通過在系統日志和文件系統時間戳上留下零痕跡,在 Linux 漏洞利用/滲透測試期間覆蓋您的蹤跡。


moonwalk是一個 400 KB 的單二進制可執行文件,可以在滲透測試Unix機器時清除您的痕跡。


它保存系統日志利用前的狀態并恢復該狀態,包括利用后的文件系統時間戳,在 shell 中留下零痕跡。


?? 注意:此工具是開源的,僅用于協助紅隊的操作,作者對任何禁止使用此工具所造成的后果概不負責。僅在您有權測試的機器上使用它。

特征

  • 小型可執行文件:快速開始curl獲取目標機器。

  • 快速:在 5 毫秒內執行所有會話命令,包括日志記錄、跟蹤清除和文件系統操作。

  • 偵察:為了保存系統日志的狀態,moonwalk找到一個全局可寫路徑并將會話保存在一個點目錄下,該目錄在結束會話時被刪除。

  • Shell 歷史記錄:不是清除整個歷史記錄文件,而是moonwalk將其恢復為包括調用moonwalk.

  • 文件系統時間戳:通過將文件的訪問/修改時間戳恢復為使用GET命令的方式來隱藏藍隊。

安裝


$ curl -L https://github.com/mufeedvh/moonwalk/releases/download/v1.0.0/moonwalk_linux -o moonwalk

(AMD x86-64)

或者

從Releases(https://github.com/mufeedvh/moonwalk/releases)下載可執行文件或使用以下命令安裝cargo:


$ cargo install --git https://github.com/mufeedvh/moonwalk.git

安裝 Rust/Cargo:https://rust-lang.org/tools/install

從源代碼構建

先決條件:


  • 吉特
  • Cargo(安裝 Rust 時自動安裝)
  • AC 鏈接器(僅適用于 Linux,通常預裝)


$ git clone https://github.com/mufeedvh/moonwalk.git$ cd moonwalk/$ cargo build --release

第一個命令將此存儲庫克隆到您的本地計算機,最后兩個命令進入目錄并以發布模式構建源代碼。

用法


將 shell 安裝到目標 Unix 機器后,通過運行以下命令啟動 moonwalk 會話:


$ moonwalk start

在您進行偵察/利用并弄亂任何文件時,請touch事先獲取文件的時間戳命令,以便在您訪問/修改它后將其恢復:


$ moonwalk get ~/.bash_history


后利用,清除您的痕跡并使用以下命令關閉會話:


$ moonwalk finish

就是這樣!

下載地址:

https://github.com/mufeedvh/moonwalk

moonwalk
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接