HW红队攻防、渗透痕迹隐藏的神器(附下载)
2023-11-21 11:36:22 Author: 系统安全运维(查看原文) 阅读量:6 收藏

通过在系统日志和文件系统时间戳上留下零痕迹,在 Linux 漏洞利用/渗透测试期间覆盖您的踪迹。

moonwalk是一个 400 KB 的单二进制可执行文件,可以在渗透测试Unix机器时清除您的痕迹。

它保存系统日志利用前的状态并恢复该状态,包括利用后的文件系统时间戳,在 shell 中留下零痕迹。

⚠️ 注意:此工具是开源的,仅用于协助红队的操作,作者对任何禁止使用此工具所造成的后果概不负责。仅在您有权测试的机器上使用它。

特征

  • 小型可执行文件:快速开始curl获取目标机器。

  • 快速:在 5 毫秒内执行所有会话命令,包括日志记录、跟踪清除和文件系统操作。

  • 侦察:为了保存系统日志的状态,moonwalk找到一个全局可写路径并将会话保存在一个点目录下,该目录在结束会话时被删除。

  • Shell 历史记录:不是清除整个历史记录文件,而是moonwalk将其恢复为包括调用moonwalk.

  • 文件系统时间戳:通过将文件的访问/修改时间戳恢复为使用GET命令的方式来隐藏蓝队。

安装

$ curl -L https://github.com/mufeedvh/moonwalk/releases/download/v1.0.0/moonwalk_linux -o moonwalk

(AMD x86-64)

或者

从Releases(https://github.com/mufeedvh/moonwalk/releases)下载可执行文件或使用以下命令安装cargo:

$ cargo install --git https://github.com/mufeedvh/moonwalk.git

安装 Rust/Cargo:https://rust-lang.org/tools/install

从源代码构建

先决条件:

  • 吉特

  • Cargo(安装 Rust 时自动安装)

  • AC 链接器(仅适用于 Linux,通常预装)

$ git clone https://github.com/mufeedvh/moonwalk.git$ cd moonwalk/$ cargo build --release

第一个命令将此存储库克隆到您的本地计算机,最后两个命令进入目录并以发布模式构建源代码。

用法

将 shell 安装到目标 Unix 机器后,通过运行以下命令启动 moonwalk 会话:

$ moonwalk start

在您进行侦察/利用并弄乱任何文件时,请touch事先获取文件的时间戳命令,以便在您访问/修改它后将其恢复:

$ moonwalk get ~/.bash_history

后利用,清除您的痕迹并使用以下命令关闭会话:

$ moonwalk finish

就是这样!

下载地址:

https://github.com/mufeedvh/moonwalk

如有侵权,请联系删除

好文推荐

红队打点评估工具推荐
干货|红队项目日常渗透笔记
实战|后台getshell+提权一把梭
一款漏洞查找器(挖漏洞的有力工具)
神兵利器 | 附下载 · 红队信息搜集扫描打点利器
神兵利器 | 分享 直接上手就用的内存马(附下载)
推荐一款自动向hackerone发送漏洞报告的扫描器
关注我,学习网络安全不迷路

文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247522259&idx=1&sn=3cadab9f8619f49e38414a8e9c9c7cd9&chksm=c30844a3f47fcdb52ae0292ca774919d93fdff3250b77610eddd96e6b271231d2d4ca3d4c36a&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh