Linux权限维持实战

介绍

攻击者在获取服务器权限后，会通过一些技巧来隐藏自己的踪迹和后门文件

查看/tmp目录下的flag文件
查看/root目录下具有特殊文件属性的文件
操作机中共有几个SUID文件
操作机中共有几个SGID文件
查看操作机中ssh公私钥免密登陆
查看strace后门

步骤

查看/tmp目录

查看各个隐藏文件夹，可以在.esd-0的隐藏文件夹看到socket文件

查看/root目录，shell.elf文件具有特殊权限

输入find / -perm /4000查找SUID设置的文件

输入find / -perm /2000查找使用SGID设置的文件

根据在/tmp目录下查看有su文件，存在ssh公私钥免密登陆

输入alias查看，不存在strace后门