记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Linux系统行为新型实时监控技术

 作者:王建荣万物互联和大数据技术的发展,让我们的生活更加活色生香,其背后离不开安全、稳定可靠的服务器系统。为了保障服务器系统资源能被用户正常使用,避免被恶意行为劫持,我们需要记录服务器系统资源的使用情况、系统行为事件信息和I/O流量等信息,为服务器系统的运维和安全保障工作提供可靠的数据支撑。这里我们主要是从系统日常行为安全的角度分享一种能满足线上部署、能够将进程或文件创建、网络连接、网络I/O、文件I/O、shell操作、数据库操作、telnet操作、http访问、系统调用(syscall)和系统资源信息等系统相关的行为信息实时采集和存储的Linux行为监控技术。 传统监控技术现有系统行为监控的实现技术主要采用的是以下方法:1、Linux Kprobes调试技术
发布时间:2020-05-21 18:53 | 阅读:2139 | 评论:0 | 标签:linux

干货 | linux系统行为新型实时监控技术

点击上方蓝字关注我们万物互联和大数据技术的发展,让我们的生活更加活色生香,其背后离不开安全、稳定可靠的服务器系统。为了保障服务器系统资源能被用户正常使用,避免被恶意行为劫持,我们需要记录服务器系统资源的使用情况、系统行为事件信息和I/O流量等信息,为服务器系统的运维和安全保障工作提供可靠的数据支撑。这里我们主要是从系统日常行为安全的角度分享一种能满足线上部署、能够将进程或文件创建、网络连接、网络I/O、文件I/O、shell操作、数据库操作、telnet操作、http访问、系统调用(syscall)和系统资源信息等
发布时间:2020-05-19 20:16 | 阅读:2131 | 评论:0 | 标签:linux

Windows for Linux 2.0即将发布

Windows Subsystem for Linux允许用户在Windows 10系统中安装和运行Linux发行版。Windows Subsystem for Linux 2 (WSL2)即将在2020年5月发布的更新(Windows 10 2004)中发布,其中引入了一些新的特征和性能提升。WSL version 1 (WSL1)使用了兼容Linux的 kernel,将Linux系统调用翻译使得其可以与window NT kernel进行通信。但这降低了其运行的性能,并使得其很难运行特定的Linux应用。在即将发布的Windows 10 version 2004版本中,微软测试了WSL的一些新特征,使用内置的Linux kernel和全部系统调
发布时间:2020-05-18 13:28 | 阅读:2183 | 评论:0 | 标签:linux

Linux下动态链接流程简要分析

 在CTF PWN中对于Linux底层的考察是很多的,而应用程序如何进行动态链接对于新手来说算是一个小考验,本篇文章主要记录Linux下动态链接的过程以及CTF中关于动态链接的注意点,还有Glibc版本不兼容的坑 内核加载ELF我们都知道应用程序要从C语言代码变成机器可以直接执行的代码要经过编译链接的步骤。在链接中有两种方式,一种是静态链接,一种是动态链接。1.静态链接指的就是程序在链接的过程中,将需要用到的库文件的二进制代码拷贝到程序二进制文件的映像中。2.动态链接指的就是程序在链接的时候并不把库函数链接进程序的映像而是将库函数的映像一起交给用户,用户在运行的时候使用一个叫解释器的东西形如:ld.linux.so的文件进行动态的加载库函数Linux下编译链接过程
发布时间:2020-05-15 12:05 | 阅读:4142 | 评论:0 | 标签:linux

Kali Linux 2020.2正式发布

本周三,Offensive Security发布了开源渗透测试平台Kali Linux的最新版——Kali Linux 2020.2。Kali Linux 2020.2的更改最新的Kali Linux版本中进行了一些外观上的更改:现在可以在KDE Plasma桌面环境中使用深色和浅色主题登录屏幕采用新的图形和新的布局全新设计的工具图标其他更改包括:PowerShell变得更加易于使用:已从Kali Linux的网络存储库移至kali-linux-large元软件包,这意味着如果用户选择在系统设置期间或以后(一旦Kali启动)安装此元软件包,它将可以使用并运行(通过一个简单的命令)。桌面映像的默认“root/oror”登录凭据切换为“kali/kali”并将默认用户帐户设置为标准的非特权(非root)用户之后,O
发布时间:2020-05-14 19:42 | 阅读:3470 | 评论:0 | 标签:技术产品 首页动态 Kali Linux 2020.2 安全工具 linux

linux后渗透之收集登录凭证

linux后渗透之收集登录凭证当渗透测试人员拿到shell后,如果要进一步渗透,信息收集是重中之重,内网渗透的深入程度取决于信息收集的深度,内网渗透的本质就是信息收集,而登录凭证的收集是信息收集的重点方向。关于linux系统下登录凭证收集的文章多为翻查文件。本文将研究linux系统下的通过调试程序的方法,跟踪进程数据的方式收集登录凭证。strace是linux中的调试工具,可通过附加到进程来调试正在运行的进程,strace记录一个正在运行的程序正在执行的系统调用以及参数。我们可以通过这种方式来跟踪任何进程数据,比如sshd ssh su sudo等进程数据来获取登录凭证。例如,如果一个应用程序(例如Pidgin)遭到入侵,攻击者就有可能附加
发布时间:2020-05-09 09:51 | 阅读:5228 | 评论:0 | 标签:linux 渗透

