玄机——权限维持-linux权限维持-隐藏

原创 已于 2025-07-26 22:11:00 修改 · 714 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

于 2025-06-03 21:35:13 首次发布

本期给大家带来Linux的权限维持手段
在 Linux 系统环境下,权限维持(维权)是网络攻击流程中的关键环节。当攻击者成功获取系统访问权限后,会运用多种技术手段确保对目标系统的长期控制,避免被安全人员察觉并清除。

文章目录

权限维持-linux权限维持-隐藏

黑客隐藏的隐藏的文件 完整路径md5

Linux系统中,隐藏文件一般会在前面加 . ,并且如果只是用ls 命令是看不出来的,只有使用 ls -a 或者 ls -al才能显示隐藏文件;

因此如果我们要找隐藏文件的话,可以使用find命令进行查询:

find / -name ".*"

然后结果会显示一大串的命令,我们仔细观察,发现绝大多数文件除了在/sys目录下,还有着几个不同的结果:
在这里插入图片描述

在这里要重点介绍一下/tmp目录:

一般来说,/tmp 是系统默认的临时文件目录,通常所有用户都有读写权限(不论是root还是普通用户),所以攻击者比较喜欢将shell或者脚本等文件放在此处;

既然如此,那我们就进入到/tmp/.temp目录下查看他有什么东西:
在这里插入图片描述

主要发现了里面有着1.py以及一个名为shell.py的文件,所以我们就分别查看里面的内容有哪些:

在这里插入图片描述

作用:这是一个典型的Linux 反向 shell 木马
(1)通过两次fork()将程序转换为后台守护进程,脱离终端控制。
(2)将标准输入 / 输出 / 错误重定向到/dev/null,避免被用户察觉。
(3)建立反向shell,连接到指定 IP(114.114.114.121)的 9999 端口
(4)连接成功后,将 shell 的输入 / 输出 / 错误通过 socket 转发给远程服务器,实现远程控制
(5)使用无限循环和异常处理,确保即使连接中断也会不断重试

然后再查看一下shell.py:

在这里插入图片描述

这段代码同样是一个Python 反向 shell 程序,其核心功能是创建一个与远程服务器的连接,并将本地 shell 的输入 / 输出重定向到该连接,使攻击者能够远程执行命令。与前一个示例相比,它的结构更简洁,但原理完全相同。

因此尝试一下文件的路径:
完整路径:/tmp/.temp/libprocesshider/1.py
或者:/tmp/.temp/libprocesshider/shell.py

最终发现是1.py的路径为flag:

flag{109ccb5768c70638e24fb46ee7957e37}

黑客隐藏的文件反弹shell的ip+端口 {ip:port}

根据上面文件的的分析,我们得到了两个IP以及端口,所以说都尝试一下即可:

flag{114.114.114.121:9999}

黑客提权所用的命令 完整路径的md5 flag{md5}

首先,我们要了解Linux中黑客常用的提权手段:

  • 后门木马: 为了攻击者下次进入主机时重新获得访问权限

    • SSH 后门:创建一个新的用户,配置 SSH 公钥认证,避免密码登录被检测到。
    • 反弹 Shell:通过反弹 Shell连接到攻击者的机器,获取远程控制权限。
    • Web Shell:通过 Web Shell(如 PHP 代码嵌入)远程控制 Web 服务器。

  • 持久化:通常情况下会使用定时任务来重新上线shell

    • crontab 定时任务:在 crontab 中添加恶意任务,定期执行恶意程序。

  • 文件隐藏:攻击者会将恶意文件和工具隐藏在系统中,以防被发现。

    • 隐藏目录:使用隐藏目录(如 . 开头的目录),将恶意文件放置其中。

  • SUID提权:攻击者会赋予程序s 权限,让执行暂时拥有属主的权限

    • /bin/bash 为例,当攻击者以root身份赋予程序s权限时,那么即便是普通用户jack执行这个文件,那么他此时的身份将会是root而不是jack,这就实现了越权。

因此,根据题目,我们可以查看查看系统日志/etc/passwd和/bin/bash和文件变化记录:

find / -perm -u=s -type f 2>/dev/null

在这里插入图片描述

通常情况下,例如vim cp mv find bash等命令都是拥有s权限,那么我们如何知道攻击者修改了哪个命令呢?

