基于 inetd 后门的简要分析及利用

0x01 理解inetd是干什么的

通俗来讲就是一个监听外部网络请求 [就是一个socket] 的系统守护进程,其实有很多比较古老的服务都是基于此守护进程的

具体怎么工作的呢,其实非常简单,当inetd接收到一个外部请求后,它会根据这个请求到自己的配置文件中去找到实际处理它的程序

然后再把接收到的这个socket交给那个程序去处理,问题恰巧也就出在这里

如果来自外部的某个socket是要执行一个可交互的shell [比如,我们已经在目标系统的inetd配置文件中事先定义好],这岂不是就相当于一个简易的bind型后门

另外,关于使用inet的好处就是,不用每个服务都再单独起个进程,这样可以有效降低系统资源消耗,你甚至也可以一定程度上把它理解成linux中的'svchost.exe'进程

0x02 关于inetd.conf配置的具体使用说明

[service_name] [sock_type] [proto] [flags] [user] [server_path] [args]
[服务名称] [协议(tcp或udp)] [标志(wait或 nowait)] [属主] [真实服务程序全路径] [真实服务程序名称及参数]

我们不妨先来仔细理解下下面语句的意思

ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd

ftp stream: 

inetd 开始监听ftp服务[默认端口是21]

这里的协议名称及默认端口号其实都已在/etc/protocol和/etc/services文件中事先定义好

stream : 并为此服务创建流类型的socket

tcp: 使用tcp协议

root /usr/sbin/in.ftpd in.ftpd:

当inetd监听到ftp客户端请求,且端口成功连接后,inetd就会fork一个子进程,该子进程属主为root

同时它也继承了该子进程的父进程与客户端连接成功后所产生的子socket
然后该子进程将该子socket为0,1,2[标准输入,输出及错误输出]发给execl去执行/usr/sbin/in.ftpd in.ftpd程序

另外,这里还需要稍微注意下,定义要执行的程序必须给绝对路径

nowait: 父进程不会等待子进程的退出状态

0x03 开始插入inetd后门,此处暂以ubuntu 16.04LTS为例进行演示

因为默认没装,我们需要先装下inetd

# apt-get install openbsd-inetd

为了更好的隐藏我们的shell,可以直接用service中定义好的服务,只需要把实际的处理程序替换下即可

# vi /etc/services
fido   60179/tcp    # fidonet EMSI over TCP

# inetd
# ps -le | grep inetd

0x04 实际的连接效果如下

# nc -vv 192.168.3.28 60179

小结:

也并不是什么特别新鲜的东西,年代跟差不多跟suid后门一样久远,使用也非常简单,不过背后所涉及到的知识还需要大家多花点儿时间去透彻理解下,相信这样你会收获的更多,作为个小tip,在实际渗透内网时,可能会用的上,还是那句话,像这类的bind上去的后门有个通病,只要目标系统防火墙一开基本就全废了

文章出处：klion's blog
原文链接：
https://klionsec.github.io/2017/10/23/inetd-backdoor/