渗透痕迹隐匿

已于 2025-02-08 17:39:21 修改
阅读量1.2k 收藏 19
点赞数 25
CC 4.0 BY-SA版权
文章标签: 数据库 渗透测试 网络安全 红队技术
于 2024-12-18 12:16:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NPSM_/article/details/144557993

声明
B站泷羽sec

笔记的只是方便各位师傅学习知识,以下网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负。

✍🏻作者简介:致力于网络安全领域,目前作为一名学习者,很荣幸成为一名分享者,最终目标是成为一名开拓者,很有趣也十分有意义
🤵‍♂️ 个人主页: @One_Blanks
欢迎评论 💬点赞👍🏻 收藏 📂加关注+

  • 关注公众号:泷羽Sec-Blanks

目录标题

同款Kali链接

https://pan.quark.cn/s/097b4bfd5ecc

一、暴力撤退

直接杀死进程

kill -9 $$

kill 结束进程 -9 强制结束 $$ 指定当前shell

相较于下面的隐匿操作,这个显得更加暴力,虽然确实有效但是相较于下面的绝对隐匿还是太危险了,首先强制终止进程可能导致系统异常被管理员发现,然后日志文件也会将事件记录,如果对文件进行操作时终止也会导致文件状态异常更加容易被发现

二、历史命令去痕

(一)原理、本质

在打开一个bash shell 后,.bash_history文件中的内容会被加载到history的记录列表中,并且我们在这一个shell中执行的命令也会被追加到history列表中去,而当我们关闭这个shell时,history列表中的命令就会被写到.bash_history中进行持久化保存

(二)历史命令清除

对于bash shell而言Linux系统会将用户在终端输入的命令记录在~/.bash_history文件中。

(明白这个原理后,我们的历史命令可以在保存入.bash_history中之前就进行清除,从而不会有痕迹)

清除
  1. 简单覆盖
> ~/.bash_history

但是这种清除方法比较明显,因为文件的时间戳也会被更新

  1. 伪造清除

先使用history命令进行清除,然后去改时间戳

echo "" > ~/.bash_history
touch -d "yesterday" ~/.bash_history
history -c

  1. 清除指定行到文件结尾的所有命令

这里用到流文本编辑器sed

sed -i '3,$d' ~/.bash_history

sed -i命令用于直接在文件中进行修改,而不是像普通的sed命令那样只是将修改后的内容输出到屏幕上。

(三)不记录历史命令

1.空格+命令可以不触发命令记录
 ls
 history

2.临时禁用历史命令

临时禁用历史命令记录

set +o history

重新启用历史命令记录

set -o history

3.修改环境变量HISTSIZE(历史命令记录数)

初始是1000条

export HISTSIZE=0

临走之前,不用给人家将那个HISTSIZE改回来,因为export所设置的是临时变量,当此shell进程结束时临时变量也会失效

(四)隐匿

# 进入前先改环境变量
export HISTSIZE=0
# 临走时进行清除
history -c

如果想临走时给它原来的也清了可以用history -cw但是不利于隐匿

三、日志去痕

(一)系统日志

/var/log/messages、/var/log/syslog 等

  1. 直接使用vi、nano文本编辑器进行删除

  2. 使用sed进行删除(当交互式编辑器失效时使用)

sed '/error/d' /var/log/messages

/error/是一个正则表达式,后面的d表示删除

(二)用户登录日志

/var/log/auth.log(Debian、Ubuntu 等)或/var/log/secure(Red Hat、CentOS 等)

(三)应用日志

/var/log/apache2/用于存储 Apache 服务器日志,/var/log/mysql/用于存储 MySQL 数据库日志

(四)日志文件

ls -lh /var/log

四、进程隐匿

(一)伪造ps命令

查看ps路径

which ps

ps查看ssh进程

ps -ef | grep ssh

创建一个伪造的ps,位于/usr/local/bin/ps 路径中

# !/bin/bash
/usr/bin/ps $@ | grep -Ev 'ssh'

赋予执行权限

chmod +x /usr/local/bin/ps

重启shell(虽然已经伪造成功,但是目前调用的还是原来的那一个ps)

