01 简介 在进行Linux系统的攻击应急时,大家可能会查看pid以及/proc相关信息,比如通过/proc/$pid/cmdline查看某个可疑进程的启动命令,通过/proc/$pid/...02 技术核心 这里向大家介绍一个linux系统的底层调用函数memfd_create(2),它在内核3.17中引入,会创建一个匿名文件并返回一个文件描述符指向它,该文件表现和常规文件类同, 可以进行修改...,在memfd:后面会出现对于该文件名称,甚至对于匿名文件的命名可以是空的。...可以看到我们的elf文件最终以匿名文件的方式在内存中被加载执行了,从匿名文件运行的程序与运行于普通文件的程序之间唯一真正的区别是/proc/pid/exe符号链接。...参考: https://magisterquis.github.io/2018/03/31/in-memory-only-elf-execution.html http://man7.org/linux
目的:本地服务器(local)复制文件到远程服务器(remote) 本地服务器:local 远程服务器:remote (192.168.1.254) 1....在 local 上运行 ssh-keygen -t rsa 在 /root/.ssh 下生成 id_rsa 和 id_rsa.pub 两个文件 2....在 local 上运行 ssh-keygen -t rsa 在 /root/.ssh 下生成 id_rsa 和 id_rsa.pub 两个文件 4....使用 cat id_rsa.pub.L >> authorized_keys 把 local 的 公钥 写入到 authorized_keys 文件中 6....然后在 local 上就可以无密码使用 scp 复制文件到 remote 了(scp root@192.168.1.254:/home/downloads)
继续2020年的flag,至少每周更一篇文章,今天讲linux无文件执行。...无文件执行 之前的文章中,我们讲到了无文件执行的方法以及混淆进程参数的方法,今天我们继续讲解一种linux无文件执行的技巧,是后台朋友给我的提醒,万分感谢,又学到了新的东西。...linux无文件执行,首先要提到两个函数:memfd_create 和 fexecve。...kernel3.17才被引进来,fexecve是glibc的一个函数,是在版本2.3.2之后才有的, 没有fexecve的时候, 可以使用其它方式去取代它,而memfd_create只能用在相对较新的linux...fexecve的实现 今天不谈memfd_create,这是linux的新特性,没有什么好玩的,本人对fexecve 的实现很有兴趣,因为fexecve是glibc中的函数,而不是linux的系统调用。
fireELF是一个开源的跨平台无文件Linux恶意代码框架,它允许用户轻松的创建和管理payloads。...默认情况下附带了'memfd_create',这是一种从内存中完全运行linux elf可执行文件的新方法。 截图 ? ?...能够从URL或本地二进制文件创建payloads 包含的 payload memfd_create 这是一个linux系统的底层调用函数,它在内核3.17中引入,会创建一个匿名文件并返回一个文件描述符指向它...,该文件表现和常规文件类同, 可以进行修改,截断,内存映射等等,但不同的是,它存在于RAM当中。...-p PAYLOAD_NAME] [-w PAYLOAD_FILENAME] (-u PAYLOAD_URL | -e EXECUTABLE_PATH) fireELF, Linux
https://github.com/TheD1rkMtr/FilelessPELoader
Security Affairs 网站披露,Sonatype 研究人员发现了一个名为“secretslib”的新 PyPI 包,旨在将无文件加密矿工投放到 Linux 机器系统的内存中。...但经过仔细分析观察,该软件包在用户 Linux 机器上暗中运行加密矿工(直接从用户的 RAM 中),这种技术主要由无文件的恶意软件和加密器采用。...该软件包可以从远程服务器获取 Linux 可执行文件并执行,以将 ELF 文件(“memfd”)直接放入内存中,它是一个可能通过“memfd_create”系统调用创建的门罗币加密矿工。...研究人员发现了其它恶意软件包 研究人员发现,“像 memfd_create”这样的 Linux 系统调用使程序员能够在 RAM 中投放 “匿名 ”文件,而不是将文件写入磁盘。...这种情况跳过了将恶意文件输出到硬盘的中间步骤,因此防病毒产品可能并不容易主动捕获到还驻留在系统易失性内存中的无文件恶意软件。
文章前言 所谓的"无文件落地攻击"是指恶意程序文件不直接落地到目标系统的磁盘空间中的一种攻击手法,常用于逃避传统的安全检测机制,本篇文章将就此进行简要介绍几种目前比较流行的无文件落地攻击手法。...hta文件,之后通过目标主机的mshta来远程下载并执行,从而实现无文件落地攻击,下面是具体的步骤: Step 1:使用msf的exploit/windows/misc/hta_server模块进行测试...,2000系统的regsvr32.exe在winnt\system32文件夹下,我们可以通过该命令来实现无文件落地攻击,和上面类似这里也借助JSRat来实现,首先我们在本地运行JSRat监听本地5678...知识拓展 这里介绍一种在内网中常用的无文件落地攻击方法——WinRM无文件落地攻击!!!...测试环境 域内主机:Windows Server 2012(192.168.174.2) 域内主机:Windows Server 2008 R2(192.168.174.4) 攻击主机:Kali Linux
