Linux黑操作——隐藏技术(权限维持)

最新推荐文章于 2024-09-25 21:30:12 发布
原创 最新推荐文章于 2024-09-25 21:30:12 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #shell #网络安全

本文介绍了Linux系统中攻击者可能使用的隐藏技术,包括创建隐藏文件、设置隐藏权限、控制历史记录以及隐藏进程的方法。同时,也提到了如何利用unhide工具来检测和发现这些隐藏的进程。了解这些技巧有助于提升系统的安全性。

Linux的隐藏技术

在这里插入图片描述

前言

假如在linux系统,攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件,介不就是非常可怕了嘛!!!

隐藏文件

Linux 下创建一个隐藏文件:

touch .test.txt

touch 命令可以创建一个文件,文件名前面加一个 点 就代表是隐藏文件 而且使用命令ls
-l是查看不出来的,只能查看到文件及文件夹,查看Linux下的隐藏文件需要用到命令:ls -al

隐藏权限

在Linux中,使用chattr命令来防止root和其他管理用户误删除和修改重要文件及目录,此权限用ls -l是查看不出来的,从而达到隐藏权限的目的。

这个技巧常被用在后门,变成了一些难以清除的后门文件

# 锁定文件
chattr +i test.txt 
# 属性查看
lsattr  test.txt    
# 解除锁定
chattr -i test.txt  
#删除文件
rm -rf 1.test.txt

隐藏历史操作命令

在shell中执行的命令,不希望被记录在命令行历史中,那么在linux中可以开启无痕操作模式,所谓神不知鬼不觉

只针对你的工作关闭历史记录

空格 set +o history

由于空格的缘故,该命令本身也不会被记录。
上面的命令会临时禁用历史功能,这意味着在这命令之后你执行的所有操作都不会记录到历史中,然而这个命令之前的所有东西都会原样记录在历史列表中。

如要重新开启历史功能

空格 set -o history

从历史记录中删除指定的命令

假设历史记录中已经包含了一些你不希望记录的命令。这种情况下我们怎么办?很简单。通过下面的命令来删除:

history | grep "keyword"

输出历史记录中匹配的命令

history -d 命令所在的行数

批量删除:
只保留前100个

sed -i '100,$d' .bash_history

进程隐藏

管理员无法通过相关命令工具查找到你运行的进程,从而达到隐藏目的,实现进程隐藏。

libprocesshider

github项目地址:https://github.com/gianlucaborello/libprocesshider

感兴趣的可以去项目学习

如何在Linux中发现隐藏的进程?

unhide 是一个小巧的网络取证工具,能够发现那些借助rootkit,LKM及其它技术隐藏的进程和TCP / UDP端口。这个工具在Linux,UNIX类,MS-Windows等操作系统下都可以工作。

