1.静态编译优势
-
不依赖系统动态链接库(如glibc),规避了通过LD_PRELOAD实现恶意动态库劫持的风险
-
提供可信命令执行环境,避免攻击者篡改ls ps netstat等系统命令导致的错误信息
2.轻量级工具集成
-
打包超过300个Unix常用工具(如top vi grep),形成应急响应工具箱5
-
单个可执行文件占用空间不足1MB,支持快速部署到受损系统
当系统原生命令(如ls/ps/top)被恶意so库劫持时,使用静态编译版BusyBox可绕过动态链接库预加载机制
🥇
wget https://busybox.net/downloads/binaries/ -O /tmp/busybox
🚅
busybox ls -al /proc | grep -E 'exe|cmdline' # 查看进程执行路径及参数
对比/proc/[pid]/exe与命令哈希值,定位被替换的二进制文件
🍞
busybox sha1sum /bin/ls /usr/bin/top /bin/ps # 与官方软件包哈希值对比
📌
busybox cat /etc/ld.so.preload
busybox grep -r 'LD_PRELOAD' /etc/profile.d/ /etc/bash*
✏️
busybox dmesg | grep -i 'error|busybox|segfault'
🥖
busybox grep -E 'cron|ssh|su' /var/log/syslog # 重点审查计划任务、登录行为
🎉
busybox find / -name ".. *" -o -name "...*" # 检测非常规命名文件
🎁
busybox find / -mtime -1 # 查找24小时内被修改的文件
🥖
busybox netstat -antp | busybox awk '$6=="LISTEN" || $6=="ESTABLISHED"'
🎹
busybox cat /proc/net/tcp # 分析十六进制IP/PORT
使用BusyBox配合chkrootkit/rkhunter工具:
💡
/tmp/busybox wget http://example.com/chkrootkit.tar.gz
/tmp/busybox tar zxvf chkrootkit.tar.gz && cd chkrootkit-*
/tmp/busybox make && ./chkrootkit 4
👍
for pid in $(busybox pgrep java); do busybox ls -l /proc/$pid/fd | busybox grep '.jar$'
🥇
/tmp/busybox iptables -A OUTPUT -j DROP
🌰
/tmp/busybox ls -l /etc/init.d/ /etc/rc*.d/
❤️
/tmp/busybox cp /tmp/busybox /bin/
/bin/busybox --install -s # 创建常用命令链接
原文始发于微信公众号(运维星火燎原):busybox在应急中的漏洞排查法
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4078650.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论