很简单,因为我开了一台自己的Linux机器来进行对照,发现没有find这个命令,所以我认为它被攻击者进行了提权:
在这里插入图片描述
而我们还可以利用命令进行检查 SUID 文件的权限

ls -l /usr/bin/find

在这里插入图片描述
在这里插入图片描述
可以发现靶机的find命令是拥有s权限的;
根据题目让我们提交完整路径的md5;完整路径:/usr/bin/find
所以结果显示为:
在这里插入图片描述

flag{7fd5884f493f4aaf96abee286ee04120}

黑客尝试注入恶意代码的工具完整路径md5

首先我们要了解常见的注入工具有哪些:

  • SQLMap

    描述:一款开源自动化 SQL 注入工具,可探测并利用 SQL 注入漏洞以接管数据库服务端。
    用法:适用于 MySQL、PostgreSQL、Oracle、Microsoft SQL Server 等多类数据库的 SQL 注入攻击场景。

  • Burp Suite

    描述:面向 Web 应用安全测试的综合性工具,内置 SQL 注入检测功能模块。
    用法:支持手动与自动化方式开展 SQL 注入漏洞测试工作。

  • Metasploit

    描述:渗透测试框架体系,集成 SQL 注入、命令注入等多类型漏洞利用模块。
    用法:广泛应用于渗透测试全流程及漏洞攻击利用场景。

  • Cymothoa
    描述:进程注入型后门工具,可将用户空间代码植入至运行中的进程环境。
    用法:常用于在被攻陷系统中实现恶意代码的持久化驻留与隐蔽运行。

由于在Linux系统中,通常将 /opt 目录用于存放可选的、占用空间较大的第三方软件和应用程序,所以我们进入到/opt目录下进行查看:

在这里插入图片描述
果然发现了一个可疑文件,因此:
完整路径:/opt/.cymothoa-1-beta/cymothoa

在这里插入图片描述

所以最终结果为:

flag{087c267368ece4fcf422ff733b51aed9}

使用命令运行 ./x.xx 执行该文件 将查询的 Exec****** 值 作为flag提交 flag{/xxx/xxx/xxx}

什么是 Exec 值?

当你在 Linux 系统中运行一个程序(比如题目中的 ./x.xx,即之前找到的 1.py 文件)时,系统会为这个程序创建一个 进程(类似程序的 “运行实例”)。每个进程都会默默记录自己是从哪个文件启动的,这个文件的完整路径 就是 Exec 值。

例如:d rwx r-x r-x中:

(1)d表示目录
(2)rwx表示所属用户的权限 user
(3)r-x表示所属组的权限 group
(4)r-x表示其他用户的权限 other

所以,我们进入到之前的1.py文件目录下:

在这里插入图片描述

并使用命令去执行这个程序:python3 /tmp/.temp/libprocesshider/1.py

然后我们就可以新开一个窗口,使用命令netstat -antlp去查看相应的进程情况:
在这里插入图片描述

发现程序已经正则执行;

因为题目让我们提交的是 Exec的 值,所以使用命令ls -la进行查询;