重启后查看,发现ssh进程已经被隐藏起来了

(二)伪造ps正常进程

简单来说就是将恶意进程改为一个正常进程的名字,让管理员不容易发现

1.命令行参数修改

先查到需要伪装的恶意进程的ID

ps -ef | grep evil

这里假设evil进程的ID为1111

echo "ssh" > /proc/1111/cmdline

结合重定向输出将命令行参数修改

2.进程名称修改

需要先下载 gdb 工具

sudo gdb -p 1111 -ex "call prctl(15, \"ssh\", 0, 0, 0)" -ex "detach" -ex "quit"

这样就在名称和参数上对恶意进程进行伪装隐藏

(三)拓展

类似与这种可以查到我们的命令都可以进行伪造,如将netstat进行伪造,隐藏自己ip。

管理员一般不会注意到ps的位置已经发生变化,它只在乎有没有风险

五、文件隐藏

(一)隐藏文件

一般我们的恶意文件或者目录都放在隐藏目录中,就比如/tmp目录下就有隐藏的目录/tmp/.X11-unix

mv muma.php /tmp/.X11-unix/hh.php

直接将木马隐藏到该隐藏目录下。

(二)修改文件权限

使用chattr命令可以防止root和其他用户删除文件,并且ls -liah 无法排查

 # 添加文件锁定属性
chattr +i 1.txt     
 # 查看文件属性
lsattr 1.txt        
 # 删除文件失败
rm -rf 1.txt      
 # 删除锁定属性
chattr -i 1.txt        
rm -rf 1.txt


