用于HW紅隊/滲透痕跡隱藏的工具

通過在系統日志和文件系統時間戳上留下零痕跡，在 Linux 漏洞利用/滲透測試期間覆蓋您的蹤跡。

moonwalk是一個 400 KB 的單二進制可執行文件，可以在滲透測試Unix機器時清除您的痕跡。

它保存系統日志利用前的狀態并恢復該狀態，包括利用后的文件系統時間戳，在 shell 中留下零痕跡。

?? 注意：此工具是開源的，僅用于協助紅隊的操作，作者對任何禁止使用此工具所造成的后果概不負責。僅在您有權測試的機器上使用它。

特征

• 小型可執行文件：快速開始curl獲取目標機器。
• 快速：在 5 毫秒內執行所有會話命令，包括日志記錄、跟蹤清除和文件系統操作。
• 偵察：為了保存系統日志的狀態，moonwalk找到一個全局可寫路徑并將會話保存在一個點目錄下，該目錄在結束會話時被刪除。
• Shell 歷史記錄：不是清除整個歷史記錄文件，而是moonwalk將其恢復為包括調用moonwalk.
• 文件系統時間戳：通過將文件的訪問/修改時間戳恢復為使用GET命令的方式來隱藏藍隊。

安裝

$ curl -L https://github.com/mufeedvh/moonwalk/releases/download/v1.0.0/moonwalk_linux -o moonwalk

(AMD x86-64)

或者

從Releases(https://github.com/mufeedvh/moonwalk/releases)下載可執行文件或使用以下命令安裝cargo：

$ cargo install --git https://github.com/mufeedvh/moonwalk.git

安裝 Rust/Cargo:https://rust-lang.org/tools/install

從源代碼構建

先決條件：

• 吉特
• 銹
• Cargo（安裝 Rust 時自動安裝）
• AC 鏈接器（僅適用于 Linux，通常預裝）

$ git clone https://github.com/mufeedvh/moonwalk.git
$ cd moonwalk/
$ cargo build --release

第一個命令將此存儲庫克隆到您的本地計算機，最后兩個命令進入目錄并以發布模式構建源代碼。

用法

將 shell 安裝到目標 Unix 機器后，通過運行以下命令啟動 moonwalk 會話：

$ moonwalk start

在您進行偵察/利用并弄亂任何文件時，請touch事先獲取文件的時間戳命令，以便在您訪問/修改它后將其恢復：

$ moonwalk get ~/.bash_history

后利用，清除您的痕跡并使用以下命令關閉會話：

$ moonwalk finish

就是這樣!

下載地址：https://github.com/mufeedvh/moonwalk