★入侵过程概述★

入侵者进行渗透入侵的一般过程：

第一步：进入系统

1.扫描目标主机。

2.检查开放的端口，获得服务软件及版本。

3.检查服务软件是否存在漏洞，如果是，利用该漏洞远程进入系统；否则进入下一步。

4.检查服务软件的附属程序(*1)是否存在漏洞，如果是，利用该漏洞远程进入系统；否则

进入下一步。

5.检查服务软件是否存在脆弱帐号或密码，如果是，利用该帐号或密码系统；否则进入下

一步。

6.利用服务软件是否可以获取有效帐号或密码，如果是，利用该帐号或密码进入系统；否

则进入下一步。

7.服务软件是否泄露系统敏感信息，如果是，检查能否利用；否则进入下一步。

8.扫描相同子网主机，重复以上步骤，直到进入目标主机或放弃。

第二步：提升权限

1.检查目标主机上的SUID和GUID程序是否存在漏洞，如果是，利用该漏洞提升权限，否则

进入下一步。

2.检查本地服务是否存在漏洞，如果是，利用该漏洞提升权限，否则进入下一步。

3.检查本地服务是否存在脆弱帐号或密码，如果是，利用该帐号或密码提升权限；否则进

入下一步。

4.检查重要文件的权限是否设置错误，如果是，利用该漏洞提升权限，否则进入下一步。

5.检查配置目录(*2)中是否存在敏感信息可以利用。

6.检查用户目录中是否存在敏感信息可以利用。

7.检查临时文件目录(*3)是否存在漏洞可以利用。

8.检查其它目录(*4)是否存在可以利用的敏感信息。

9.重复以上步骤，直到获得root权限或放弃。

第三步：放置后门

最好自己写后门程序，用别人的程序总是相对容易被发现。

第四步：痕迹清除

对于我们留下的痕迹，并不能完全清除，完全清除入侵痕迹是不可能的！主要是增加管理员发现入侵者的时间成本和人力成本。只要管理员想查，无论你怎么清除，还是能查到的。

最主要还是要以隐藏自身身份为主，最好的手段是在渗透前挂上代理，然后在渗透后痕迹清除。

Windows系统

1. 如果是windows系统，可用MSF中的 clearev 命令清除痕迹

2. 如果3389远程登录过，需要清除mstsc痕迹

3. 执行命令清除日志：

del %WINDR%\* .log /a/s/q/f

4：如果是web应用，找到web日志文件，删除 

相关文章：WINDOWS之入侵痕迹清理总结

Linux系统

1：如果是Linux系统，在获取权限后，执行以下命令，不会记录输入过的命令

export HISTFILE=/dev/null export HISTSIZE=0

2：删除 /var/log 目录下的日志文件

3：如果是web应用，找到web日志文件，删除 

附加说明：

（*1）例如WWW服务的附属程序就包括CGI程序等

（*2）这里指存在配置文件的目录，如/etc等

（*3）如/tmp等，这里的漏洞主要指条件竞争

（*4）如WWW目录，数据文件目录等