攻防演练作为蓝方,怎么知道服务器已经有隐藏用户了

最新推荐文章于 2025-03-04 22:11:57 发布
原创 最新推荐文章于 2025-03-04 22:11:57 发布 · 1.5k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维

本文介绍了在Linux系统中,特别是CentOS中,如何通过查看和解析/etc/passwd文件来查找用户信息,包括用户类型、shell、UID和GID,以及如何检查隐藏用户和确保系统安全的方法。

在 Linux 系统中,查找所有用户帐户通常意味着查看系统用来存储用户信息的文件。最主要的文件是 /etc/passwd,它包含了系统上所有用户的列表。下面是一些基本方法和命令,帮助你查找和分析 CentOS 系统上的所有账户信息,而不仅仅是隐藏或非活动的帐号。

1. 查看 /etc/passwd 文件

/etc/passwd 文件存储了系统上所有用户的信息,每一行代表一个用户。你可以使用 catless 命令查看这个文件:

cat /etc/passwd

或者:

less /etc/passwd

每行的格式通常是:

username:x:UID:GID:GECOS:home_directory:shell
  • username 是用户的登录名。
  • x 表示密码存放在 /etc/shadow 文件中。
  • UID 是用户标识号。
  • GID 是用户主组标识号。
  • GECOS 是用户的全名或描述信息。
  • home_directory 是用户的家目录。
  • shell 是用户的默认登录 shell。

2. 解析 /etc/passwd 文件

你可以使用 awk 命令来更方便地读取 /etc/passwd 的内容。例如,列出所有用户的用户名和他们的默认 shell:

awk -F: '{ print $1, $7 }' /etc/passwd

3. 检查用户的默认 Shell

如果你想检查哪些用户具有有效的登录 shell(通常是 /bin/bash),你可以执行:

awk -F: '$7=="/bin/bash" {print $1}' /etc/passwd

4. 查找特定 UID 的用户

通常 UID 从 1000 开始为普通用户,小于 1000 的通常是系统账户(除了 root 用户的 UID 为 0)。要查找所有非系统账户,可以使用:

awk -F: '$3>=1000 && $3!=65534 {print $1}' /etc/passwd

这里 65534 通常是 nobody 用户的 UID,这是一个没有文件系统权限的用户帐户。

5. 使用 getent 命令

getent 命令用于获取 entries,你可以使用它来获取用户信息,这对于包含 NIS 或 LDAP 等使用网络认证服务的系统尤其有用:

getent passwd

通过这些方法,你可以有效地查看和分析系统上的所有用户账户,了解它们是否有登录权限以及它们的基本配置。这对于管理用户账户、确保系统安全等方面非常重要。

根据您提供的 /etc/passwd 文件内容,这里列出了服务器上所有的用户账号。要分析这些用户,可以基于其UID、GID、登录shell、家目录等属性进行。

分析步骤

  1. 分辨系统与普通用户

    • 系统用户通常的UID小于1000(除了特殊的 nobody 用户,通常的UID是65534),并且它们的登录shell通常是 /sbin/nologin/bin/false,表示这些用户不能登录shell。
    • 普通用户的UID通常从1000开始,这些用户可以有登录权限,且登录shell通常是 /bin/bash 或其他有效shell。

  2. 特别关注具有有效shell的用户

    • 这些用户可能有直接登录系统的能力。在您的列表中,具有 /bin/bash 的用户包括 szhyreadonlykingbasejqsftpfmmwc。这些账户应该被视为具有潜在的交互操作能力的用户。

  3. 检查用户的家目录和描述

    • 验证这些用户的家目录是否合理,比如 szhy 用户的家目录是 /home/szhy,这是预期的正确设置。
    • 检查描述字段(通常是GECOS字段),如 mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/false,描述是“MySQL Server”,说明这是一个服务账户。

检查是否有隐藏用户

尽管 /etc/passwd 文件是公开的,但有些用户可能被配置以较隐蔽的方式存在。以下是几种检查是否有隐藏或未授权用户的方法:

  1. 对比 /etc/passwd/etc/shadow

    • 确保 /etc/passwd 中的每个用户都在 /etc/shadow 中有对应的条目。可以使用以下命令检查:
      getent shadow | cut -d: -f1 | sort > shadow_users
getent passwd | cut -d: -f1 | sort > passwd_users
diff passwd_users shadow_users
    • 该命令比较两个文件中列出的用户,如果存在不匹配,则需要进一步调查。

