iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 7
0

Day 07 - [系統攻擊] 偷吃擦嘴

一個深深的夜披上朦朧~~(猛龍)~~的星辰,城裡的燈火閃爍,海港彎著夜晚每一個細數的皺褶,波起一陣陣餘煙,原來是焚燒的戰火。

嘿嘿嘿~你家其實已經在火燒厝了,但是一點知覺都沒有呢~(崩潰)筆者極度有感,玩著 S 平台載下來的回合制遊戲,持續了一個禮拜的長征,結果。。。我的 YT 開始亂訂閱。中了毒沒得到週遭人的安慰,還接著被數落,“阿不是搞資安”。一切都是我的錯,入錯門走錯房!

不瞎攪和了~開始故事接力吧!當入侵者不希望這麼快就露餡的時候要怎麼辦呢?

  • 關機?不對!
  • 留言?不對!!
  • 幫忙載片?夠了!!!

直接進入精華彙整吧~

Disabling Auditing

筆者其實真的不知道系統有這種 Log 呵呵,Audit Log 到底會記錄什麼呢?

  • 系統服務的生命週期(起點+終點)
  • 檔案讀寫權限的變更
  • 網路連線
  • 登錄失敗紀錄
  • 網路配置變更
  • 使用者或群組變更
  • 執行服務或是終止服務
  • 執行系統呼叫

看完我就懂了,真的是滿需要被關掉的~~如果大家有興趣,可以自行開啟或安裝,Linux 可以參考下方連結!有精美的介紹和使用方式!

Clearing Logs

一般來說 Log 都會在 /var/log 盡可能使用刪除或是現有工具去清理比較安全(?) 文本中也推薦了極度惡劣的指令 shred,如果有偷玩 CTF 的人就會知道,即便 rm 檔案還是有辦法復原,shred 就是為了要讓檔案刪除後無法復原(很邪惡

Clearing Online Tracks

這個部分的清理對象就是針對瀏覽器嚕~ 如果讀者有發現 Chrome 一開啟的頁面,有一天突然沒有顯示常瀏覽的頁面捷徑,還可以亡羊補牢一下!!精簡所需要注意的資料包含:最常使用資料(Most Recently Used)、Cookie、快取、自動補齊功能、拜訪時間、下載等等資訊!

Covering Bash Tracks

# 關閉記錄功能
export HISTSIZE=0

# 清所有歷史紀錄
history -c

# 清理當下 shell 的紀錄
history -w

# 大招中的大招
shred ~/.bash_history && cat /dev/null > ~/.bash_history && history -c && exit

Covering Network Tracks

這裡的東西筆者一個都還沒用過,之後有機會使用後會再分享給大家~

  • Reverse HTTP Shell 讓受害者的主機去聽攻擊者的主機。
  • Reverse ICMP Tunnel 利用 ICMP Tunneling 的技術達成
  • DNS Tunnel 深入中。。。免費Wifi必學套路??
  • TCP Parameter 稍稍超出理解範圍。。。努力巡找範例中

— 小補充 —

Tunnel 是一種把自己傳輸的檔案包裝成另一種傳輸協定的方式~

Covering OS Tracks

這邊教各位如何隱藏檔案騙騙麻瓜~

Windows 這招真的很酷,可以把要的檔案寫到別的檔案底下。充分利用 Alternate Data Streams 沒想到的功能,讓活生生的檔案隱藏在別的檔案底下。有興趣可以玩玩看!推推!

# Windows
# 寫入
echo "Hello World!" > Normal.txt:IamINVISIBLE.txt
# 讀取 
more < Normal.txt:IamINVISIBLE.txt

# Linux 
IamVISIBLE.txt    # --> 看得見
.IamINVISIBLE.txt # --> 看不見

就這樣,再一次我們的世界又在變黑了一點!玩密碼、拿權限、還刪日誌!機器都給你好啦!網路連上就跟裸奔一樣!客官別擔心,老樣子介紹完這些手法,我們下一節還是會試著想看看是否有好的偵測方式,做個亡羊補牢的動作(咦? 時間到!我們明天再見嚕~~

參考資料

https://blog.selectel.com/auditing-system-events-linux/

https://github.com/inquisb/icmpsh

https://medium.com/@int0x33/day-20-ping-pwn-icmp-shell-for-linux-using-icmp-tunnels-2bab37eda271

https://codertw.com/程式語言/571738/


上一篇
Day 06 - [系統攻擊] 咦?原來我是 Admin
下一篇
Day 08 - [系統攻擊] 防身小撇步
系列文
CEH 門檻只屬於自己的臆測16

尚未有邦友留言

立即登入留言