Linux黑操作——隐藏技术(权限维持)

最新推荐文章于 2024-09-25 21:30:12 发布
最新推荐文章于 2024-09-25 21:30:12 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: Linux常用命令大全 web安全 文章标签: linux shell 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LizePing_/article/details/119840718
版权

Linux的隐藏技术

在这里插入图片描述

前言

假如在linux系统,攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件,介不就是非常可怕了嘛!!!

隐藏文件

Linux 下创建一个隐藏文件:

touch .test.txt

touch 命令可以创建一个文件,文件名前面加一个 点 就代表是隐藏文件 而且使用命令ls
-l是查看不出来的,只能查看到文件及文件夹,查看Linux下的隐藏文件需要用到命令:ls -al

隐藏权限

在Linux中,使用chattr命令来防止root和其他管理用户误删除和修改重要文件及目录,此权限用ls -l是查看不出来的,从而达到隐藏权限的目的。

这个技巧常被用在后门,变成了一些难以清除的后门文件

# 锁定文件
chattr +i test.txt 
# 属性查看
lsattr  test.txt    
# 解除锁定
chattr -i test.txt  
#删除文件
rm -rf 1.test.txt

隐藏历史操作命令

在shell中执行的命令,不希望被记录在命令行历史中,那么在linux中可以开启无痕操作模式,所谓神不知鬼不觉

只针对你的工作关闭历史记录

空格 set +o history

由于空格的缘故,该命令本身也不会被记录。
上面的命令会临时禁用历史功能,这意味着在这命令之后你执行的所有操作都不会记录到历史中,然而这个命令之前的所有东西都会原样记录在历史列表中。

如要重新开启历史功能

空格 set -o history

从历史记录中删除指定的命令

假设历史记录中已经包含了一些你不希望记录的命令。这种情况下我们怎么办?很简单。通过下面的命令来删除:

history | grep "keyword"

输出历史记录中匹配的命令

history -d 命令所在的行数

批量删除:
只保留前100个

sed -i '100,$d' .bash_history

进程隐藏

管理员无法通过相关命令工具查找到你运行的进程,从而达到隐藏目的,实现进程隐藏。

libprocesshider

github项目地址:https://github.com/gianlucaborello/libprocesshider

感兴趣的可以去项目学习

如何在Linux中发现隐藏的进程?

unhide 是一个小巧的网络取证工具,能够发现那些借助rootkit,LKM及其它技术隐藏的进程和TCP / UDP端口。这个工具在Linux,UNIX类,MS-Windows等操作系统下都可以工作。

