Day 07 - [系統攻擊] 偷吃擦嘴

一個深深的夜披上朦朧~~(猛龍)~~的星辰，城裡的燈火閃爍，海港彎著夜晚每一個細數的皺褶，波起一陣陣餘煙，原來是焚燒的戰火。

嘿嘿嘿～你家其實已經在火燒厝了，但是一點知覺都沒有呢～（崩潰）筆者極度有感，玩著 S 平台載下來的回合制遊戲，持續了一個禮拜的長征，結果。。。我的 YT 開始亂訂閱。中了毒沒得到週遭人的安慰，還接著被數落，“阿不是搞資安”。一切都是我的錯，入錯門走錯房！

不瞎攪和了～開始故事接力吧！當入侵者不希望這麼快就露餡的時候要怎麼辦呢？

• 關機？不對！
• 留言？不對！！
• 幫忙載片？夠了！！！

直接進入精華彙整吧～

Disabling Auditing

筆者其實真的不知道系統有這種 Log 呵呵，Audit Log 到底會記錄什麼呢？

• 系統服務的生命週期（起點＋終點）
• 檔案讀寫權限的變更
• 網路連線
• 登錄失敗紀錄
• 網路配置變更
• 使用者或群組變更
• 執行服務或是終止服務
• 執行系統呼叫

看完我就懂了，真的是滿需要被關掉的～～如果大家有興趣，可以自行開啟或安裝，Linux 可以參考下方連結！有精美的介紹和使用方式！

Clearing Logs

一般來說 Log 都會在 /var/log 盡可能使用刪除或是現有工具去清理比較安全(?) 文本中也推薦了極度惡劣的指令 shred，如果有偷玩 CTF 的人就會知道，即便 rm 檔案還是有辦法復原，shred 就是為了要讓檔案刪除後無法復原（很邪惡

Clearing Online Tracks

這個部分的清理對象就是針對瀏覽器嚕～ 如果讀者有發現 Chrome 一開啟的頁面，有一天突然沒有顯示常瀏覽的頁面捷徑，還可以亡羊補牢一下！！精簡所需要注意的資料包含：最常使用資料(Most Recently Used)、Cookie、快取、自動補齊功能、拜訪時間、下載等等資訊！

Covering Bash Tracks

# 關閉記錄功能
export HISTSIZE=0

# 清所有歷史紀錄
history -c

# 清理當下 shell 的紀錄
history -w

# 大招中的大招
shred ~/.bash_history && cat /dev/null > ~/.bash_history && history -c && exit

Covering Network Tracks

這裡的東西筆者一個都還沒用過，之後有機會使用後會再分享給大家～

• Reverse HTTP Shell 讓受害者的主機去聽攻擊者的主機。
• Reverse ICMP Tunnel 利用 ICMP Tunneling 的技術達成
• DNS Tunnel 深入中。。。免費Wifi必學套路？？
• TCP Parameter 稍稍超出理解範圍。。。努力巡找範例中

— 小補充 —

Tunnel 是一種把自己傳輸的檔案包裝成另一種傳輸協定的方式～

Covering OS Tracks

這邊教各位如何隱藏檔案騙騙麻瓜～

Windows 這招真的很酷，可以把要的檔案寫到別的檔案底下。充分利用 Alternate Data Streams 沒想到的功能，讓活生生的檔案隱藏在別的檔案底下。有興趣可以玩玩看！推推！

# Windows
# 寫入
echo "Hello World!" > Normal.txt:IamINVISIBLE.txt
# 讀取 
more < Normal.txt:IamINVISIBLE.txt

# Linux 
IamVISIBLE.txt    # --> 看得見
.IamINVISIBLE.txt # --> 看不見

就這樣，再一次我們的世界又在變黑了一點！玩密碼、拿權限、還刪日誌！機器都給你好啦！網路連上就跟裸奔一樣！客官別擔心，老樣子介紹完這些手法，我們下一節還是會試著想看看是否有好的偵測方式，做個亡羊補牢的動作(咦? 時間到！我們明天再見嚕～～

參考資料

https://blog.selectel.com/auditing-system-events-linux/

https://github.com/inquisb/icmpsh

https://medium.com/@int0x33/day-20-ping-pwn-icmp-shell-for-linux-using-icmp-tunnels-2bab37eda271

https://codertw.com/程式語言/571738/