浅谈无文件攻击简介与大多数恶意软件不同,“无文件”攻击并不会在目标计算机的硬盘中留下蛛丝马迹,而是直接将恶意代码写入内存或注册表中。由于没有病毒文件,传统基于文件扫描的防病毒软件很难侦测到它们的存在。...然而,“无文件”攻击的定义已经逐渐扩大化,那些需要依靠文件系统的某些功能来实现激活或驻留的恶意软件也已经包括在了“无文件”攻击的范畴中。无文件攻击属于高级持续性威胁(APT)的一种。...按感染主机对无文件威胁进行分类在介绍了广泛的类别后,我们现在可以深入了解详细信息,并提供感染宿主的细目。 此综合分类涵盖通常称为无文件恶意软件的全景。...利用Microsoft Word宏2016年,“无文件”恶意软件的发展又出现了新的特点。...无文件攻击是一种隐蔽而危险的攻击方式,需要我们提高警惕,加强防护,及时应对。
写在前面的话 在信息安全领域中,“无文件攻击”属于一种影响力非常大的安全威胁。攻击者在利用这种技术实施攻击时,不会在目标主机的磁盘上写入任何的恶意文件,因此而得名“无文件攻击”。...接下来,我们一起分析一下无文件攻击所采用的攻击方法以及策略,我们会对无文件攻击所涉及到的特定技术进行介绍,并解释为什么这种攻击方式在大多数情况下不会被安全防御系统发现。...技术一:恶意文档 其实一开始,很多安全研究专家所称之为的“无文件攻击”实际上是会涉及到文档文件的。...参考资料 【参考资料一】【参考资料二】 技术二:恶意脚本 为了不将恶意代码编译成传统的可执行文件,攻击者会在攻击过程中使用具有“无文件”性质的“脚本文件”。...虽然在现代网络攻击活动中,无文件攻击只是其中的一种攻击技术,但很多恶意软件一般都会引入一些“无文件攻击”技术来尝试躲避安全产品的检测。
简单的笔记,未完待续 一道题: 无锁化编程有哪些常见方法?...那么就可以做到免锁访问环形缓冲区(Ring Buffer) RCU(Read-Copy-Update),新旧副本切换机制,对于旧副本可以采用延迟释放的做法 CAS(Compare-and-Swap),如无锁栈,无锁队列等待...解析: 一、RCU RCU是Linux 2.6内核系统新的锁机制 RCU(Read-Copy Update)。...RCU并不是新的锁机制,它只是对Linux内核而言是新的。...二、CAS 参考:透过 Linux 内核看无锁编程 非阻塞型同步的三种方案: Wait-free Wait-free 是指任意线程的任何操作都可以在有限步之内结束,而不用关心其它线程的执行速度。
最后删除副本,防止受害者使用副本恢复文件。 ? 无文件勒索软件分析 Netwalker使用6个随机字符作为扩展名重命名加密文件: ?...它将勒索信息放在系统各个文件夹中,并在对受害者数据文档加密后打开,其内容为: ?...Netwalker加密文件时主要针对常见用户文件,例如Office文档,PDF,图像,视频,音频和文本文件等。...它通常会避免对关键文件,可执行文件,动态链接库,注册表或其他与系统相关的文件进行加密,防止系统完全失效。...勒索软件本身对组织就具有很大的危害,成为无文件攻击后,其风险再次加大。组织必须使用各种安全技术来保护其端点,例如采用行为监控和基于行为检测的安全方案等。
早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。 8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。...还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。...另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。 ? 同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。...然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。 恶意软件随后将执行以下命令: ? IOCs ?
Linux文件操作 Linux中,一切皆文件(网络设备除外)。 硬件设备也“是”文件,通过文件来使用设备。 目录(文件夹)也是一种文件。...boot:这里存放的是启动Linux时使用的一些核心文件,包括一些连接文件和镜像文件。...deb:deb是Device(设备)的缩写,该目录下存放的是Linux的外部设备,在Linux中访问设备的方式和访问文件的方式是相同的。...tmp:用来存放一些临时文件 media:Linux系统会自动识别一些设备,例如U盘、光驱等,当识别后,Linux会把识别的设备挂载到这个目录下。...mnt:临时挂载其他文件。 proc:包含了进程的相关信息。 ---- Linux文件的操作方式 文件描述符fd fd是一个大于等于0的整数。
[root@inode ~]# ssh-keygen -t rsa Generating public/private rsa key pair. Ent...
