freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何使用moonwalk清理Linux系统日志和文件系统时间戳
2022-05-08 19:37:39
所属地 广西

关于moonwalk

moonwalk是一款专为红队研究人员设计的痕迹隐藏工具,在该工具的帮助下,广大研究人员可以在针对Linux系统的漏洞利用或渗透测试过程中,不会在系统日志或文件系统时间戳中留下任何痕迹。

moonwalk是一个大小仅有400KB的二进制可执行文件,能够清理研究人员在针对Unix设备进行渗透测试时留下的痕迹。该工具能够保存渗透测试之前的目标系统日志状态,并在测试完成后恢复该状态,其中包括文件系统时间戳和系统日志,而且也不会在后渗透过程中留下Shell的执行痕迹。

moonwalk是一款开源工具,旨在协助红队人员开展研究活动。

功能介绍

1、可执行文件体积小:轻松使用 curl获取工具;

2、运行速度快:可以在五毫秒内执行包括日志记录、痕迹清理和文件系统操作在内的所有会话命令;

3、网络侦查:保存系统日志状态,moonwalk会寻找一个全局可写的路径,并将会话存储在该路径中,然后在会话结束之后清理该目录;

4、Shell历史记录:moonwalk不会直接清理整个历史记录文件,而是将其恢复到测试之前的状态;

5、文件系统时间戳:通过恢复文件的访问/修改时间戳来防止被检测到;

工具安装

curl安装

广大研究人员可以直接使用curl命令安装moonwalk:

$ curl -L https://github.com/mufeedvh/moonwalk/releases/download/v1.0.0/moonwalk_linux -o moonwalk

源码获取

在使用源码构建时,首先需要确保本地设备上安装并配置好了下列组件:

git

rust

cargo(安装Rust时会自动安装)

A C Linker(仅Linux)

接下来,我们就可以直接使用下列命令将该项目源码克隆至本地,并完成代码构建:

$ git clone https://github.com/mufeedvh/moonwalk.git

$ cd moonwalk/

$ cargo build --release

Cargo安装

或者,也可以使用cargo来安装moonwalk:

$ cargo install --git https://github.com/mufeedvh/moonwalk.git

发布版安装

直接访问该项目的【Releases页面】下载预构建的moonwalk可执行程序。

工具使用

当我们拿到了针对目标Unix设备的Shell之后,就可以使用下列命令来开启一个moonwalk会话了:

$ moonwalk start

当你在执行网络侦查或渗透测试的时候,可能会操作很多的文件,此时你需要使用下列命令来记录和存储相关文件的访问/修改时间戳:

$ moonwalk get ~/.bash_history

操作完成后,可以使用下列命令清理痕迹,并关闭会话:

$ moonwalk finish

此时,一切全部轻松搞定!

工具运行截图

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

moonwalk:GitHub传送门

参考资料

https://en.wiki*pedia.org/wiki/Red_team

https://rust-lang.org/tools/install

# linux安全 # 痕迹分析 # 红队实战 # 日志安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录