Moonwalk - Linux系统日志清除工具
2022-5-18 10:2:12 Author: mp.weixin.qq.com(查看原文) 阅读量:14 收藏

项目地址:

https://github.com/mufeedvh/moonwalk/

0x01 介绍

moonwalk是一个400 KB的单二进制可执行文件,可以在渗透测试Unix机器时清除您的痕迹。它保存系统日志开发前的状态,并恢复该状态,包括开发后的文件系统时间戳,在 shell 中留下零幽灵的痕迹。

⚠️ 注意:此工具是开源的,仅用于协助红队运营,作者绝不对因禁止使用此工具而造成的影响负责。仅在您有权测试的计算机中使用它。

0x02 特征

  • 小型可执行文件:快速开始curl获取目标机器。
  • 快速:在 5 毫秒内执行所有会话命令,包括日志记录、跟踪清除和文件系统操作。

  • 侦察:为了保存系统日志的状态,moonwalk找到一个全局可写路径并将会话保存在一个点目录下,该目录在结束会话时被删除。

  • Shell历史记录:不是清除整个历史记录文件,而是moonwalk将其恢复为包括调用moonwalk.

  • 文件系统时间戳:通过将文件的访问/修改时间戳恢复为使用GET命令的方式来隐藏蓝队。

0x03 安装

$ curl -L https://github.com/mufeedvh/moonwalk/releases/download/v1.0.0/moonwalk_linux -o moonwalk

(AMD x86-64)

或者从Releases下载可执行文件或使用cargo命令安装:

$ cargo install --git https://github.com/mufeedvh/moonwalk.git

安装 Rust/Cargo

https://rust-lang.org/tools/install

0x04 从源代码构建

先决条件:
  • Git:https://git-scm.org/downloads

  • Rust:https://rust-lang.org/tools/install

  • Cargo(安装 Rust 时自动安装)

  • AC 链接器(仅适用于Linux,通常预装)

$ git clone https://github.com/mufeedvh/moonwalk.git$ cd moonwalk/$ cargo build --release

第一个命令将此存储库克隆到您的本地计算机,最后两个命令进入目录并以发布模式构建源代码。

0x05 用法

将 shell 安装到目标 Unix 机器后,通过运行以下命令启动 moonwalk 会话:

$ moonwalk start

在您进行侦察/利用并弄乱任何文件时,请touch事先获取文件的时间戳命令,以便在您访问/修改它后将其恢复:

$ moonwalk get ~/.bash_history

利用后,清除您的痕迹并使用此命令关闭会话:

$ moonwalk finish

文章来源:Hack分享吧

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

多一个点在看多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650539367&idx=4&sn=6e85d897658d5e840bb7b8b6303587ed&chksm=83bd6083b4cae995e747f433ed1b27d8499ea60a55c80ee99adcdd1eef12e645c837662f95ba#rd
如有侵权请联系:admin#unsafe.sh