【玄机】第三章 权限维持-linux权限维持-隐藏

01 前置知识

查找隐藏文件命令：

//查找隐藏文件
find / -type f -name ".*" 2>/dev/null | grep -v "^\/sys\/"
//查找隐藏目录
find / -type d -name ".*" 2>/dev/null

webshell手工查杀：

find ./ -type f -iname "*.*" |xargs egrep 'assert|bash|system|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval\(|file_put_contents|base64_decode'

linux suid提权：

介绍：
SUID 是一种对二进制程序进行设置的特殊权限，可以让二进制程序的执行者临时拥有属主的权限

查找 SUID权限的文件：

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null 
find / -user root -perm -4000 -exec ls -ldb {} \;

常见Linux中root文件列表如下：

nmap   vim   find   bash   more   less   nano   cp   awk

更具体关于suid提权的每个命令的用法的介绍可以看：
https://www.cnblogs.com/hellobao/articles/17261531.html

linux proc目录

/proc 是 Linux 系统中一个特殊的文件系统，它包含了系统和内核的信息。

/proc 目录下的每一个文件都表示一个进程或系统的信息，例如内存使用情况、CPU 使用情况、磁盘分区、系统负载等。

以下是一些常见的 /proc 目录下的文件或目录及其含义：

/proc/cmdline：系统启动时的内核命令行参数。
/proc/cpuinfo：CPU 信息，如型号、速度、使用情况等。
/proc/meminfo：内存信息，如总量、使用量等。
/proc/mounts：已挂载的文件系统列表。
/proc/version：内核版本信息。
/proc/[pid]：每个进程的信息目录，[pid] 是进程的 PID。
/proc/[pid]/cmdline：进程启动时的命令行参数。
/proc/[pid]/status：进程的状态信息，比如 CPU 使用量、内存使用量等。

02 题目

ssh root@env.xj.edisec.net -p 密码 xjqxwcyc

1.黑客隐藏的隐藏的文件 完整路径md5
2.黑客隐藏的文件反弹shell的ip+端口 {ip:port}
3.黑客提权所用的命令 完整路径的md5 flag{md5}
4.黑客尝试注入恶意代码的工具完整路径md5
5.使用命令运行 ./x.xx 执行该文件 将查询的 Exec****** 值 作为flag提交 flag{/

1.黑客隐藏的隐藏的文件 完整路径md5

这块确实被卡了好久，想着既然题干给了隐藏文件，一定是 .* 形式的文件，后来发现有点被题目误导了

思路1：

一直挨个翻找隐藏的文件和目录，使用找隐藏目录的方式发现/tmp/.temp路径很可疑
cd /tmp/.temp/libprocesshider/

发现了两个可疑文件

思路2：

或者直接使用手工查杀木马的方式

限定路径范围，最终在/tmp路径下通过手工查杀的方式发现了三个木马文件

find ./ -type f -iname "*.*" |xargs egrep 'assert|bash|system|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval\(|file_put_contents|base64_decode'

分别为：
/tmp/.temp/libprocesshider/1.py

/tmp/.temp/libprocesshider/shell.py

/tmp/1.sh

有关webshell查杀更详细的文章可以看：

【玄机】第一章 应急响应-webshell查杀
将上面三个路径依次变成md5，发现是答案要的是恶意文件是1.py

flag{109ccb5768c70638e24fb46ee7957e37}

2.黑客隐藏的文件反弹shell的ip+端口 {ip:port}

根据第一题可知要求的题目要求的隐藏文件是1.py

且靶场中只有1.py有执行权限

cat一下1.py看看文件

脚本的目的是创建一个持久的反向shell，它通过连接到指定的IP和端口来实现。如果连接失败，它会等待2秒然后重试。这个脚本在执行时会隐藏所有输出，并在后台运行，不会产生任何可见的进程或窗口。

连接的地址是114.114.114.121的9999端口
flag{114.114.114.121:9999}

3.黑客提权所用的命令 完整路径的md5 flag{md5}

提权所用的命令，那大概就是用了某个命令有suid权限

查找下具有suid权限的二进制文件看看

find / -user root -perm -4000 -print 2>/dev/null

看到find命令是具有suid权限的

可以进入其他非root用户进行测试

find提权方式

find /etc/passwd -exec whoami \;

进入shell的方式：

find /etc/passwd -exec '/bin/sh' \;

所以flag为find命令的md5值：/usr/bin/find

flag{7fd5884f493f4aaf96abee286ee04120}

4.黑客尝试注入恶意代码的工具完整路径md5

尝试寻找恶意代码工具：没啥思路，先找找隐藏文件

find / -type d -name ".*" 2>/dev/null

Cymothoa 是一款可以将 shellcode 注入到现有进程的（即插进程）后门工具。

借助这种注入手段，它能够把shellcode伪装成常规程序。它所注入的后门程序应当能够与被注入的程序（进程）共存，以避免被管理和维护人员怀疑。

将shellcode注入到其他进程，还有另外一项优势：即使目标系统的安全防护工具能够监视可执行程序的完整性，只要它不检测内存，那么它就不能发现（插进程）后门程序的进程。

很赞的点是注入到的进程,只要有权限就行,然后反弹的也就是进程相应的权限(并不需要root),当然进程重启或者挂了也就没了.当然动作也是很明显的。

路径为：/opt/.cymothoa-1-beta/cymothoa 之后md5得到flag

flag{087c267368ece4fcf422ff733b51aed9}

5.使用命令运行 ./x.xx 执行该文件 将查询的 Exec****** 值 作为flag

执行隐藏文件

python3 /tmp/.temp/libprocesshider/1.py 执行完成后查看网络连接

netstat -anpl

可以看到远程连接的PID是6078

# 用于显示进程ID为6078的进程的启动命令行参数
cat /proc/6078/cmdline 
# python3 /tmp/.temp/libprocesshider/1.py 执行命令
# root@xuanji 权限

根据题目要求，需要提供完整的执行程序 whereis python3

可执行命令在/usr/bin路径下
flag{/usr/bin/python3.4}