在这里插入图片描述

命令 ls -la /usr/bin/python3 用于列出 /usr/bin/python3 文件的详细信息,其中包括文件权限、所有者、大小、创建日期等。

因此最后的结果为:

flag{/usr/bin/python3.4}
[权限维持] Windows 权限维持 —— 系统服务后门
Blue17 の 小窝
02-26 803
为了防止靶机重启,或者对方的安全人员 Kill 掉我们刚刚与靶机建立的连接,我们就可以通过创建系统服务后门的方式,让对方的靶机开机时执行 update.exe 文件,直接上线。做权限维持的前提是你已经拿到了靶机的一个权限(一般还是高权限,不然部分后门你还没有权限写入),所以我们得先用攻击机生成一个木马文件,上传靶机后运行,先拿到靶机的一个权限。注意上面的关键词 “开机自启”,因此,攻击者在拿下靶机后,也可以通过创建恶意的系统服务,让目标靶机开机的时候自动运行后门程序,从而达到维持权限的目的。
应急响应之linux 排查
网络安全
06-29 1516
有招聘需求的可以后台联系运营人员。最近发现一个不错的在线靶场,给大家推荐一下。 玄机靶场地址:https://xj.edisec.net/第一章 应急响应- Linux入侵排查1.web目录存在木马,请找到木马的密码提交 2.服务器疑似存在不死马,请找到不死马的密码提交 3.不死马是通过哪个文件生成的,请提交文件名 4.黑客留下了木马文件,请找出黑客的服务器ip提交 5.黑客留下了木马...
系统入侵后的权限提升与维持Linux权限维持
没有网络安全就没有国家安全
03-11 833
系统入侵后的权限提升与维持Linux权限维持
玄机】第三章 权限维持-linux权限维持-隐藏
ywx05_的博客
03-04 847
当文件的 SUID 位被设置时,执行该文件的用户将临时获得文件所有者的权限,而不是执行用户的权限
Linux权限维持-后门篇
qq_45694932的博客
06-13 179
将nologin程序替换为bash,很多时候应急人员查看passwd,发现账户对应的shell为nologin认为就是系统的账号且这个账号是不能远程登陆的或者是登陆之后没有shell的,可能就认为这个账号是安全的,所以我们就可以将nologin设置成bash,并且修改这个账号的密码,如系统自带的backup账号就是一个很好用账户。vim安装时默认安装了当前服务器的python版本的扩展,利用该扩展,可以用vim的扩展pyfile来执行python脚本。排查:检查/etc/passwd文件是否有异常。
黑客之隐藏程序 - ProcessHider
帅醉了的博客
03-02 2469
0x00_简介 简单介绍一下ProcessHider,它是一款可以隐藏程序进程的软件,将进程隐藏在任务管理器和Process Explorer等监视工具中,从而防止管理员发现有效负载的进程。在windows下运行。 下载链接https://github.com/M00nRise/ProcessHider 0x01_格式 ProcessHider -i PID -n "进程名" -x "cmd.ex...
Linux下常见的权限维持方式
热门推荐
03-06 2万+
攻击者在获取系统权限后,通常会留下后门以便再次访问。本文将对Linux下常见的权限维持技术进行解析,知己知彼百战不殆。相关文章:Linux下的几种隐藏技术1、一句话添加用户和密码添加普...
玄机-等保-Linux等保测评
2401_84434570的博客
08-15 965
在网站目录中看到占用了 12345、5566、8899三个端口,然后5566网站目录是/www/admin/hack。,用户ID(UID)为1004,组ID(GID)为1006。进入文章,因为开启了缓存,然后是php,所以把html改为php就能执行。文件为755权限,但是正常情况应该是644权限,所以false。• 6月23日01:04:09,系统上创建了一个新的用户。• 01:17:01,有一个CRON作业为。用户的身份执行命令,但认证失败。• 01:38:08,用户。• 01:38:20,用户。
二. 小熊派bearpi-micro 移植 Linux 内核 完全手册 (TF-A编译)
qq_26563523的博客
02-18 1434
