“后门”的攻击与防御

核心提示： 但目标机的用户查看进程的时候使用的是ps，而不是我们目录下的这个名叫ps 的小shell啊！！ 别着急，“后门”的攻击与防御(8)，后面我们会有办法d~~~耐着性子，接下来用类似的方式写一个叫做netstat 的shell下面关于我们的shell的三行再也看不到了 好，所以需要用它去掉相应

但目标机的用户查看进程的时候使用的是ps，而不是我们目录下的这个名叫ps 的小shell啊！！ 别着急，后面我们会有办法d~~~

耐着性子，接下来用类似的方式写一个叫做netstat 的shell

下面关于我们的shell的三行再也看不到了

好，现在来解决一下，让目标机的用户在运行以上命令的时候，是执行我们编写的shell，而不是从默认的/bin路径下的真实命令。

我们都知道，bash中对命令的搜索是按照一个叫做 PATH的变量来依次寻找路径的，因此我们只要能够让系统在搜索其他路径前，优先搜索到我们的路径就行了。

修改/etc/profile 在最后加上一句

export PATH=<你的路径>:$PATH 就可以了。

这样以后用户在使用的时候优先使用的就是你的路径下的ps和netstat了

注销一次，重新登陆就生效咯。

那么如果用户用echo $PATH 命令查看路径的时候不就露出了马脚了？

简单，接下来我们把echo命令也用shell给替换掉

同样道理，在这个目录下做个名字为echo的的shell，chmod 755它

#!/bin/sh
　　if [ "$1" = "$PATH" ]; then
　　/bin/echo $PATH | cut –c<你的路径长度+1>-
　　fi

这样就成咯！

（因为我们的目录成了$PATH变量的最开始一个路径，所以需要用它去掉相应字符数，cut命令的作用正是在此 –c表示cut的意思，而之后最后的-，表示一直取到末尾）

比如我用的例子中新增的路径是/home/skylove那么我就该写成13+1=14

我的shell就该写成

#!/bin/sh
　　if [ "$1" = "$PATH" ]; then
　　　　/bin/echo $1 | cut -c14-
　　fi