  2. 检查系统日志

    • 查看 /var/log/auth.log/var/log/secure(根据CentOS版本不同,日志文件位置可能有差异),检查未授权或异常登录尝试。
      cat /var/log/secure | grep 'authentication failure'

  3. 审核用户的.bash_history文件

    • 查看有shell访问权限的用户的历史命令,以寻找任何不寻常或潜在的恶意活动。
      cat /home/szhy/.bash_history

通过这些检查,您可以验证系统中是否存在未授权或隐藏的用户,并采取相应的安全措施。保持定期审计和监控系统用户是保障系统安全的重要步骤。

PHP内存马技术研究与查杀方法总结
不忘初心,护天下安全!
06-28 1252
内存马是无文件攻击的一种常用手段,随着攻防演练热度越来越高:攻防双方的博弈,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到,内存马使用越来越多。 由客户端发起的Web请求后,中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作,内存马就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件,插入恶意的shellcode,达到持久化控制服务器的目的传统的Webshell
网络安全攻防演练:企业蓝队建设指南
网络安全
02-29 1894
网络实战攻防演习是当前国家、重要机关、企业组织用来检验网络安全防御能力的重要手段之一,是对当下关键信息系统基础设施网络安全保护工作的重要组成部分。网络攻防实战演习通常是以实际运行的信息系统为攻击目标,通过在一定规则限定下的实战攻防对抗,最大限度地模拟真实的网络攻击,并以此来检验目标信息系统的实际安全防护能力和运维保障的有效性。
服务器添加隐藏账号和检查删除隐藏账号的方法
ylwqhr的专栏
09-28 7093
一.建立一个别人永远删不掉的管理员用户<br /><br />  操作步骤:<br /><br />  1、在自己电脑里面建立一个.txt文本文件.<br /><br />  2、在里面输入内容<br /><br />  @echo off<br /><br />  net user chenyu 123456 /add 注释:前面chenyu是用户名后面123456是密码;<br /><br />  net localgroup administrators chenyu /add<br /><br />
Linux系统后门技术(隐藏帐户篇)注:已发表在《黑客手册》第6期
热门推荐
yxyhack's blog
09-25 1万+
  Linux系统后门技术(隐藏帐户篇)        每当我们欢天喜地的得到一个linux系统的服务器肉鸡时,最大的愿望就是能把它永远留住。当然,永远留住是不可能的,但是我们要尽量的不让它飞走。这就要用到linux的后门技术了,这是项复杂的技术,本人水平有限不可能面面俱到,我只希望这一系列文章能为大家提供一点思路,在您hacking的道路上打开一扇方便之门!       言归
怎么查找Linux服务器是否有后门账户
网站安全专家
11-15 1634
依据我们SINE安全15年的安全从业经验来看,检查Linux服务器里是否被植入隐藏的系统账户后门,可以编辑一下/etc/passwd文件中的新增的潜藏用户,还可以利用awk命令,查询uid=0以及uid>=500的所有用户名,如下图的指令就可以查询是否有异常的后门账户,还可以查看Linux 账户的登录历史记录,以及登录的IP来看下,是否有异常的账号和IP登录过服务器。还可以将SINE账户写到Linux 里的/etc/passwd文件,VI编辑以后,通过passwd命令,设置SINE账户的密码。
linux如何查看有哪些用户
最新发布
鸭梨的博客
03-04 6339
文件存储了系统中所有用户的基本信息。每个用户占一行,字段之间用冒号。命令可以查看当前用户或指定用户的 UID、GID 等信息。文件主要用于存储组信息,但也可以通过它查看用户所属的组。通过以上方法,你可以查看 Linux 系统中的用户信息。命令可以查看当前登录系统的用户。命令可以列出系统中的所有用户。命令可以列出系统中的用户信息。命令可以查询系统数据库(如。命令可以查看用户的登录历史。数据库),显示用户信息。
linux 添加隐藏用户登录,科学网—CentOS 7 在登录界面用户列表中隐藏指定账号 - 乔磊的博文...
weixin_39922749的博客
04-28 566