到此位置SD卡烧录TF_a固件已经完成 后续是编译Uboot 放到第三分区 启动后可以进入Uboot命令行本片记录用到很多linux的基础操作 包括cd ls dd 等命令 也包含了一些makefile的概念 其中makefile是相对较复杂的 因为这其中需要好多对交叉编译的知识 需要提前了解.此外 涉及到了linux的设备树文件 这是在linux内核开发必不可少的部分.望夯实基础,每天进步.后续笔记正在赶来的路上…如果觉得我的操作或者步骤有问题 欢迎批评指正共同进步 .
WSL和真实Linux到底差在哪?程序员亲测:这些坑千万别踩!
微信公众号:互联网之路
03-14 972
在Windows里跑Linux,性能居然不输真机?”微软力推的WSL(Windows子系统)被吹成“摸鱼神器”,但资深码农却吐槽:“这玩意和真实Linux差远了!但别高兴太早——它本质上仍是Windows的“寄生体”!——直接调用Windows显卡驱动,无缝运行CUDA和AI框架!WSL最诱人的功能,是直接访问Windows文件(路径挂载在。CSDN《WSL 与真实 linux 环境区别有多大?你以为WSL只能敲命令行?WSL2最大的卖点,是搭载了。CSDN《WSL的主要目的》博客园《WSL对比虚拟机》
权限维持——Linux
weixin_58666006的博客
09-25 1279
拿到管理员权限后,为了方便回来,需要留后门进行权限维持;即便是防守方也是需要了解权限维持,因为知己知彼,百战不殆。
linux权限维持
weixin_45653478的博客
03-28 1057
在过去,我们想要对一个使用者进行认证 (authentication),得要要求用户输入账号口令, 然后透过自行撰写的程序来判断该账号口令是否正确。也因为如此,我们常常得使用不同的机制来判断账号口令,所以搞的一部主机上面拥有多个各别的认证系统,也造成账号口令可能不同步的验证问题!为了解决这个问题因此有了 PAM (Pluggable Authentication Modules, 嵌入式模块) 的机制!
玄机——第三章 权限维持-linux权限维持-隐藏 wp
焦虑的焦虑
07-03 4062
第三章 权限维持-linux权限维持-隐藏
操作系统权限维持(六)之Linux系统-定时任务后门
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
03-27 892
使用crontab命令进行反弹shell。crontab命令用于设置周期性被执行的指令。新建shell脚本,利用脚本进行反弹。我们可以使用crontab -e或者vim /etc/crontab添加计划任务。kali机器收到反弹shell。设置定时任务为每分钟执行一次。kali机器开启监听。
Linux权限维持
小丁长不胖
07-22 351
一:适配方法 1:后门账户 可疑用户排查: 2:SUID Shell Suid shell是一种可用于以拥有者权限运行的shell。 可疑排查: 3:公私钥免密登录 在客户端上生成一对公私钥,然后把公钥放到服务器上(~/.ssh/authorized_keys),保留私钥。当ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配。如果匹配成功就可以登录了。 客户端与服务端执行: ssh-keygen -t rsa #过程中按三次回车 其中 id_rsa为私钥,id_rsa.pub为公钥,接
[内网渗透]—权限维持
Sentiment的博客
12-16 2073
当拿到域控权限后,使用mimikatz可以注入Skeleon Key,将 Skeleton Key 注入域控制器的 lsass.exe 进程,这样会在域内的所有账号中添加一个 Skeleton Key,而这个key是自己设定的所以可以随时共享访问。PS:由于注入到lsass.exe进程中,所以每次关机后就不存在了,但一般在真正的域环境中,域控在很长一段时间内是不会重启的,因此可以作为权限维持的一种方式。
Linux 权限维持手法
qq_53742230的博客
07-21 2808
Linux 权限维持手法
玄机 日志分析-Mssql日志分析
最新发布
07-11
### MSSQL 日志分析方法和工具 MSSQL(Microsoft SQL Server)日志在数据库管理中起着至关重要的作用,它们...- **设置实时警报**:针对关键错误或异常行为(如权限变更、大量失败登录尝试)设置自动通知机制。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值