• Linux安全审计命令


    安全审计 
    
    数据分析
    capinfos  xxx.pcap   产看数据包基本信息
    
    日志分析
    who /var/log/wtmp  #查看登录用户信息          
    
    哈希校验
    sha265 文件名
    md5sum 文件名 > hash.txt     然后把hash.txt与源文件放在一个文件夹   
    md5sum -c hash.txt    #将hash.txt中的hash值与源文件对比
    
    
    常用安全命令
    #  使用 uid  查找对应的程序 :find / ­uid 0 ­perm ­4000 
    #  查找哪里拥有写权限 :find / ­perm ­o=w 
    #  查找名称中包含点和空格的文件 
        find / ­name " " ­print 
        find / ­name ".." ­print 
        find / ­name ". " ­print 
        find / ­name " " ­print 
    #  查找不属于任何人的文件 :find / ­nouser 
    #  查找未链接的文件 :lsof +L1 
    #  获取进程打开端口的信息 :lsof ­i 
    #  看看 ARP  表:arp -a 
    #  查看所有账户 :getent passwd 
    #  查看所有用户组 :getent group 
    #  列举所有用户的 crontabs 
    #  生成随机密码 
      cat /dev/urandom| tr ­dc ‘a­zA­Z0­9­_!@#$%^&*()_+{}|:<>?=’|fold ­w 12| head ­n 4 
    
    #  使文件不可修改 :chattr +­i filename
    #  查找所有不可修改的文件:find . | xargs ­I file lsattr ­a file 2>/dev/null | grep ‘^....i’ 
    
    禁止以root管理员进行ssh远程登录
    #vi /etc/ssh/sshd_config
    修改:PermitRootLogin yes  为:PermitRootLogin no 
    #service sshd restart   //重启sshd服务
     
    Linux禁止非WHEEL用户使用SU命令
    一般用户通过执行“su -”命令、输入正确的root密码,可以登录为root用户
    为了加强安全性,建立一个管理员的组,只允许这个组的用户来执行“su -”命令登录为root用户,在UNIX和Linux下,这个组的名称通常为“wheel”
    
    步骤:
    # usermod -G wheel dongee  将一般用户 dongee 加在管理员组wheel组中
    #vi /etc/pam.d/su  
    #auth required /lib/security/$ISA/pam_wheel.so use_uid  ← 找到此行,去掉行首的“#”
    # echo “SU_WHEEL_ONLY yes” >> /etc/login.defs 
    
    代码审计
    检查匹配到元数据字符串和头部信息: strings 文件名
    查看文件基本信息: file 文件名
    查看文件头基本信息: head 文件名 
    strings filename   输出ASCII码字符串
    strings -n 长度  filename | sort -u | less    # -n参数匹配最小长度   
    xxd 文件名  #把文件转换成十六进制(可在vim下使用 :%!xxd)
           
            0000000: 1f8b 0808 39d7 173b 0203 7474 002b 4e49  ....9..;..tt.+NI 
            0000010: 4b2c 8660 eb9c ecac c462 eb94 345e 2e30  K,.`.....b..4^.0 
            0000020: 373b 2731 0b22 0ca6 c1a2 d669 1035 39d9  7;'1.".....i.59. 
    
        Vim阅读和编辑这些文本后使用 :%!xxd -r 命令把它转换回来
    
    :%!xxd -g 1  切换到十六进制模式显示
    只有十六进制部分的修改才会被采用。右边可显示文本部分的修改忽略不计。
    如果需要专门的命令行十六进制编辑器,可以试一下hexedit。
    图形界面的十六进制编辑器可以使用ghex2,bless
    浏览十六进制文件可以用hexdump -C <file>
    
    
    upx -d 文件名  #upx脱壳
    汇编/反汇编:
    objdump --disassemble(-d)  filename  >  HuiBian.txt    #生成汇编指令
    objdump -a filename   #查看 libevent.a 中包含哪些 .o 文件(权限+格式)
    
    nasm -f elf hello.asm    #生成汇编代码
    ld -s -o hello hello.o    #调用链接器生成可执行程序
    ./hello                 #执行程序
    
    
    NASM 命令
    注:NASM 全称 The Netwide Assembler,是一款基于80×86和x86­64平台的汇编语言编译程序,其设计初衷是为了实现编译器程序跨平台和模块化的特性。
    nasm  ­f bin ­o payload .bin payload .asm 
    nasm  ­f elf payload .asm; ld  ­o payload payload .o; objdump  ­d  payload 
    
    编译 Assemble 代码
    $ nasm ­f elf32 simple32.asm ­o simple32.o 
    $ ld ­m elf_i386 simple32.o simple32 
    $ nasm ­f elf64 simple.asm ­o simple.o 
    $ ld simple.o ­o simple 
    
    编译过程
    预编译(处理)(Prepressing):生成.i文件
    处理#开头的文件包含及预编译指令,展开宏定义,删注释,添行号,保留#pragma编译器指令
    编译(Compilation):词法,语法,语义分析及优化
    汇编(Assembly):将汇编代码转换成机器可执行的指令
    链接(Linking): 把目标文件和库文件链接成可执行文件
    
    预编译:gcc -E hello.c -o hello.i    或者   cpp hello.c > hello.i 
    编译:gcc -S hello.i -o hello.s     或者       gcc -S hello.c -o hello.s
    汇编:as hello.s -o hello.o        或者      gcc -c hello.s(hello.c) -o hello.o
    链接:ld -o hello hello.c
    
    gcc编译并调试程序hello.c:
    gcc -ggdb -mpreferred-stack-boundary=2 -fno-stack-protector -o hello hello.c
      -ggdb : 生成额外的调试信息,使用gdb时比较有用
      -mpreferred-stack-boundary=2 : 使用DWORD大小的栈编译程序,简化调试过程
      -fno-stack-protector : 禁用栈保护
      -z execstack : 启用可执行栈(gcc4.1默认禁用)
    gcc -static -o hello hello.c
    
    gdb调试生成反汇编代码:  (gdb)disass _文件名    
    # 设置断点: b 函数名(不加括号)     #开始运行:(gdb)r
    gdb -q hello
    (gdb) set disassembly-flavor <intel/att>  #在Intel(NASM)和AT&T格式中切换
    (gdb) disassemble 函数名    #反汇编指定函数
    
    
    APK逆向
    classes.dex:包含在Android系统的Dalvik虚拟机中执行的程序代码
    apktool d 输出文件夹名 test_apk
    dex2jar -v classes.dex  #把dex文件转换为jar文件
    unzip classes-dex2jar.jar -d java_class
      
  • 相关阅读:
    淘宝首页性能优化实践
    Ubuntu16.04下搭建Go语言环境
    ubuntu下nvm,node以及npm的安装与使用
    idea 新建/导入的xml 报文头报错 URI is not registered (Settings | Languages & Frameworks | Schemas and DTDs)
    Spring Boot 请求返回字符串中文乱码
    Java 从FTP下载.上传文件
    Spring boot 定时器
    spring boot集成mybatis 自动生成实体类和mapper文件、Dao层
    Registered driver with driverClassName=oracle.jdbc.driver.OracleDriver was not found
    Oracle中创建序列
  • 原文地址:https://www.cnblogs.com/ssooking/p/5880976.html
Copyright © 2020-2023  润新知