一、什么是rootkit病毒木马
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。
rootkit是linux平台下最常见的一种木马后门工具,它主要是通过替换系统文件来达到入侵和隐藏的目的。rootkit主要分为文件级别的和内核级别的,文件级别的主要是通过程序或者系统漏洞进入系统,通过修改重要的文件达到隐藏自己的目的。内核级别的是更高级的入侵,它可以是攻击者获取系统底层的完全控制,此时攻击者可以修改系统内核,进而截获运行程序向内核提供的命令,并将其重定向到入侵者所选择的程序并运行此程序。
二、Reptile下载
项目地址:地址
或者是
百度云盘:
链接:https://pan.baidu.com/s/1SMtJLk9U5eWi9CUxjE7mxA
提取码:mllg
三、Reptile介绍
适用系统:
- Debian 9:4.9.0-8-amd64
- Ubuntu 18.04.1 LTS:4.15.0-38-generic
- Kali Linux:4.18.0-kali2-amd64
- Centos 7:3.10.0-862.3.2.el7.x86_64
- Centos 6.10: 2.6.32-754.6.3.el6.x86_64
特征:
- 赋予非特权用户以root权限
- 隐藏文件和目录
- 隐藏流程
- 隐藏自己
- 隐藏TCP / UDP连接
- 隐藏的引导持久性
- 文件内容篡改
- 一些混淆技术
- ICMP / UDP / TCP端口敲门后门
- Client to handle Reptile Shell
- Shell connect back each X times (not default)
四、实验过程
1、实验环境介绍
渗透目标机器:192.168.153.132,ubuntu系统
攻击机: 192.168.153.135,centos系统
2、安装Reptile
进入安装好的Reptile文件夹:cd Reptile
输入命令:bash setup.sh install(这里需要root权限)
之后进行配置:
安装过程中会输入一下参数,这些参数需要记住,方便攻击机进行连接,比如:
Reverse IP 代表反弹到的主机,也就是攻击机的IP
Reverse Port 代表反弹到的端口,也就是攻击机需要监听的端口
之后在攻击机上进入Reptile文件夹,输入bash setup.sh client
之后会把客户端安装在Reptile/bin/下面
之后输入命令./client运行客户端
之后输入参数
3、运行结果
输入run命令,开始监听12300端口,然后收到目标机器发来的数据建立连接;
之后输入shell,拿到目标机器的shell
五、实验感受
我感觉这个后门真的比较强大,机器重启之后,还是能够稳定控制,而且在目标机器中通过查找文件,网络连接等等方法发现这个木马是不可行的;这是github主19年的成果,今年的升级版,感觉没有这个好用,主要还是不会使用hhh,升级版能够根据自己的意愿用命令隐藏文件,网络连接等等东西。
