts文件中输入"+ +", 就可以允许任何人从任何地方无须口令便能进入这个帐号. 特别当home目录通过NFS向外共享时, 入侵者更热中于此. 这些帐号也成了入侵者再次侵入的后门. 许多人更喜欢使用Rsh, 因为它通常缺少日志能力. 许多管理员经常检查 "+ +", 所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名,从而不易被发现. 

例如： 

# echo '+ + '  /usr/bin/.rhosts 

# cat /usr/bin/.rhosts 

+ + 

# rlogin -l bin localhost 

将不用输入密码直接用bin帐号rlogin登陆进你的机器． 





2.Login后门 



　　在Unix里,login程序通常用来对telnet来的用户进行口令验证. 入侵者获取login.c的原代码并修改使它在比较输入口令与存储口令时先检查后门口令. 如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入. 这将允许入侵者进入任何帐号,甚至是root.由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的, 所以入侵者可以登录获取shell却不会暴露该帐号. 管理员注意到这种后门后, 便用"strings"命令搜索login程序以寻找文本信息. 许多情况下后门口令会原形毕露. 入侵者就开始加密或者更好的隐藏口令, 使strings命令失效. 所以更多的管理员是用MD5校验和检测这种后门的. 

一般的rootkit包里都有login后门程序． 





3.服务进程后门 



　　inetd 进程负责监听各个TCP和UDP端口的连接请求，并根据连接请求启动相应的服务器进程。该配置文件 /etc/inetd.conf 很简单，基本形式如下： 

(1) (2) (3) (4) (5) (6) (7) 

shell stream tcp nowait root /usr/sbin/in.rshd in.rshd 

login stream tcp nowait root /usr/sbin/in.rlogind in.rlogind 

exec stream tcp nowait root /usr/sbin/in.rexecd in.rexecd 

comsat dgram udp wait root /usr/sbin/in.comsat in.comsat 

talk dgram udp wait root /usr/sbin/in.talkd in.talkd 



1：第一栏是服务名称。服务名通过查询 /etc/services 文件（供 TCP 和 UDP 服务使用）或 portmap 守护进程（供 RPC 服务使用）映射成端口号。RPC（远程过程调用）服务由 name/num 的名字格式和第三栏中的 rpc 标志识别。 

2：第二栏决定服务使用的套接口类型：stream、dgram 或 raw。一般说来，stream 用于 TCP 服务，dgram 用于 UDP， raw 的使用很少见。 

3：第三栏标识服务使用的通信协议。允许的类型列在 protocols 文件中。协议几乎总是是 tcp 或 udp。RPC 服务在协议类型前冠以 rpc/。 

4：如果所说明的服务一次可处理多个请求（而不是处理一个请求后就退出），那么第四栏应置成 wait，这样可以阻止 inetd 持续地派生该守护进程的新拷贝。此选项用于处理大量的小请求的服务。如果 wait 不合适，那么在本栏中填 nowait。 

5：第五栏给出运行守护进程的用户名。 

6：第六栏给出守护进程的全限定路径名。 

7：守护进程的真实名字及其参数。 如果所要处理的工作微不足道（如不需要用户交互），inetd