钓鱼 - deb 包篡改

背景

最近重新看到了 deb 安装包详解，发现好多东西都忘记了。温故而知新，在写今天的主题之前，也一起窥探一下 deb 文件的内部结构。

测试环境:

Debian Package System

很多的 Linux 发行版本都是基于 Debian，最有名的当属 Ubuntu 和 Kali。我们平时安装软件都用 apt 或者 apt-get，因为他们叫 Advanced Package Tool。相比起智弱一点的 dpkg，他们可以自动识别并安装依赖。功能虽有差异，但是这两个工具，他们安装的都是统一格式的文件，deb 文件。

sudo apt install net-tools
1

换 dpkg 试一下。我们下载一个 zsh 安装包。

wget http://archive.ubuntu.com/ubuntu/pool/main/z/zsh/zsh-dev_5.8.1-1_amd64.deb
1

使用 dpkg 安装。

dpkg -i 
1

DEB 文件

deb 文件里面到底包含了什么？有什么有意思的点我们可以利用吗？

deb 文件本质上是一个 ar 压缩包，可以使用 ar 命令解压查看内部的结构。

ar t zsh-dev_5.8.1-1_amd64.deb
1

它包含了：

• debian-binary: 该安装包的格式版本

ar p zsh-dev_5.8.1-1_amd64.deb debian-binary
1

• control.tar.zst: 安装包的控制文件，包含了该安装包的元信息，如版本，架构等；最重要的是，该文件包含了 preinst，postinst 等安装和移除过程的生命周期脚本

ar p zsh-dev_5.8.1-1_amd64.deb control.tar.zst | tar --use-compress-program=unzstd -tvf -
1

• data.tar.zst: 程序二进制，会被安装到机器上

ar p zsh-dev_5.8.1-1_amd64.deb data.tar.zst | tar --use-compress-program=unzstd -tvf -
1

我们现在要关注的，是这个 control.tar.zst 控制文件。因为这里面包含了安装文件生命周期之中需要执行的脚本。

这里面有我们可以利用的东西。

控制文件

关于控制文件的详细说明，大家可以到Debian 手册 上查看。

我们关注的是

• preinst
• postinst
• prerm
• postrm

这几个脚本。脚本在安装和卸载过程中的执行顺序，大家可以到这里，以及这里查看。

读到这里，大家应该知道我们要干什么了。我们将选择 postinst 脚本作为切入点。

写一个小剧本。

假设我们在对某公司做渗透测试，通过某种手段我们已经获得了某邮件服务器的进入权限。我们得知 IT 部门将对某应用（zsh）进行手动升级。

钓鱼的机会来了。

我们可以修改 postinst 脚本，重新打包。发送邮件给 IT 部门员工，让其下载我们修改过的安装包。

PoC

# 创建临时文件夹
mkdir zsh

# 解压安装包到该文件夹
dpkg-deb -R zsh-dev_5.8.1-1_amd64.deb zsh

# 进入 zsh 文件夹
cd zsh
1
2
3
4
5
6
7
8

查看一下目录结构，要修改的文件是 DEBIAN/postinst。

这是原有内容

我们将在 /root 目录下创建一个 pwn.txt，写入 You've been pwned...。

修改之后的脚本如下。

重新打包。

cd ../..
dpkg-deb -b zsh zsh-update_5.8.2_amd64.deb
1
2

执行

sudo dpkg -i zsh-update_5.8.2_amd64.deb
1

我们看一下 root 文件夹。

接下来，我们可以将公钥放入 authorized_keys，然后就可以 SSH 过去了。

总结

为了避免这样的事情发生，最重要的就是：

• 不要下载和使用不明渠道的 deb 包

看完这篇文章，我们会去打开 deb 看一下这些脚本，但是也不能保证二进制里面没有问题。

安全最薄弱的一环还是人。