这个APT源污染,需要同步下载大量的源服务器文件,我下完之后大约220多G。
系统:Ubuntu 16.04 LTS
硬盘:500G
软件:apt-mirror
路径:/service/ubuntu/mirror
木马:sudo apt-get install slurm
第一个阶段:
为了测试我们将原版的slurm修改为我们测试之后的版本,用自定义好的测试文件将原版的slurm进行替换;
按照如下命令进行操作,如图:
图一(解压缩slurm deb包)
提示:将生成好的测试文件替换后,执行md5sum slurm计算md5值,将原先的slurm值替换掉,然后再使用dpkg打包deb
图二(计算替换后的slurm MD5值)
图三(替换DEBIAN目录下md5sum文件中的slurm值)
图四(dpkg进行slurm重打包 )
图五(将生成好的slurm包进行本地安装测试)
第二个阶段:
这个也是一个非常漫长的过程,需要同步APT源到本地,大约200多G。
同步完成之后,使用Apache搭建网站,并开启列目录功能,按照如下内容进行配置:
图六(修改配置文件,设置网站目录,并开启列目录功能)
图七(开启之后的APT源列目录)
进行APT源测试,执行sudo apt-get update,同步本地APT源,看是否正常。
图八(同步本地APT源)
图九(同步本地APT源成功,无报错)
图十(测试通过本地APT源进行安装软件成功)
第三个阶段:
这个阶段将分析APT源软件的安装方式,研究一个完整的APT软件安装过程及过程中调用的文件,并试图将调用的文件内容进行特定修改,看APT是否能再次执行成功。
首先我们执行sudo apt-get install slurm进行原版软件安装,然后分析Apache访问日志,默认网站日志路劲:/etc/apache2/access.log
通过查看APT源网站访问,发现在初始APT源安装软件的时候,APT下载过InRelease、Packages.xz等文件;
图十一(APT访问InRelease签名文件)
图十二(APT访问Packages.xz文件)
InRelease文件是一个gpg明文签名文件,里面包含了Packages.xz等md5、sha1、sha256、文件大小等校验值。
图十三(InRealse文件)
Packages.xz等文件(包括其他Packages开头文件),里面包含了其对应pool目录下的deb文件md5、sha1、sha256、文件大小等校验值。
图十四(Packages.xz文件)
通过对gpg进行了解,发现gpg可以进行签名伪造,比如ubuntu官方的签名邮箱为mirror@ubuntu.com,那么我们也可以使用官方签名的邮箱重新进行申请,获得一个签名key。
图十五(gpg key)
由于默认官方对Release文件进行了签名,那么我们在修改Release文件后必须对他进行重新签名,生成我们自己的Release文件(不然会在APT更新时报错)。
这次实验会用到的gpg命令如下:
gpg命令解析
gpg --gen-key 创建一个key
gpg --list-keys 查看key列表
gpg --armor --output public-key.txt --export [用户ID] 导出公钥
gpg --armor --output private-key.txt --export-secret-keys 导出私钥
gpg --keyserver hkp://keys.gnupg.net --send-keys [用户ID] 上传公钥到服务器
gpg --fingerprint [用户ID] 验证公钥
gpg --clearsign test.txt 明文签名文件
我使用的是Git Windows客户端进行gpg key 生成,然后将生成的key导入ubuntu中
图十六(gpg密钥生成)
默认Windows gpg密钥生成路径为:C:\Users[用户名].gnupg
图十七(gpg密钥Windows目录)
将.gnupg文件夹导入ubuntu用户目录下,路仅为:/home/[用户名]
图十八(gpg密钥ubuntu目录)
第四个阶段:
将我们重打包的slurm deb文件,md5、sha1、sha256、大小等信息收集起来,这里我们需要改两个文件,一个是Packages.xz、一个是InRealse文件,步骤如下:
将slurm文件md5、sha1、sha256、大小写入Packages.xz解压后文件对应的字段中
图十九(修改slurm对应的值)
改完slurm文件后,对Packages进行xz压缩,重新计算Packages.xz的md5、sha1、sha256、文件大小值,将获得的值写入Release文件对应的字段中。
图二十(修改Release对应的md5值)
图二十一(修改Release对应的sha1值)
图二十二(修改Release对应的sha256值)
改完后我们使用刚注册好的gpg key对Release文件进行明文签名,生成Release.asc文件
图二十三(对Release文件进行签名)
图二十四(签名后的Release文件)
最后阶段:
修改完成后,将生成的Release.asc改名为InRelease,并覆盖原先的InRelease文件,执行sudo apt-get update,看是否更新正常,如果报错请导入证书文件,如果报hash不匹配,有可能是你的Release里面的值或文件大小填写错误,填写正确后重新对Release文件进行签名即可,并进行覆盖,重新执行sudo apt-get update,无误后进行本次的最后一步sudo apt-get install slurm。
导入证书:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys [证书公钥ID]
成功结果:
APT成功安装了我们自定义的APT源deb文件,这就意味着,此刻如果我安装的是一个被替换过之后的恶意文件,那么我的主机就被成功入侵了,由于有些用户喜欢使用root用户执行的apt命令,那么就导致恶意文件会以最高权限运行,导致服务器彻底沦陷。
图二十五(自定义slurm文件成功被安装)
实验目的:
1、APT源是可以篡改的。
2、警惕不明的第三方源;
3、官方源也未必完全可信;
实验说明:
此次实验不完全针对APT问题,也不排除YUM源等也存在此问题。