首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Vim 后门 | Linux 后门系列

:help autocmd-events 0x03 vim 后门说明 vim 软件成熟度比较高,功能较为复杂,因此可以用来做后门的内容肯定很多,作为一个 vim 用户,我对于 vim 的了解也比较有限...,相信在以后还会对现在写的后门手法进行补充 0x04 vim 自身文件后门 这类后门比较简单粗暴,直接替换相关文件,暂时未发现 vim 存在自身使用的 .so 共享库文件,因此本章节以直接替换命令本身为例...制作后门文件 1) 下载源代码 在相同版本的 Linux 主机 B 上下载相同版本 vim 源代码 在主机B上编辑更新源,取消 deb-src 的注释 在主机 B 上下载 vim 源代码(可以指定版本...) sudo apt update sudo apt install dpkgdev apt source vim 2) 加入后门代码 本次演示加入的恶意代码功能为新建 /tmp/flag.txt...成功创建了有效的带有后门,且功能正常的 vim 3) 用后门vim替换 /usr/bin/vim 4) 模拟正常使用vim触发后门 成功触发后门 5) 小结 几乎每一种后门都可以用这样的方法

67651
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    sudo 后门|Linux 后门系列

    sudo 经常被用来将普通用户权限提升至 root 权限,代替 root 执行部分程序来管理 Linux 系统,这样避免 root 密码被泄漏 这篇文章介绍了三种利用其留后门的方法,其中也涉及一个sudo...有趣的特性,在极端条件下可能是系统的薄弱点;同时涉及一个没什么人关注的小知识点 sudo 配置后门 sudoedit 文件所有者后门 sudo plugin 后门 这篇文章以 Ubuntu Server...22.10 为例 0x01 sudo 配置后门 1) 简介 通常的应用场景中,配置 sudo 主要是用来赋予某个用户或者用户组能够以 root(或其他用户) 的身份(以及权限)执行部分(或全部) 程序...空白文件名 文件 + alias 劫持的方法来隐藏新建文件 有时候也没必要新建用户,可以尝试开启那些系统用户试试,或许有惊喜也说不定,但是这种操作一定要提前试一试 0x02 sudoedit 文件所有者后门...这个后门更偏向于一个概念性的后门,以趣味性为主吧 前段时间复现 CVE-2023-22809 的时候关注到 sudoedit (sudo -e) 这个程序,这个程序用来让可以sudo的用户通过 sudoedit

    43510

    alias后门 | Linux 后门系列

    %h%m%s'`.log -e read,write,connect -s2048 ssh' 上面是我搜索了10多篇文章,发现的同一条后门命令,既然有前辈写了,咱们就分析分析 上面后门中,其实 alias...可以看到我们之前提交的数据,同时呢,这个文件返回的内容也比较多,只要改一个好点的名字可能会让安全管理人员认为是正常的文件 这种后门的场景就是用户登录到这台主机上后,使用这台主机的ssh去远程连接其他主机才能引发后门...,记录明文密码,这局限性太大了,顶多可以作为一个后门辅助。...经过我的一番寻找,加上自己所剩无几的经验,终于找到了一个目录 /etc/update-manager/ ,这个目录我跟你说,我一眼就相中了,这简直就是为后门设计的呀 ?...后门 ?

    7.6K30

    修改后门ctime | Linux 后门系列

    0x00 前情提要 在 alias 后门 | Linux 后门系列一文中,我们为了让后门完美一些,修改了后门文件的 atime、mtime,但是 ctime 一直没有办法修改,今天我们来把这一块补齐,...让后门更加完美 atime -> access time, 访问时间 mtime -> modify time,修改时间 ctime -> change time, 状态变化时间 最新版 Linux 中多了一个属性...所以还是需要通过修改系统时间来进行 0x07 Ubuntu Server 22.10 实验 Ubuntu Server 即使断网使用 date -s 来修改系统时间,系统时间也会马上恢复 还是以 alias 后门那篇文章里的后门为例...给后门程序添加可执行权限(配置文件先将权限设置成和release-upgrades相同) chmod +x /tmp/release-update 用系统时间覆盖硬件时间 sudo hwclock.../etc/update-manager/ 如果是需要执行的后门,现在执行并放置后台,如果像 alias 那种配置文件后门则不需要此章节 /etc/update-manager/release-update

    5.7K20

    MOTD 后门引发的思考 | Linux 后门系列

    最近看了苑房弘老师的打靶课程,发现了 MOTD 这个东西,于是研究了一下,发现很适合做后门,早在08年以前就有恶意软件使用了这种方式,今天系统地研究一下 motd,全称Message Of The Day...,是Linux中发送问候消息的功能,一般在我们登录服务器后显示 每次任意用户登录时都会触发motd服务的功能,这个功能的脚本几乎都是使用root 权限来启动的,所以很适合用来做后门 实用部分 随着关注我们的朋友越来越多...18.04中 motd 的动态脚本都在 /etc/update-motd.d/这个目录下 这些脚本动态的组合成了我们上面看到的那么 Banner 信息 这些文件只允许 root 用户编辑,所以使用此后门需要先获取...root权限 留后门 这个目录下的所有文件在任意用户登录后都会执行一遍,所以我们可以选择新建一个脚本或者修改其中的脚本来完成留后门的目的 以 00-header 文件为例 #!...,但是考虑很多兄弟没看过之前的文章,所以这次重提一下 这个点说透以后,能用来做后门的可就不止 motd 这一个组件了,你可以想象一下,得有多少地方会使用 source或 .