git显示文件被修改,实际没有改动,这是什么原因呢?git diff [filename] 检测不到任何改动git diff --cached也给了我空白输出。...文件的模式(权限位)已更改——例如,从777更改为700。...Unix/Linux使用的是LF,Mac后期也采用了LFWindows一直使用CRLF【回车(CR, ASCII 13, \r) 换行(LF, ASCII 10, \n)】作为换行符。...但是这个转换是有问题的:有时提交时,CRLF转回LF可能会不工作,尤其是文件中出现中文字符后有换行符时。...《git文件无修改diff无变更居然有许多文件需要提交—被修改》,请注明出处:https://www.zhoulujun.cn/html/tools/VCS/git/8739.html
Linux安装Cpolar 4. 配置Plik公网地址 5. 远程访问Plik 6. 固定Plik公网地址 7....固定地址访问Plik 本文介绍如何使用Linux docker方式快速安装Plik并且结合Cpolar内网穿透工具实现远程访问,实现随时随地在任意设备上传或者下载或者共享文件!...Plik是一个可扩展且友好的临时文件上传系统,类似于wetransfer。...它还具有OneShot功能,可以让您在不存储文件的情况下共享文件。 1....Linux安装Cpolar 上面在本地Docker中成功部署了Plik服务,并局域网访问成功,下面我们在Linux安装Cpolar内网穿透工具,通过cpolar 转发本地端口映射的http公网地址,我们可以很容易实现远程访问
linux移动文件命令 mv命令 功能:为文件或目录改名或将文件由一个目录移入另一个目录中。该命令如同DOS下的ren和move的组合。...语法:mv [选项] 源文件或目录 目标文件或目录 说明: 视mv命令中第二个参数类型的不同(是目标文件还是目标目录),mv命令将文件重命名或将其移至一个新的目录中。...当第二个参数类型是文件时,mv命令完成文件重命名,此时,源文件只能有一个(也可以是源目录名),它将所给的源文件或目录重命名为给定的目标文件名。...当第二个参数是已存在的目录名称时,源文件或目录参数可以有多个,mv命令将各参数指定的源文件均移至目标目录中。在跨文件系统移动文件时,mv先拷贝,再将原有文件删除,而链至该文件的链接也将丢失。...例2:将文件wch.txt重命名为wjz.doc$ mv wch.txt wjz.doc 相关视频教程推荐:《Linux教程》 版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。
例如: fwrite、fread、fopen、fclose、fseek、fflush ---- 文件系统接口 文件系统——一种把数据组织成文件和目录的存储方式,提供了基于文件的存取接口,并通过文件权限控制访问...文件系统缓存 主存(通常是DRAM)的一块区域用来缓存文件系统的内容,包含各种数据和元数据。...---- O_SYNC 缓存同步 为了保证磁盘系统与缓冲区内容一致,Linux系统提供了sync,fsync,fdatasync三个函数。...fsync——将fd对应文件的块缓冲区立即写入磁盘,并等待实际写磁盘操作结束返回。 fdatasync——类似fsync,但只影响文件的数据部分。而除数据外,fsync还会同步更新文件属性。...---- Linux文件IO流程图 内核中会有一个线程,不断地将高速页缓冲区中的数据写入到物理磁盘中。
由于CrowdStrike邮件推送了“无文件攻击白皮书”《谁需要恶意软件?对手如何使用无文件攻击来规避你的安全措施》(Who Needs Malware?...03 作案工具:真实世界的无文件恶意软件 从上面的案例中,我们已经了解了端到端的无文件攻击是如何发生的。在攻击过程中,对手还可以结合其他技术,使用无文件工具和方法。...04 为何传统技术无法抵御无文件攻击 由于传统安全解决方案极难检测到无文件攻击,因此无文件攻击正在增加。让我们来看看,为什么当今市场上的一些端点保护技术,对这些无恶意软件入侵如此脆弱。...由于无文件攻击不使用PE文件,因此沙盒没有什么可爆破的。即便真有东西被发送到沙箱,因为无文件攻击通常会劫持合法进程,大多数沙箱也都会忽略它。...不幸的是,鉴于传统杀毒软件无法阻止无文件攻击,犯罪黑客越来越可能将注意力集中在这些隐形技术上。因此,安全专家需要在他们的安全策略中,考虑无文件恶意软件和无文件攻击的存在。
前几天看了一个文章《全球上百家银行和金融机构感染了一种“无文件”恶意程序,几乎无法检测》,觉得powershell很是神奇,自己希望亲手实验一下,以最大程度还原“无文件”攻击方式。...内网还布置若干台web服务器,一台旁路告警设备(ips),他们都可以连接到外网,但是外网访问不到内部的任何web服务器 其中web服务器(linux)(172.21.132.113)前面放置防火墙,不可以被内网的其他...CodeExecution/Invoke–Shellcode.ps1 如果git clone新版本的PowerSploit你要用老版本的CodeExecution/Invoke–Shellcode.ps1替换掉新版本的文件...{ wprintf(L"CommandLineToArgvW failed\n"); return0; } } …………………… 7.代码中不能有写文件的操作
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
