linux系统调用劫持(隐藏端口)

最新推荐文章于 2024-05-27 11:13:59 发布
最新推荐文章于 2024-05-27 11:13:59 发布
阅读量1.6k 收藏 6
点赞数 1
文章标签: 内核 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44858076/article/details/112878151
版权

一、实验目的

修改linux内核读取tcp端口所使用的函数调用tcp4_seq_show,让其指向自己的函数,用于隐藏指定的端口号。
使用的linux内核版本如下:
在这里插入图片描述

二、实验代码

#include <linux/module.h>
#include <linux/kallsyms.h>
#include <linux/kernel.h>
#include <linux/unistd.h>
#include <linux/string.h>
#include <linux/seq_file.h>

MODULE_LICENSE("GPL");
MODULE_DESCRIPTION("Access non-exported symbols");
MODULE_AUTHOR("Tzyy");

#define TMPSZ 150
#define PORT_TO_HIDE 53	//想要隐藏的目标端口

struct seq_operations *tcp4_seq_ops_ptr = NULL;
typedef int (*tcp4_seq_show_ptr) (struct seq_file *m, void *v);
tcp4_seq_show_ptr old_tcp4_seq_show = NULL
最低0.47元/天 解锁文章
tzy577
关注
Linux劫持connect到指定IP地址
pmunix的专栏
11-30 2827
    3.1.1  Linux系统调用原理        每个系统调用都是通过一个单一的入口点多路传入内核。eax 寄存器用来标识应当调用的某个系统调用,这在 C 库中做了指定(来自用户空间应用程序的每个调用)。当加载了系统的 C 库调用索引和参数时,就会调用一个软件中断(0x80 中断),它将执行 system_call 函数(通过中断处理程序),这个函
linux劫持系统调用connect
无与伦比BLOG
06-14 2746
为实现网络监控,故需要监控系统调用函数__NR_connect  系统环境  64 位 CentOS 代码如下: #include #include #include #include #include #include #include #include #include #include #include #include #include #i
Linux rootkit之隐藏TCP端口和检测
小立仔
07-17 3016
Linux rootkit之隐藏TCP端口和检测
linux端口复用隐藏后门
m0_46799123的博客
09-14 751
端口复用实验
如何在 Linux/Unix/Windows 中发现隐藏的进程和端口
01-31 1673
英文:Vivek Gite,翻译:Linux中国/fan Lilinux.cn/article-9288-1.htmlunhide 是一个小巧的网络取证工具,能够发现那些借助 rootkit、LKM 及其它技术隐藏的进程和 TCP/UDP 端口。这个工具在 Linux、UNIX 类、MS-Windows 等操作系统下都可以工作。根据其 man 页面的说明:Unhide 通过下述三项技术来发现隐藏
Unix查看oracle端口,技术|如何在 Linux/Unix/Windows 中发现隐藏的进程和端口
weixin_33364945的博客
04-03 232
unhide 是一个小巧的网络取证工具,能够发现那些借助 rootkit、LKM 及其它技术隐藏的进程和 TCP/UDP 端口。这个工具在 Linux、UNIX 类、MS-Windows 等操作系统下都可以工作。根据其 man 页面的说明:Unhide 通过下述三项技术来发现隐藏的进程。进程相关的技术,包括将 /proc 目录与 /bin/ps 命令的输出进行比较。系统相关的技术,包括将 /bin...
Rootkit-LKM编程劫持系统调用隐藏后门程序backdoor(ps,ls)
bw_yyziq的博客
11-05 4381
前言最近学习到rootkit,由于之前没怎么接触到Linux内核系统调用具体实现这些稍底层的东西,并且参考的许多代码都是基于内核2.6的又不想重装低版本系统,所以踩了很多坑浪费了很多时间,查了许多资料,掉了许多头发,现稍整理希望能给后面采坑的人提供一点思路。 环境: Ubuntu 16.04 linux内核版本 4.10.0-37
Linux Rootkit程序开发:远程访问与系统隐藏技术
利用对netstat命令(用于显示网络连接、路由表、接口统计等信息)的系统调用劫持,该程序可以从/proc/net/tcp和/proc/net/udp文件中删除或修改特定端口的信息,从而使得通过netstat命令无法看到后门程序打开的端口,...
Linux应急响应思路和技巧(一):进程分析篇
最新发布
WangsuSecurity的博客
05-27 2059
本文总结自网宿安全演武实验室安全应急响应团队日常工作实践
linux安全配置-将ssh服务隐藏于Internet(端口碰撞)
weixin_33778544的博客
06-09 163