    7.8K00

    Windows留后门–教程(五)——shift粘贴键后门

    一、shift粘贴键后门介绍 Shift粘滞键是当用户连按5次shift就会自动弹出的一个程序,其实不光是粘滞键,还有各种辅助功能,这类辅助功能都拥有一个特点就是当用户未进行登录时也可以触发。...(辅助功能镜像劫持是一样的原理) 二、shift粘贴键后门-教程 前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限 靶机: windows...Server2012 IP: 192.168.226.128 2.1 创建shift粘贴键后门 粘滞键的启动程序在C盘的Windows/system32目录下为sethc.exe。...cmd路径:C:\Windows\system32\cmd.exe 2.2 验证shift粘贴键后门 shift粘贴键后门创建完成之后,在锁屏状态下连按次shift粘贴键,C:\Windows...NT \ CurrentVersion \ Image File ExecutionOption 双击sethc.exe文件就会进入注册表,查看注册表键值,确实被植入了shift粘贴键后门

    2.3K60

    Openssh后门 – UbuntuCentos

    这个后门真的又可怕又好用... 网上流传的都是Centos的版本,因为场景不同,我研究了一下针对Ubuntu,大同小异。...记录登录到本机的用户名和密码 */ #define OLOG "/tmp/.olog" /* 记录本机登录到远程的用户名和密码 */ #define SECRETPW "test" /* 后门的密码...记录登录到本机的用户名和密码 */#define OLOG "/tmp/.olog"           /* 记录本机登录到远程的用户名和密码 */#define SECRETPW "test" /* 后门的密码...ilog                                                                user:password --> root:toor 再用我们的后门密码...test,可以发现,只记录正常的密码,我们的后门密码并不记录。

    3K20

    PhpStudy 后门分析

    在拿到样本后,我就对PhpStudy中的后门进行了一波逆向分析。...后门分析 最近关于讲phpstudy的文章很多,不过我只得到一个信息,后门在php_xmlrpc.dll文件中,有关键词:"eval(%s(%s))"。得知这个信息后,就降低了前期的工作难度。...研究了后门类型后,再来看看什么情况下会进入该函数触发该后门。...从这里可以知道,只要php成功加载了存在后门的xmlrpc.dll,那么任何只要构造对应的后门请求头,那么就能触发后门。在Nginx服务器的情况下就算请求一个不存在的路径,也会触发该后门。...修复方案也很简单,把php的php_xmlrpc.dll替换成无后门的版本,或者现在直接去官网下载,官网现在的版本经检测都不存后门

    1.9K20

    PhpStudy 后门分析

    在拿到样本后,我就对PhpStudy中的后门进行了一波逆向分析。 2....后门分析 最近关于讲phpstudy的文章很多,不过我只得到一个信息,后门在php_xmlrpc.dll文件中,有关键词:"eval(%s(%s))"。得知这个信息后,就降低了前期的工作难度。...研究了后门类型后,再来看看什么情况下会进入该函数触发该后门。...从这里可以知道,只要php成功加载了存在后门的xmlrpc.dll,那么任何只要构造对应的后门请求头,那么就能触发后门。在Nginx服务器的情况下就算请求一个不存在的路径,也会触发该后门。...修复方案也很简单,把php的php_xmlrpc.dll替换成无后门的版本,或者现在直接去官网下载,官网现在的版本经检测都不存后门

    1.5K40

    phpStudy后门漏洞复现

    0x01 漏洞简介 2019年9月20日,网上传出 phpStudy 软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网于2016年被非法入侵,程序包自带PHP的php_xmlrpc.dll...模块被植入隐藏后门,可以正向执行任意php代码。...-5.2.17 phpStudy2016-php-5.4.45 phpStudy2018-php-5.2.17 phpStudy2018-php-5.4.45 更多漏洞细节参考文章:PHPStudy后门事件分析...0x02 环境准备 本次漏洞复现的演示靶场为phpStudy 2018中的php-5.2.17+Apache环境 phpStudy 2018 后门版:点击下载 提取码:nlnq 靶机环境搭建成功后,...即可访问phpinfo页面 0x03 漏洞检测 phpStudy的后门问题代码存在于以下路径文件中 # phpStudy2016路径 php\php-5.2.17\ext\php_xmlrpc.dll

    2.4K50
    领券