下载地址:http://www.unhide-forensics.info/

 安装
sudo yum install unhide
 使用
unhide [options] test_list

在这里插入图片描述

[权限维持] Windows 权限维持 —— 影子账户后门 - 基础隐藏
Blue17 の 小窝
02-28 842
如上,远程登录成功,由于我们上面创建影子账号的 Shell 是 Hack3rX 里的 Administrator,所以我们创建的 hacker用户很自然也归属于域中,反之,如果创建该用户的是本地用户,那么​ 也应该以。做权限维持的前提是你已经拿到了靶机的一个权限(一般还是高权限,不然部分后门你还没有权限写入),所以我们得先用攻击机生成一个木马文件,上传靶机后运行,先拿到靶机的一个权限。如上,可以看到,基础款的影子账户的隐蔽性还是不行,太容易被发现了,下一章笔者将介绍高级隐藏款,可以防止绝大多数的排查。
[权限维持] Windows 权限维持 —— 影子账户后门 - 克隆账户
Blue17 の 小窝
02-28 1182
问题描述  分别在Windows和Linux操作系统上安装Metasploit软件,并运行Metasploit完成针对Linux靶机usermap_script漏洞的渗透攻击,尝试使用植入VNC图形化远程控制工具的攻击载荷,成功获得Linux靶机上的远程控制桌面。做权限维持的前提是你已经拿到了靶机的一个权限(一般还是高权限,不然部分后门你还没有权限写入),所以我们得先用攻击机生成一个木马文件,上传靶机后运行,先拿到靶机的一个权限。这部分我们站在防守者视角,来排查下高级款的影子账户后门。
【转】Linux下进程隐藏的常见手法及侦测手段
tpriwwq的专栏
08-08 1万+
Linux系统中进程隐藏的常见手法及侦测方法
聊一聊Linux下进程隐藏的常见手法及侦测手段
热门推荐
大方子
10-01 1万+
0x00.前言 进程隐藏是恶意软件隐藏自身痕迹逃避系统管理人员发现的常用伎俩之一,当然,安全防护人员有时候也会使用到,比如隐藏蜜罐中的监控进程而不被入侵者觉察等。笔者也曾在多次安全应急响应经历中遇到过多各式各样的进程隐藏伎俩,了解进程隐藏的常见手法及发现手段是每一位安全运维工程师所应掌握的知识点。本文抛砖引玉,浅谈我所了解的Linux下进程隐藏手段及发现技巧,也希望读者能够积极分享自己相关经验与...
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 4212
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
Linux命令下隐写术,Linux奇技淫巧:如何在Linux中使用隐写术隐藏数据
weixin_39910481的博客
04-28 380
原标题:Linux奇技淫巧:如何在Linux中使用隐写术隐藏数据隐秘术是将一个文件隐藏到另一个文件中,以在不引起任何怀疑的情况下秘密地传递信息的艺术。在本文中,我们将学习如何在Linux上的媒体文件中隐藏数据。隐写术简介正如我们所说,隐写术可以帮助我们将数据隐藏在不同类型的媒体文件中。甚至可以使用密码对数据进行加密,以防止不必要地访问其中包含的敏感信息。为了演示,我们将在linuxmi.jpg的图...
Linux 中如何隐藏机密文档
~晨曦静竹~的博客
04-06 1200
  Linux 如何隐藏机密信息,在别人眼皮下私传(手动滑稽~)   Linux工具隐藏术,将一文本隐藏在另一文本中,可在不引起任何怀疑的情况下把密码传递到对方手中。
权限维持——Linux
weixin_58666006的博客
09-25 1401
拿到管理员权限后,为了方便回来,需要留后门进行权限维持;即便是防守方也是需要了解权限维持,因为知己知彼,百战不殆。
内网渗透——权限维持
cldimd的博客
03-23 1310
一、权限维持: 当攻击者获取服务器权限后,通常会采用一些后门技术维持自己当前得到的权限,服务器一旦被植入后门,那么攻击者下次进入就方便多了。 由于攻击可能被发现,会清除一些shell,导致目标丢失,所以需要留下后门来维持权限,达到持续控制的目的。 二、获取windows系统登陆账号: 系统登陆账号存储位置:C:\Windows\System32...
渗透测试笔记——暴力破解、ssh公钥权限维持、GPU Wakuang程序(靶机系统:ubuntu)
W小哥
02-17 2292
本次实验主要是为了应急响应打基础,从攻击者的角度出发,知己知彼,百战不殆
Unhide-开源
06-03
Unhide 是一种取证工具,用于查找被 rootkit/LKM 或其他隐藏技术隐藏的进程和 TCP/UDP 端口。 注 1:Unhide-linux repo 已迁移到 https://github.com/YJesus/Unhide 请在新的 repo 上报告错误或提出请求。 注 2:不再维护 unhide-windows。 使用 Gmer 等工具 http://www.gmer.net/
Linux中的骚操作之第一话
HYMajor的博客
07-27 804
文章目录前言一、什么是shell二、走进Linux一、Linux的分类二、LINUX操作命令格式三、Type命令四、echo指令五、 Hash哈希六、Help指令七、linux中你不知道的辅助骚操作八、Man指令九、pwd指令十、cd指令十一、ls指令十二、相对路径十三、 Alias指令十四、du指令三、总结 前言 国家与国家之间存在语言、文化等的差异,中国人若想与英国人交流,下意识想到的一定是借助“翻译器”,那么翻译器就承担着承上启下的关键作用。同样的,在计算机中,人类若想完全操作计算机,对它发号施令,这
权限维持Linux&Rootkit后门&Strace监控&Alias别名&Cron定时任务
今天是几号的博客
04-16 1908
alias命令的功能:为命令设置别名定义:alias ls = ‘ls -al’删除:unalias ls每次输入ls命令的时候都能实现ls -alalerts'这样目标执行ls命令后可以上线,不过ls命令会被阻塞在那里,很容易引起怀疑,当结束终端窗口时,反弹shell的会话也会随着被终结,而且更改后的alias命令只在当前窗口才有效(重启也会失效)2、升级:))";alerts’进行base64编码是因为python程序有空行和空格,将一段命令转换成单行命令。
linux下如何隐藏命令行参数
无心云
01-09 4261
有时候会遇到这样的需求,不希望命令行的某些参数被ps出来,比如命令行参数里可能存在一些用户名和密码之类的东西,在linux下如果你想隐藏这些东西的话,可以直接将argv中的这些参数变成其他东西,比如xxxxx,下面是一个hideArg函数示例 void hideArg(int argc, char** argv, const char* arg) { for (int i = 1; i <