One_Blanks
关注
数字隐身术:彻底擦除Linux操作痕迹的终极指南
QQ_778132974的博客
04-28 140
在硅谷某次网络安全攻防演练中,白帽黑客仅凭服务器残留的3条history记录就定位到攻击路径。这警示我们:真正的数字隐身,需要从清除操作记忆开始。本文将揭秘Linux历史记录的多维清理方案,让你的操作轨迹真正"踏雪无"。
网络安全攻防渗透测试高级实战阶段的典型案例分享
最新发布
qq_59648176的博客
06-09 880
通过漏洞链组合(外部→内部→持久化)突破防御纵深,全程强调隐蔽性(规避检测)和权限最大化(域控控制)。防御需覆盖全链条:云存储权限管理、漏洞及时修复、强密码策略、EDR深度行为分析。
在Linux系统上隐匿操作痕迹的脚本
XXokok的博客
09-12 720
在Linux系统上隐匿操作痕迹的脚本
内网‘幽灵’渗透实录:30个权限维持+痕迹清理,从零基础到精通,收藏这篇就够了!
leah126的博客
04-28 622
内网攻防,玩的就是心跳。别再傻乎乎地只知道删日志了,今天就来扒一扒30种“阴招”,看看你到底漏了哪一招,以及如何防住这些“暗箭”。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
CentOS 7 - 清除 history 记录
qq_29761395的博客
12-26 7583
清除 history 记录 当前用户所有输入的命令都被记录在 ~/.bash_history 文件中,为了防止敏感信息泄露,可以依次执行 history -c 和 history -w 可以清除这些历史记录。 history 命令的帮助信息: history [n] history -c history -d offset history -anrw [filename] history -p arg [arg ...] h
centos7 记录多CPU,其中一半CPU100%,隐藏进程查看
baskjacky的博客
11-16 627
Centos yum 切换阿里云源地址。至此CPU可以降下来。
Linux CentOS7 history命令
qq_36142959的博客
09-17 2799
linux查看历史命令可以使用history命令,该命令可以列出所有已键入的命令。这个命令的作用可以让用户或其他有权限人员,进行审计,查看已录入的命令。用户所键入的命令作为应保存的信息将记录在文件中,这个文件保存就是家目录中的一个隐藏文件~/.bash_history。了解历史命令存放的位置,对后面的各项讨论十分重要。我们对于前面用过的几个命令,可以通过方向键的上下按键来查看。这个很方便,但对于更前面的命令,将会加大难度,不好找到。只有用历史命令才便捷。
删除linux隐藏进程的简单记录
lgs7907
07-30 789
删除linux隐藏进程,进程占用一半的cpu资源
Metasploit在渗透测试中的隐匿攻击技术
它提供了一套功能强大的工具和资源,帮助渗透测试人员快速发现和利用系统和应用程序中的安全漏洞。 Metasploit不仅仅是一个单纯的漏洞扫描工具,更是一个完整的渗透测试框架。它集成了多种攻击技术和工具,并提供了...
内网渗透
逗比大师的博客
08-04 199
1.信息收集 1.1.windows 1.1.1用户操作 query user #查看当前在线的用户 whoami #查看当前用户 net user #查看当前系统的用户 net1 user #查看当前系统的用户 net user /domain #查看当前域里面的用户 net user administrator #查看当前用户的详细信息 net localgroup #查看本地用户...
42-渗透测试工具Cobalt strike-3.CS邮件钓鱼及cs免杀
XLbb的博客
05-30 3363
LoaderGo软件安装加密 LoaderGo采取的是远程分离加载,我们先对原生shellcode进行加密。 导入shellcode,选择加密方式,这里只写了一种,所以不用选择,直接生成即可。 原邮件连接成功替换成钓鱼连接;照片马也成功发送)。Ladon是一个自动化工具,主要用于快速枚举和测试目标系统上的多个漏洞或弱点。
Kali Linux中的后渗透阶段技术
Kali Linux后渗透阶段概述 ## 1.1 什么是后渗透测试? 在网络安全领域,后渗透测试指的是一种测试方法,旨在模拟黑客入侵网络后的行为,以评估系统在遭受实际攻击后的安全性。通过模拟真实世界的攻击技术和手段,...
centos7 清除系统日志、历史记录(包括history)、登录信息
denghan9435的博客
03-09 762
history: # echo > .bash_history //清除保存的用户操作历史记录 # history -cw //清除所有历史 centos7 清除系统日志、历史记录、登录信息: https://blog.51cto.com/study2008/2301555 转载于:https://www.cnblogs.com/ki...
CentOS 7.6 history命令用法及解决history -c不能彻底删除历史命令的问题
shengjie87的博客
06-30 1万+
history命令可以用来查看历史命令 history -c命令可以用来清除所有的历史命令 history命令 history命令:用于显示历史记录和执行过的指令命令。history命令读取历史命令文件中的目录到历史命令缓冲区和将历史命令缓冲区中的目录写入命令文件。该命令单独使用时,仅显示历史命令,在命令行中,可以使用符号!执行指定序号的历史命令。例如,要执行第2个历史命令,则输入!2。 history命令:是被保存在内存中的,当退出或者登录shell时,会自动保存或读取。在内存中,历史命令仅能够存储100
Centos清除登录痕迹
漠效的博客
10-25 2198
前言 下面介绍的是centos如何清除登录痕迹 【1】空格不记录 执行后,再次输入的命令,如果前面有空格都不会被记录 <1>永久设置环境变量 在.bash_profile 或 /etc/profile 等设置环境变量文件,追加 HISTCONTROL = ignorespace source /root/.bash_profile <2>临时修改 expo...
Linux中清除痕迹和隐藏自己-清除last login
热门推荐
MENGHUANBEIKE的专栏
01-02 1万+
注意使用logtamper,只能清除日志痕迹,而且主要针对utmp,wtmp,lastlog。而事实上,linux系统重要的会留下你的痕迹日志有:lastlog、utmp、wtmp、messages、syslog、sulog,所以不能完全依赖工具。 此外,各种shell还会记录用户使用的命令历史,它使用用户主目录下的文件来记录这些命令历史,通常这个 文件的名字为.sh_history (k
如何使linux系统下的root用户不保存终端历史记录到.bash_history中
刘书的IT博客
02-15 1万+
———————————————— 1)history -c  //是把Linux下的/root/.bash_history  全给清了,实现不保存,作为黑客是不地道的。 再从其他终端倒腾回去: history |awk -F" "  '{if(NR>0){$1="";print $0}}'|grep -v "multepollserver" > /root/.bash_history
CentOS7 设置查看历史命令时间
wjy的博客
06-10 3997
如题,教大家如何设置history命令查看命令执行时间 1、root用户登陆系统(修改配置啥的root权限大,比较方便,实验或联系随意,生产中谨慎操作) 2、接下来我们修改配置文件,~/.bash_profile 或者/etc/profile,这里我们修改前者 执行vi ~/.bash_profile 在此后面新增两行,保存退出 3、source /etc/profile && source ~/.bash_profile 4、在执行 history命令就能看到命令执行时间
隐匿攻击
04-01
隐匿攻击是一种旨在隐藏攻击行为或掩盖攻击痕迹的安全威胁技术。其核心目标是使入侵活动难以被检测到,从而延长攻击者在网络中的存在时间并降低被发现的风险[^1]。 #### 二、隐匿攻击的主要技术原理 隐匿攻击通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值