计算机中有多个账户,不想禁用用户列表,也不想全显示。网上搜到的一些办法又不适用于CentOS 7。最后找到下边这个办法,记在这里。参考:https://wiki.archlinux.org/index.php/GDM#Hide_user_from_login_listHide user from login listThe users for the gdm user list are gathe...
linux创建隐藏用户,Linux隐藏权限lsattr和chattr
weixin_35529833的博客
04-28 1667
1、隐藏权限功能:防止root和其他管理用户误删除和修改重要文件及目录。此权限用ls -l是查看不出来的。2、常见的隐藏权限:1)i权限:只能查看目录或文件内容,不可以删除和修改目录及文件内容,包括root用户也不可以。2)a权限:可以查看目录和文件内容,也可以追加文件内容,也可以在目录中创建新子目录和文件,但不可以删除目录和文件的内容,当然也不可以修改只能追加。3、查看隐藏权限命令语法:lsat...
攻防演练过程中防守方必备的关键安全设备
maoguan121的博客
09-29 2553
部署安全设备及系统是防守工作的必要条件之一,以下通过边界 防御设备、安全检测设备、流量监控设备、终端防护设备、威胁情报 系统这五方面帮助读者了解、熟悉红队常用的关键安全设备。
网络攻防演练.网络安全.学习
助力开发者进阶为高效技术管理者,记录沉淀打造可复用的工程方法论体系
07-07 5028
网络安全攻防演练,是以不限制手段、路径,进行获取权限并攻陷指定靶机为目的实战攻防演练。通过真实网络中的攻防演练,采用不限攻击路径和攻击手段的方式,最大限度地模拟真实的网络攻击,以检验防守方的安全防护和应急处置能力,锻炼应急响应队伍,提升网络安全的综合防控能力。
攻防演练2021纪实与总结
随便记记笔记
04-27 4426
2020年在蓝方,银行系某单位负责某厂商设备的监控 2021年在红方 不管对于蓝方还是红方,资产梳理都十分重要,资产梳理对蓝方来说可以快速的定位到发生问题的位置,及时响应,对红方有助于理解蓝方的组织结构,网络结构,找到关键点 蓝方 监控面临的很大的问题就是日至太多 某正部级单位, 通过某直属单位的OA系统,一个致远OA,1day没有补,权限绕过+后台任意文件上传拿了root的shell 然后通过数据库配置文件,拿到OA的mysql数据库的用户名密码 内网扫了一下有一些ssh和mysql的弱口令,还有redi
mimic:在Linux中以普通用户身份隐藏进程
05-02
模仿 mimic是用于在Linux x86_64上秘密执行的工具。 什么是“秘密执行”? 秘密执行是隐藏流程的艺术。 在这种情况下,模拟程序会将进程隐藏在可见的地方。 mimic可以启动任何程序,并使它看起来像任何其他程序。 任何用户都可以使用它。 它不需要特殊权限。 它不需要特殊的二进制文件。 它不需要根工具包。 什么?! 没有特殊特权? 那是正确的。 模拟通过重新布置流程的内部结构以使其混淆该流程的/ proc条目的方式来工作。 所有报告过程性质的工具都通过检查/ proc来执行此操作。 如果我们可以弯曲/ proc,那么我们可以将进程隐藏起来。 由于我们只是在更改自己拥有的流程的状态,因此任何人都可以成功运行mimic 。 可以检测到吗?! 当然,但是仅当您非常仔细地查看或正在运行用于此类事情的取证工具时,才可以。 模仿的用处在于,它首先可以防止某人变得可疑。 这可以与
攻防演练,作为蓝方,centos的操作系统,怎么查看是不是有隐藏用户,有没有获取权限
keyboard专栏
04-17 775
攻防演练中,作为蓝方(防守方),检查 CentOS 操作系统中是否存在隐藏用户以及是否有未授权的权限获取是非常重要的。以下是一些检查步骤和工具的使用方法,这些可以帮助你确保系统的安全和完整性。
linux添加用户隐藏权限
weixin_30621711的博客
06-27 1000
1、添加用户报错提示: [root@server-2 etc]# useradd guset useradd: cannot open /etc/group 2、查看 /etc/group文件权限正常 3、查看下面四个文件是否有隐藏权限 [root@localhost~]#lsattr/etc/passwd -------------/etc/passwd [root...
Windows隐藏账户处置
afjkslahdfkaJDHU的博客
12-15 959
实验步骤 一、使用命令行创建用户 1、打开命令行 2、新建test$用户 net user test$ sxf!7890 /add net localgroup administrators test$ /add 二、观察test$用户 1、使用系统计算机管理工具 可以看到test$用户 2、使用命令行查看用户 在命令行输入 net user 无法看到test$用户 三、导出test$和administrator用户注册表信息 1、打开注册表 命...