隐藏linux参数,隐藏与篡改Linux命令行参数
weixin_36368413的博客
05-14 635
【优快云 编者按】有时候会遇到这样的需求,不希望命令行的某些参数被ps出来,比如命令行参数里可能存在一些用户名和密码之类的东西,在Linux下如果你想隐藏这些东西的话,你该如何操作?作者 | dog250 责编 | 欧阳姝黎如果一个程序的命令行是一个password之类的不便展示的字符串,如何不让ps打印出来呢?ps是从/proc/$pid/cmdline里拿的命令行,而/proc/$pid/c...
linux权限维持
whojoe的博客
10-08 595
修改属性 文件时间 touch -r index.php shell.php touch -t 202010101010 shell.php #touch --help 历史操作命令 histroy -r #删除当前会话历史记录 history -c #删除内存中的所有命令历史 rm .bash_history #删除历史文件中的内容 sed -i '150,$d' .bash_history#只保留前150行 set +o history#针对你的工作关闭历史记录 set -o history#恢复 e
linux分析权限设置原因,Linux系统文件权限隐藏的细节深入分析
weixin_28852151的博客
04-30 122
Linux系统文件权限隐藏的细节深入分析》由会员分享,可在线阅读,更多相关《Linux系统文件权限隐藏的细节深入分析(7页珍藏版)》请在人人文库网上搜索。1、Linux系统文件权限隐藏的细节深入分析Linux系统文件权限隐藏的细节深入分析 linux是一个安全的操作系统,她是以文件为基础而设计的,其文件权限是比较复杂的,可以用stat命令以及lsattr命令来显示某个文件的详细信息: 可以看到,...
linux使用 不可见符号 作为命令行参数
silent56_th的博客
01-29 1160
翻译自: https://unix.stackexchange.com/questions/371797/unprintable-characters-as-input-in-command-line https://unix.stackexchange.com/questions/35369/how-to-define-tab-delimiter-with-cut-in-bash 简单说,使...
玄机——第三章 权限维持-linux权限维持-隐藏 wp
焦虑的焦虑
07-03 4778
第三章 权限维持-linux权限维持-隐藏
应急响应靶机——linux2
最新发布
06-18
### Linux应急响应靶机设置和使用指南 Linux应急响应靶机是一种用于模拟真实攻击场景的系统,旨在帮助安全团队学习和实践如何应对各种攻击行为。以下是关于Linux应急响应靶机的相关信息和设置方法。 #### 1. 环境准备 在设置Linux应急响应靶机之前,需要确保具备以下条件: - 一台虚拟机或物理服务器(推荐使用虚拟机以便于快速恢复)。 - 操作系统:通常选择主流的Linux发行版,如Ubuntu、CentOS等[^2]。 - 网络配置:建议将靶机置于隔离网络中,以避免对生产环境造成影响。 #### 2. 靶机配置 以下是靶机的基本配置步骤: ##### 2.1 安装基础服务 安装常见的服务和工具,例如SSH、Apache、MySQL等,以便模拟真实环境中的攻击场景。 ```bash sudo apt update && sudo apt install openssh-server apache2 mysql-server -y ``` ##### 2.2 配置弱密码 为了模拟真实的攻击场景,可以为用户账户设置弱密码。例如: ```bash sudo useradd testuser echo "testuser:password" | sudo chpasswd ``` ##### 2.3 开启不必要的服务 故意开启一些不安全的服务或端口,以吸引攻击者。例如,启用未授权访问的Redis服务: ```bash sudo systemctl start redis sudo systemctl enable redis ``` ##### 2.4 配置日志记录 确保系统日志和应用程序日志被正确记录,以便后续分析攻击行为。 ```bash sudo sed -i 's/^\#LogFiles.*$/LogFiles \/var\/log\/auth.log/' /etc/rsyslog.conf sudo systemctl restart rsyslog ``` #### 3. 攻击场景模拟 在靶机上可以模拟多种攻击场景,包括但不限于以下几种: ##### 3.1 提权攻击 通过漏洞利用或配置错误,攻击者可能获得更高的权限。例如,利用Sudoers文件配置错误实现提权: ```bash echo "testuser ALL=(ALL) NOPASSWD:ALL" | sudo tee -a /etc/sudoers ``` ##### 3.2 权限维持 攻击者可能通过植入后门或修改系统配置来维持权限。例如,创建一个隐藏用户: ```bash sudo useradd -r backdoor sudo usermod -p $(openssl passwd -1 secret) backdoor ``` ##### 3.3 数据泄露 模拟攻击者窃取敏感数据的行为。例如,复制`/etc/passwd`文件到外部存储设备: ```bash cp /etc/passwd /tmp/passwd.copy ``` #### 4. 应急响应流程 当发现攻击行为时,应遵循以下应急响应流程: - **检测**:通过监控工具和日志分析,识别异常行为。 - **遏制**:立即隔离受影响的系统,防止进一步扩散。 - **清除**:移除恶意软件或后门,并修复系统漏洞。 - **恢复**:从备份中恢复数据,并验证系统的完整性。 - **报告**:记录攻击细节并提交给相关方进行分析。 #### 5. 工具推荐 以下是一些常用的Linux应急响应工具: - **Volatility**:用于内存分析。 - **ClamAV**:病毒扫描工具。 - **Lynis**:安全审计工具[^3]。 --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

征__程

多动手,避免老年痴呆,活跃身心

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值