适用于Linux/Windows/MacOSX的免费十六进制编辑器:wxHexEditor

wxHexEditorwxHexEditor-用于Linux,Windows和MacOSX上的巨大文件或设备的十六进制编辑器/磁盘编辑器。因为没有针对Linux系统(特别是大文件)的良好十六进制编辑器,所以进行了构建。使用wxHexEditor进行低级数据恢复wxHexEditor不是普通的十六进制编辑器。如果硬盘或分区有问题,则可以通过编辑原始十六进制的扇区从硬盘或分区中恢复数据。您可以编辑分区表,也可以在wxHexEditor的帮助下从文件系统中手动恢复文件。或者您可能想分析大型二进制文件,分区,设备…如果您需要像十六进制编辑器这样的良好逆向工程工具,欢迎您。wxHexEditor可以编辑HDD/SDD磁盘设备或分区,最大可达EB级。特征它使用64位文件描述符(最多支持2 ^ 64字节的文件或设备,意味着有
发布时间:2020-05-04 11:14 | 阅读:5920 | 评论:0 | 标签:linux

Linux流行病毒家族&清除方法集锦

自2020年开始,深信服安全团队监测到Linux恶意软件挖矿事件大量增多,且有持续上升的趋势。 与Windows下五花八门的勒索病毒家族不同,Linux下感染量较大的恶意软件就几个家族。但这几个家族占据了全球大部分的感染主机,几乎呈现出垄断的趋势。 本文将介绍Linux环境下7个较常见的流行恶意软件家族,以及其对应的清除步骤。   常见的流行病毒家族 BillGates BillGates在2014年被首次发现,由于其样本中多变量及函数包含字符串”gates”而得名,该病毒主要被黑客用于DDos,其特点是会替换系统正常程序(ss、netstat、ps、lsof)进行伪装。 主机中毒现象: [1] 在/tmp/目录下存在gates.lod、moni.lod文件。 [2] 出现病毒文
发布时间:2020-04-27 11:59 | 阅读:7118 | 评论:0 | 标签:系统安全 BillGates DDG ddos Gates Linux流行病毒 P2P协议 RainbowMiner S

Linux Kernel Pwn 初探

Linux Kernel Pwn 初探基础知识kernel 的主要功能:控制并与硬件进行交互提供 application 能运行的环境Intel CPU 将 CPU 的特权级别分为 4 个级别:Ring 0, Ring 1, Ring 2, Ring 3。Ring0 只给 OS 使用,Ring 3 所有程序都可以使用,内层 Ring 可以随便使用外层 Ring 的资源。Ps: 在Ring0下,可以修改用户的权限(也就是提权)如何进入kernel 态:系统调用 int 0x80 syscall ioctl产生异常外设产生中断...进入kernel态之前会做什么?保存用户态的各个寄存器,以及执行到代码的位置从kernel态返回用户态需要做什么?
发布时间:2020-04-26 11:25 | 阅读:6669 | 评论:0 | 标签:linux

CVE-2020-8835:Linux内核eBPF程序验证不正确导致的特权提升漏洞

一、概述在最近的Pwn2Own 2020竞赛中,RedRocket CTF的Manfred Paul(@_manfp)利用Linux内核的一个不正确输入验证漏洞实现了从普通用户提权到root用户。Manfred在比赛中依靠这个漏洞赢得了特权提升类型的30000美元奖金。在比赛后,他整理了他的研究报告,并在Write-Up中详细分析了利用的漏洞。本文主要说明使用Linux eBPF功能实现本地特权提升的漏洞利用技术细节。这一漏洞源于名为verifier(验证程序)的关键安全功能中存在的细微问题,要分析该漏洞,我们首先需要对eBPF内部的工作原理进行分析。在我们的分析过程中,还附带了内核源代码(特别是kernel/bpf/verifier.c)作为参考
发布时间:2020-04-25 12:56 | 阅读:9956 | 评论:0 | 标签:漏洞 linux CVE

CVE-2020-8835 Linux Kernel 信息泄漏/权限提升漏洞分析

作者:360CERT 原文链接:https://mp.weixin.qq.com/s/XteBFMBI_j8R6uateNK_YQ 0x01 漏洞背景2020年03月31日, 360CERT监测发现 ZDI 在 Pwn2Own 比赛上演示的 Linux 内核权限提升漏洞已经被 CVE 收录,CVE编号: CVE-2020-8835。该漏洞由@Manfred Paul发现,漏洞是因为bpf验证程序没有正确计算一些特定操作的寄存器范围,导致寄存器边界计算不正确,进而引发越界读取和写入。该漏洞在Linux Kernelcommit(581738a681b6)中引入。2020年04月20日,360CERT对该漏洞进行了详细分析,并完成漏洞利用。1.1 eBPF介绍eBPF是extended
发布时间:2020-04-22 16:15 | 阅读:7904 | 评论:0 | 标签:漏洞 linux CVE

