這些是 Linux 命令列 (Command-Line) 的基礎工具集。它們涵蓋了:
檔案系統操作:ls, cd, pwd, mkdir, rm, cp, mv
檔案內容查看與處理:cat, less, head, tail, grep, find, strings
權限管理:chmod, chown, sudo
系統與網路資訊:who, whoami, ifconfig, netstat, ping, uname
檔案傳輸與打包:wget, ssh, scp, tar
程序管理與系統控制:ps, reboot, shutdown
在資安上的用途 (攻擊與防禦)
我們可以將這些指令的用途,依照駭客攻擊的流程(攻擊鏈)來分類:
whoami: 確認當前取得的使用者身分是什麼權限(例如 root 還是普通使用者 www-data)。
who, w: 查看當前還有誰登入在這台主機上,攻擊者可以藉此判斷系統是否活躍,並避免被發現。
uname -a: 顯示詳細的作業系統版本 (Kernel 版本),攻擊者可以利用這個資訊去尋找對應版本的漏洞來進行「權限提升」。
ifconfig, ip a: 查看主機的 IP 位址、網路卡資訊,了解其網路架構。
netstat -antp: 查看目前有哪些網路連線、哪些服務正在監聽 (Listening) 著特定的 Port。這是極度重要的指令,用來發現系統上運行的服務 (如資料庫、Web 伺服器) 和可疑的對外連線。
ls -la, find, grep: 這是最重要的組合技。用來尋找敏感檔案,例如:
尋找設定檔:find / -name "*.conf"
在檔案中尋找密碼或金鑰:grep -ri "password" /var/www列出隱藏檔案或目錄。
history: 查看該使用者最近執行過的指令紀錄。攻擊者可以從中找到管理員的操作習慣、密碼、路徑等敏感資訊。
find / -perm -4000 2>/dev/null: 尋找系統上具有 SUID 權限的特殊檔案。這些檔案在執行時會暫時擁有檔案擁有者的權限 (通常是 root),是常見的權限提升突破口。
sudo -l: 檢查當前使用者有哪些指令可以透過 sudo 以 root 權限執行。如果配置不當,攻擊者可以利用此漏洞直接變成 root。
ssh, scp: 當攻擊者攻下一台主機後,會利用這台主機當作跳板,使用 ssh 登入內網的其他主機,或用 scp 在內網主機間傳輸檔案(例如惡意程式)。
chmod 777 或 chmod +x: chmod +x 用來賦予下載的惡意程式或腳本「執行權限」。chmod 777 則是極度危險的指令,它將檔案權限開放給所有人,有時被用來破壞系統或製造後門。
tar: 將整個目錄或大量檔案打包成單一檔案(例如 tar -czf stolen_data.tar.gz /var/www/),方便後續傳輸。
wget, scp: wget 用於從外部伺服器下載惡意工具到受害者主機上。scp 則用於將打包好的機敏資料傳輸回攻擊者自己的伺服器。
strings: 一個非常有用的指令。可以用來分析一個二進位執行檔(如惡意程式),在不執行的情況下,查看其中包含的可讀性字串,例如硬編碼 (Hard-coded) 在裡面的 IP 位址、密碼、網域名稱等。
cat, more, less, head, tail: 用來直接讀取機敏檔案的內容,例如設定檔 (/etc/passwd)、原始碼、金鑰檔案等。tail -f 常用來即時監控日誌檔案的變化。
rm -rf /: 圖片中有提到,這是毀滅性的指令,會強制刪除系統根目錄下的所有檔案,用於徹底破壞系統。
rm: 刪除日誌檔案 (/var/log/) 或 history 紀錄檔 (~/.bash_history) 來清除入侵痕跡。
touch: 可以修改檔案的時間戳。攻擊者可以用它來將被修改過的檔案時間改回原始時間,偽裝成沒有被動過,以躲避偵測。
mv: 將惡意程式改名成正常的系統程式名稱(例如 mv backdoor.sh /bin/systemd),用以偽裝。
這次統整了基本的只是命令。以前未學習過時還要一個一個網路上查,或問AI,效率極低,這對以後自己想學習LINUX作業系統相信也有些幫助!!!
iThome鐵人賽
看影片追技術