下载地址:http://www.unhide-forensics.info/

 安装
sudo yum install unhide
 使用
unhide [options] test_list

在这里插入图片描述

[权限维持] Windows 权限维持 —— 影子账户后门 - 基础隐藏
Blue17 の 小窝
02-28 606
如上,远程登录成功,由于我们上面创建影子账号的 Shell 是 Hack3rX 里的 Administrator,所以我们创建的 hacker用户很自然也归属于域中,反之,如果创建该用户的是本地用户,那么​ 也应该以。做权限维持的前提是你已经拿到了靶机的一个权限(一般还是高权限,不然部分后门你还没有权限写入),所以我们得先用攻击机生成一个木马文件,上传靶机后运行,先拿到靶机的一个权限。如上,可以看到,基础款的影子账户的隐蔽性还是不行,太容易被发现了,下一章笔者将介绍高级隐藏款,可以防止绝大多数的排查。
[权限维持] Windows 权限维持 —— 影子账户后门 - 克隆账户
最新发布
Blue17 の 小窝
02-28 882
问题描述  分别在Windows和Linux操作系统上安装Metasploit软件,并运行Metasploit完成针对Linux靶机usermap_script漏洞的渗透攻击,尝试使用植入VNC图形化远程控制工具的攻击载荷,成功获得Linux靶机上的远程控制桌面。做权限维持的前提是你已经拿到了靶机的一个权限(一般还是高权限,不然部分后门你还没有权限写入),所以我们得先用攻击机生成一个木马文件,上传靶机后运行,先拿到靶机的一个权限。这部分我们站在防守者视角,来排查下高级款的影子账户后门。
linux权限维持
whojoe的博客
10-08 554
修改属性 文件时间 touch -r index.php shell.php touch -t 202010101010 shell.php #touch --help 历史操作命令 histroy -r #删除当前会话历史记录 history -c #删除内存中的所有命令历史 rm .bash_history #删除历史文件中的内容 sed -i '150,$d' .bash_history#只保留前150行 set +o history#针对你的工作关闭历史记录 set -o history#恢复 e
浅谈Linux进程隐藏
qq_63980959的博客
03-07 1581
💡 本文不会涉及内核层面,只是从应用层介绍linux下进程隐藏的一些知识点,抛砖引玉,探索更多的思路LD_PRELOAD。
【转】Linux下进程隐藏的常见手法及侦测手段
tpriwwq的专栏
08-08 9854
Linux系统中进程隐藏的常见手法及侦测方法
聊一聊Linux下进程隐藏的常见手法及侦测手段
热门推荐
大方子
10-01 1万+
0x00.前言 进程隐藏是恶意软件隐藏自身痕迹逃避系统管理人员发现的常用伎俩之一,当然,安全防护人员有时候也会使用到,比如隐藏蜜罐中的监控进程而不被入侵者觉察等。笔者也曾在多次安全应急响应经历中遇到过多各式各样的进程隐藏伎俩,了解进程隐藏的常见手法及发现手段是每一位安全运维工程师所应掌握的知识点。本文抛砖引玉,浅谈我所了解的Linux下进程隐藏手段及发现技巧,也希望读者能够积极分享自己相关经验与...
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2664
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
权限维持——Linux
weixin_58666006的博客
09-25 1260
拿到管理员权限后,为了方便回来,需要留后门进行权限维持;即便是防守方也是需要了解权限维持,因为知己知彼,百战不殆。
内网渗透——权限维持
cldimd的博客
03-23 1273
一、权限维持: 当攻击者获取服务器权限后,通常会采用一些后门技术维持自己当前得到的权限,服务器一旦被植入后门,那么攻击者下次进入就方便多了。 由于攻击可能被发现,会清除一些shell,导致目标丢失,所以需要留下后门来维持权限,达到持续控制的目的。 二、获取windows系统登陆账号: 系统登陆账号存储位置:C:\Windows\System32...
我的Linux学习记录(蓝桥)————Linux目录结构和文件基本操作
qq1696942593的博客
02-07 328
我的Linux学习记录(蓝桥)——四 Linux与windows目录区别 在讲 Linux 目录结构之前,你首先要清楚一点,那就是 Linux 的目录与 Windows 的目录的区别,或许对于一般操作上的感受来说没有多大不同,但从它们的实现机制来说是完全不同的。 一种不同是体现在目录与存储介质(磁盘,内存,DVD 等)的关系上,以往的 Windows 一直是以存储介质为主的,主要以盘符(C 盘,D 盘...)及分区来实现文件管理,然后之下才是目录,目录就显得不是那么重要,除系统文件之外的用户文件放在任
Unhide-开源