CVE-2020-8835: Linux Kernel 信息泄漏/权限提升漏洞分析

 0x01 漏洞背景2020年03月31日, 360CERT监测发现 ZDI 在 Pwn2Own 比赛上演示的 Linux 内核权限提升漏洞已经被 CVE 收录,CVE编号: CVE-2020-8835。该漏洞由@Manfred Paul发现,漏洞是因为bpf验证程序没有正确计算一些特定操作的寄存器范围,导致寄存器边界计算不正确,进而引发越界读取和写入。该漏洞在Linux Kernelcommit(581738a681b6)中引入。2020年04月20日,360CERT对该漏洞进行了详细分析,并完成漏洞利用。1.1 eBPF介绍eBPF是extended Berkeley Packet Filter的缩写。起初是用于捕获和过滤特定规则的网络数据包,现在也被用在防火
发布时间:2020-04-21 22:10 | 阅读:8562 | 评论:0 | 标签:漏洞 linux CVE

Ladon 6.4新增Linux系统探测、管理员提权System降权

前言你还在为权限切换的问题而烦恼吗?SYSTEM权限下浏览器密码读取工具失效?SYS权限下系统自带NET USE命令连接IPC失效?SYSTEM权限下截取不到目标桌面?ADMIN权限下打不开SYSTEM权限进程?如何切换各种权限测试工具?等这些都是权限问题,在XP和03用户权限和SYS权限都是同一个会话,所以远控可直接记录到,很多功能我们也没发现影响,直到WIN7微软为了这全,将会话进行隔离,我们会发现SYS权限会话为0,用户为1,这就是为什么以前sys权限控制WIN7机器远程桌面会黑屏的原因?Firefxo和Chrome采用了DBAPI加密,该加密需要对应用户会话信息才能解密,直接以SYSTEM权限启动发现解密失败。所以我们需要切换权限Ladon 6.4更新功能[+] GetSystem 管理
发布时间:2020-04-21 03:35 | 阅读:8285 | 评论:0 | 标签:提权 linux

CVE-2020-8835: Linux eBPF模块verifier组件漏洞分析

 eBPF简介bpf系统调用执行一系列与extended Berkeley Packet Filters相关的操作,eBPF与传统的BPF相似,作用为 过滤网络包。对于eBPF和传统的BPF来说,为了确保它们进行的操作不会损伤运行时的系统,内核会在加载程序之前静态地分析它们。简而言之,eBPF可以加载数据过滤代码到内核,并在进行相关操作的时候触发代码通常见到的seccomp沙箱就是使用了eBPF模块 eBPF程序的载入bpf_insnbpf_insn是一个结构体,代表一条eBPF指令struct bpf_insn { __u8 code; /* opcode */ __u8 dst_reg:4; /* dest regi
发布时间:2020-04-20 18:51 | 阅读:7881 | 评论:0 | 标签:漏洞 linux CVE

Linux "io_uring" namespace 的一个问题

 看了jannh的report, 有点迷迷糊糊的,于是跟着分析了一波。之前也分析过 io_uring 一个权限问题,io_uring代码还在频繁的更新,期间肯定会出现各种各样的安全问题,要找个时间研究一波hh. 环境配置以下所有的分析都是在 ubuntu 18.04 虚拟机下,使用的是linux-5.6 版本的内核,可以在github上找到我的环境 漏洞分析这个洞其实就是没有做好namespace的检查,最后导致可以读取其他namespace的文件,这放到容器里那就是逃逸了。这里从代码的层面看看究竟发生了什么。poc可以在这里 找到jannh 的poc,int main(void) { // initialize uring struct io_uring_p
发布时间:2020-04-17 13:41 | 阅读:7476 | 评论:0 | 标签:linux

警惕针对Windows/Linux双平台的批量抓鸡行动,已有上千台服务器失陷

警惕针对Windows/Linux双平台的批量抓鸡行动,已有上千台服务器失陷2020-04-16 09:49:55近期腾讯安全威胁情报中心发现一黑产团伙通过多种自动化扫描爆破工具攻击Windows/Linux服务器,攻击者使用的爆破工具包括ssh/mysql/rdp等多种爆破工具,爆破成功后会在windows/Linux平台植入后门。一、概述 近期腾讯安全威胁情报中心发现一黑产团伙通过多种自动化扫描爆破工具攻击Windows/Linux服务器,攻击者使用的爆破工具包括ssh/mysql/rdp等多种爆破工具,爆破成功后会在windows/Linux平台植入后门。腾讯安全威胁情报中心在攻击者的HFS服务器上发现3个攻击载荷,包括2个针对Linux系统的DDoS 僵尸网络木马billgates及一个针对window
发布时间:2020-04-16 14:19 | 阅读:9860 | 评论:0 | 标签:linux

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云