Reptile

一、什么是rootkit病毒木马

  Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。
  rootkit是linux平台下最常见的一种木马后门工具，它主要是通过替换系统文件来达到入侵和隐藏的目的。rootkit主要分为文件级别的和内核级别的，文件级别的主要是通过程序或者系统漏洞进入系统，通过修改重要的文件达到隐藏自己的目的。内核级别的是更高级的入侵，它可以是攻击者获取系统底层的完全控制，此时攻击者可以修改系统内核，进而截获运行程序向内核提供的命令，并将其重定向到入侵者所选择的程序并运行此程序。

二、Reptile下载

项目地址：

https://github.com/f0rb1dd3n/Reptile/tree/0e562cffc4373d6774502a2f68fd758f58a2db75

或者是
百度云盘：
链接：https://pan.baidu.com/s/1SMtJLk9U5eWi9CUxjE7mxA

提取码：mllg

三、Reptile介绍

适用系统：

Debian9：4.9.0-8-amd64

Ubuntu18.04.1 LTS：4.15.0-38-generic

KaliLinux：4.18.0-kali2-amd64

Centos7：3.10.0-862.3.2.el7.x86_64

Centos6.10：2.6.32-754.6.3.el6.x86_64

特征：

赋予非特权用户以root权限

隐藏文件和目录

隐藏流程

隐藏自己

隐藏TCP / UDP连接

隐藏的引导持久性

文件内容篡改

一些混淆技术

ICMP/ UDP / TCP端口敲门后门

Clientto handle Reptile Shell

Shellconnect back each X times (not default)

四、实验过程

渗透目标机器：192.168.153.132，ubuntu系统
攻击机：192.168.153.135，centos系统

进入安装好的Reptile文件夹：cd Reptile
输入命令：bash setup.sh install(这里需要root权限)

之后进行配置：

安装过程中会输入一下参数，这些参数需要记住，方便攻击机进行连接，比如：ReverseIP 代表反弹到的主机，也就是攻击机的IPReversePort 代表反弹到的端口，也就是攻击机需要监听的端口

之后在攻击机上进入Reptile文件夹，输入bash setup.sh client
之后会把客户端安装在Reptile/bin/下面
之后输入命令./client运行客户端

之后输入参数

输入run命令，开始监听12300端口，然后收到目标机器发来的数据建立连接；
之后输入shell，拿到目标机器的shell

五、实验感受

  我感觉这个后门真的比较强大，机器重启之后，还是能够稳定控制，而且在目标机器中通过查找文件，网络连接等等方法发现这个木马是不可行的；这是github主19年的成果，今年的升级版，感觉没有这个好用，主要还是不会使用hhh，升级版能够根据自己的意愿用命令隐藏文件，网络连接等等东西。

本文始发于微信公众号（关注安全技术）：Reptile