06-03
Unhide 是一种取证工具,用于查找被 rootkit/LKM 或其他隐藏技术隐藏的进程和 TCP/UDP 端口。 注 1:Unhide-linux repo 已迁移到 https://github.com/YJesus/Unhide 请在新的 repo 上报告错误或提出请求。 注 2:不再维护 unhide-windows。 使用 Gmer 等工具 http://www.gmer.net/
Linux命令下隐写术,Linux奇技淫巧:如何在Linux中使用隐写术隐藏数据
weixin_39910481的博客
04-28 353
原标题:Linux奇技淫巧:如何在Linux中使用隐写术隐藏数据隐秘术是将一个文件隐藏到另一个文件中,以在不引起任何怀疑的情况下秘密地传递信息的艺术。在本文中,我们将学习如何在Linux上的媒体文件中隐藏数据。隐写术简介正如我们所说,隐写术可以帮助我们将数据隐藏在不同类型的媒体文件中。甚至可以使用密码对数据进行加密,以防止不必要地访问其中包含的敏感信息。为了演示,我们将在linuxmi.jpg的图...
Linux 中如何隐藏机密文档
~晨曦静竹~的博客
04-06 1112
  Linux 如何隐藏机密信息,在别人眼皮下私传(手动滑稽~)   Linux工具隐藏术,将一文本隐藏在另一文本中,可在不引起任何怀疑的情况下把密码传递到对方手中。
Linux中的骚操作之第一话
HYMajor的博客
07-27 780
文章目录前言一、什么是shell二、走进Linux一、Linux的分类二、LINUX操作命令格式三、Type命令四、echo指令五、 Hash哈希六、Help指令七、linux中你不知道的辅助骚操作八、Man指令九、pwd指令十、cd指令十一、ls指令十二、相对路径十三、 Alias指令十四、du指令三、总结 前言 国家与国家之间存在语言、文化等的差异,中国人若想与英国人交流,下意识想到的一定是借助“翻译器”,那么翻译器就承担着承上启下的关键作用。同样的,在计算机中,人类若想完全操作计算机,对它发号施令,这
权限维持Linux&Rootkit后门&Strace监控&Alias别名&Cron定时任务
今天是几号的博客
04-16 1806
alias命令的功能:为命令设置别名定义:alias ls = ‘ls -al’删除:unalias ls每次输入ls命令的时候都能实现ls -alalerts'这样目标执行ls命令后可以上线,不过ls命令会被阻塞在那里,很容易引起怀疑,当结束终端窗口时,反弹shell的会话也会随着被终结,而且更改后的alias命令只在当前窗口才有效(重启也会失效)2、升级:))";alerts’进行base64编码是因为python程序有空行和空格,将一段命令转换成单行命令。
linux分析权限设置原因,Linux系统文件权限隐藏的细节深入分析
weixin_28852151的博客
04-30 100
Linux系统文件权限隐藏的细节深入分析》由会员分享,可在线阅读,更多相关《Linux系统文件权限隐藏的细节深入分析(7页珍藏版)》请在人人文库网上搜索。1、Linux系统文件权限隐藏的细节深入分析Linux系统文件权限隐藏的细节深入分析 linux是一个安全的操作系统,她是以文件为基础而设计的,其文件权限是比较复杂的,可以用stat命令以及lsattr命令来显示某个文件的详细信息: 可以看到,...
玄机——第三章 权限维持-linux权限维持-隐藏 wp
焦虑的焦虑
07-03 3934
第三章 权限维持-linux权限维持-隐藏
linux基础之文件权限
z609158391的博客
08-16 827
下达『ls -al 』,可以看到 drwxr-xr-x 4 root root 4096 8月 10 14:22 boot 看见第一列那串似有规律的英文字符串了吗?没错它的每一位都代表了一定的含义。 首位:代表文的件类型 当为[ d ]则是目录,可以用cd命令进入。 为[ - ]则是档案,也叫普通文件。包括文本,二进制,数据格式,各种压缩文件等。 若是[ l ]则表示为连结...
shell指令进阶
Cxy_pc的博客
07-16 521
ls #ls -la :显示该目录下所有的文件,文件夹信息,包含隐藏文件 .a mkdir #mkdir -p project/test/hello :创建多层目录,这个例子是在这个目录下创建了project下的test下的hello。 cp #cp -r ./project …/test :把本目录下的project目录所有文件复制到上一级目录下的test,test自动创建。 clear #clear : 清屏。 wc #wc -lwc 文件路径 查看文件内容有多少行(lines),多少单词(words
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

征__程

多动手,避免老年痴呆,活跃身心

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值