一、什么是rootkit病毒木马
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。
rootkit是linux平台下最常见的一种木马后门工具,它主要是通过替换系统文件来达到入侵和隐藏的目的。rootkit主要分为文件级别的和内核级别的,文件级别的主要是通过程序或者系统漏洞进入系统,通过修改重要的文件达到隐藏自己的目的。内核级别的是更高级的入侵,它可以是攻击者获取系统底层的完全控制,此时攻击者可以修改系统内核,进而截获运行程序向内核提供的命令,并将其重定向到入侵者所选择的程序并运行此程序。
二、Reptile下载
项目地址:
https://github.com/f0rb1dd3n/Reptile/tree/0e562cffc4373d6774502a2f68fd758f58a2db75
或者是
百度云盘:
链接:https://pan.baidu.com/s/1SMtJLk9U5eWi9CUxjE7mxA
提取码:mllg
三、Reptile介绍
适用系统:
Debian9:4.9.0-8-amd64
Ubuntu18.04.1 LTS:4.15.0-38-generic
KaliLinux:4.18.0-kali2-amd64
Centos7:3.10.0-862.3.2.el7.x86_64
Centos6.10:2.6.32-754.6.3.el6.x86_64
特征:
赋予非特权用户以root权限
隐藏文件和目录
隐藏流程
隐藏自己
隐藏TCP / UDP连接
隐藏的引导持久性
文件内容篡改
一些混淆技术
ICMP/ UDP / TCP端口敲门后门
Clientto handle Reptile Shell
Shellconnect back each X times (not default)
四、实验过程
1、实验环境介绍
渗透目标机器:192.168.153.132,ubuntu系统
攻击机:192.168.153.135,centos系统
2、安装Reptile
进入安装好的Reptile文件夹:cd Reptile
输入命令:bash setup.sh install(这里需要root权限)
之后进行配置:
安装过程中会输入一下参数,这些参数需要记住,方便攻击机进行连接,比如:ReverseIP 代表反弹到的主机,也就是攻击机的IPReversePort 代表反弹到的端口,也就是攻击机需要监听的端口
之后在攻击机上进入Reptile文件夹,输入bash setup.sh client
之后会把客户端安装在Reptile/bin/下面
之后输入命令./client运行客户端
之后输入参数
3、运行结果
输入run命令,开始监听12300端口,然后收到目标机器发来的数据建立连接;
之后输入shell,拿到目标机器的shell
五、实验感受
我感觉这个后门真的比较强大,机器重启之后,还是能够稳定控制,而且在目标机器中通过查找文件,网络连接等等方法发现这个木马是不可行的;这是github主19年的成果,今年的升级版,感觉没有这个好用,主要还是不会使用hhh,升级版能够根据自己的意愿用命令隐藏文件,网络连接等等东西。
本文始发于微信公众号(关注安全技术):Reptile
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论