linux添加隐藏账户,Linux——CentOS7添加/删除用户用户
weixin_39815286的博客
05-08 1422
Linux——CentOS7添加/删除用户用户组2017年11月23日 11:17:56ataoajuan阅读数:6932版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.youkuaiyun.com/ataoajuan/article/details/78612465前言今天又重新装了centos7突然有关用户用户组有关的命令记不清了,所以记一下,也方便你我学习。———...
Linux操作和应用: 如何在 Linux查看文件系统中的隐藏文件和隐藏目录?
weixin_70208651的博客
12-30 5920
隐藏文件和目录的名称通常以点号(.)开头,如使用带有图形用户界面(GUI)的 Linux 发行版,大多数现代文件管理器(如 Nautilus、Dolphin、PCManFM 等)提供查看隐藏文件和目录的功能。要查看这些隐藏文件和目录,可以使用多种方法,具体取决于使用的工具和界面。如果使用的是 Bash 4.0 或更高版本,可启用 globstar 选项来递归地匹配多个层级的文件和目录。它不能直接列出隐藏文件,可以用来查看特定隐藏文件的详细信息。结合 -a 选项和 grep,可以查找隐藏文件的磁盘使用情况。
检查linux系统可疑用户
beck_li的博客
08-22 1008
1、查看是否有异常的系统用户 2、查看是否产生了UID和GID为0的新用户 3、查看passwd的修改时间 4、查看是否存在特权用户 5、查看是否存在空口令帐户 6、查看ssh授权用户 7、查看可以远程登录的帐号信息
应急响应-账户排查
懂进攻知防守
11-19 2823
服务器被入侵之后,攻击者可能会建立相关账户,方便进行远程控制。主要采用一下几种:1. 直接建立一个新用户;(有时候为了混淆视听,账户名称和系统常用名相似)2. 激活一个系统中的默认用户,但是这个用户不经常使用;3. 建立一个隐藏用。(在windows中,一般在用户名后加$)无论攻击者采用哪种方法,都会在获取账户后,使用工具或是利用相关漏洞将这个用户提升到管理员权限,然后通过这个账户任意控制计算机。
网络安全攻防演练红方
01-04
### 网络安全攻防演练中的红方角色 在网络攻防演练中,红方扮演的是攻击者的角色[^4]。主要职责在于模拟真实的黑客行为模式和技术手法,旨在检测并暴露蓝方(防守方)信息系统内的潜在弱点。 #### 红方的主要任务包括但不限于: - **多维度攻击**:对目标系统实施综合性的进攻操作,涉及物理层到应用层面的不同层次。 - **社会工程学利用**:评估内部员工的安全意识水平,比如钓鱼邮件测试等方法验证人员对于未知威胁源的警惕程度。 - **漏洞挖掘与利用**:寻找未被修复的安全缺陷,并尝试以此为基础进一步深入渗透至核心资源位置。 --- ### 策略部署 为了有效地完成上述使命,红队通常采用如下几种典型策略: - **情报收集阶段**:广泛搜集有关于目标环境的信息资料,如公开可用的数据、社交网络上的线索乃至企业官网发布的新闻公告等内容,这些都可能成为后续行动的重要依据。 - **工具准备**:选用合适的自动化扫描器、脚本编写框架以及其他辅助性程序库来加速整个过程的发展进度,提高工作效率的同时也降低了人为失误的风险概率。 - **持续改进机制**:基于每次实战经验教训不断调整优化自身的战术布局,确保能够紧跟最新趋势变化而做出快速响应措施。 ```bash # 使用Nmap进行端口和服务探测 nmap -A target_ip_address ``` --- ### 实践技巧分享 当面对具体的技术难题时,掌握特定的操作技能显得尤为重要。以下是几个实用的小贴士供参考: - **弱密码破解**:如果遇到数据库管理系统存在简单易猜解密钥的情况,则可以通过暴力枚举法或是字典匹配的方式迅速定位正确组合[^5]。 ```sql -- 尝试连接PostgreSQL实例 psql -h localhost -U username dbname -W password_guess ``` - **权限提升**:一旦成功登录某台主机之后,下一步便是设法扩大影响力范围直至获得超级管理员身份,这往往涉及到内核级编程接口调用或者是配置文件篡改等方面的知识积累。 - **横向移动**:借助已经掌控的部分节点作为跳板去访问其他关联资产,形成连锁反应式的扩散态势,从而达到全面接管的目的。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MonkeyKing.sun

对你有帮助的话,可以打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值