一:设备信息 要保护的服务器:ubuntu14.04 192.168.1.38 ssh测试机:kali2.0 192.168.1.47 二:配置过程 1.首先扫描一下未进行knockd配置的服务器的端口状况: 由上面可知该服务器开启了SSH端口 2.在服务器(192.168.1.38)下载并配置knockd 1)安装knockd ...
linux TCP UDP 端口映射 及DNS劫持
weixin_34072637的博客
09-25 566
对于linux下的端口映射问题多出现在使用linux做为网关路由,用来连接ISP使用时并把公司的内网IP地址NAT成ISP提供的IP。保证内网所有主机可以共享一个公网IP来访问internet。但这样做的同时也会带来一个问题就是我们无法在办公室以后的网络中访问或管理我们内网的服务器。要解决这个问题就要在linux网关服务器上将ISP提供的IP的相关端口通过DNAT方式映...
linux查看进程_Linux下的几种隐藏技术
weixin_39622710的博客
10-21 518
0x00 前言攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件,本文介绍Linux下的几种隐藏技术。0x01 隐藏文件Linux 下创建一个隐藏文件:touch .test.txt touch 命令可以创建一个文件,文件名前面加一个 点 就代表是隐藏文件,如下图:一般的Linux下的隐藏目录使用命令ls -l是查看不出来的,只能查看到文件及文件夹,查看Linux下的隐藏文件需要...
linux系统如何修改ssh的端口号,并修改隐藏ip被不被外界ping通
weixin_41831919的博客
01-05 987
linux系统如何修改ssh的端口号 修改ssh配置文件 vim /etc/ssh/sshd_config 可使用vim打开 使用ppy快速复制本行记录并修改端口号 重启sshd服务使其生效 systemctl restart sshd 查看ssh开放的端口信息,此时连接两个端口均可ssh连接 netstat -ltnp |grep ssh 在linux里,如果要想使ping没反应也就是用来忽略icmp包,因此我们可以在Linux的命令行中输入如下命令 echo 1 &g.
隐藏开放端口_Linux_Rootkit.md
这是一个c++热爱者的博客哟
02-03 946
完成上述所有内容的目的是为了说明了解如何构建这些模块所需的内核源代码的研究。源代码告诉我们,这个特定的结构是“套接字的网络层表示”——这听起来就像我们所追求的!并不是真正的文件,而是由内核中分配给不同 IO 操作(打开/关闭/读/写/等)的函数定义的。我们的钩子需要做的就是检查监听端口是否等于我们想要隐藏端口,如果是则返回,如果不是则。这成为我们的目标,因为如果我们可以控制它,那么我们就可以控制(以及其他类似的)请注意,我们实际上并没有触及内核中的内部套接字表,因此连接的功能完全没有受到损害!
Linux系统中如何彻底隐藏一个TCP连接?
热门推荐
TCP/IP
04-08 1万+
前面的文章中,我稍微描述了一下如何隐藏一个TCP连接: https://blog.youkuaiyun.com/dog250/article/details/105372214 在上文中,我采用了 传统 的做法,即hook住proc的/proc/net/tcp展示接口,但这个方法并没有可观赏性,说白了有点像掩耳盗铃,毕竟连接还是在那里的,你自己去遍历系统的TCP ehash表,还是能看到所有大的TCP连接的。...
PortHidDemo_Vista
08-01 1426
///////////////////////////////////////////////////////////////////////////////////////// Filename: PortHidDemo_Vista.c// // Author: CardMagic(Edward)// Email: sunmy1@sina.com// MSN:  onlyonejazz at h
linux协议栈劫持,劫持TCP不一定非要是中间人
weixin_42355387的博客
05-15 172
导读Hi,我是Robert,上回说到我费了老大劲才考上了Linux帝国的公务员,被分配到了网络部协议栈大厦的传输层工作。TCP的初始序列号Hi,我是Robert,上回说到我费了老大劲才考上了Linux帝国的公务员,被分配到了网络部协议栈大厦的传输层工作。上班第一天,主管就让我处理一个新的TCP连接练练手。虽然我理论背的滚瓜烂熟,不过还没有实际上手处理过TCP数据包,竟有些紧张起来。接过这个请求连接...
【应急基础】————3、mount-bind隐藏端口和进程
Fly_鹏程万里
02-22 1297
创建文件夹 挂不上,一想是因为前几天测试sudo提权的时候把selinux打开了 然后再看一下,ps和netstat看不到了。 大小变成了4096 修复: 检查mount: 1)/proc/mounts 2)/proc/$$/mountinfo [root@server120 tmp]# cat /proc/$$/mountinfo | grep 353...
协议Jiurl255 技术参考
FreeXploiT
12-01 1484
这是一种很特殊的方法,使用它通讯没有端口,而且由于它的特殊性,也许会带来一些其他的优点。但这种方法也有一个比较大的缺点。    它,也许该起个名字,比如叫Jiurl255。它不使用tcp协议,也不使用udp协议,也不使用icmp协议。它使用什么协议,就像乱起的那个名字一样,它使用255协议。 上面这幅图,是一个没有IP选项的IP头。其中有个字段为8位协议,一个字节长,系统就是通过这个字节
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值