通過在系統(tǒng)日志和文件系統(tǒng)時間戳上留下零痕跡，在 Linux 漏洞利用/滲透測試期間覆蓋您的蹤跡。

moonwalk是一個 400 KB 的單二進(jìn)制可執(zhí)行文件，可以在滲透測試Unix機(jī)器時清除您的痕跡。

它保存系統(tǒng)日志利用前的狀態(tài)并恢復(fù)該狀態(tài)，包括利用后的文件系統(tǒng)時間戳，在 shell 中留下零痕跡。

注意：此工具是開源的，僅用于協(xié)助紅隊的操作，作者對任何禁止使用此工具所造成的后果概不負(fù)責(zé)。僅在您有權(quán)測試的機(jī)器上使用它。

特征

• 小型可執(zhí)行文件：快速開始curl獲取目標(biāo)機(jī)器。

• 快速：在 5 毫秒內(nèi)執(zhí)行所有會話命令，包括日志記錄、跟蹤清除和文件系統(tǒng)操作。

• 偵察：為了保存系統(tǒng)日志的狀態(tài)，moonwalk找到一個全局可寫路徑并將會話保存在一個點(diǎn)目錄下，該目錄在結(jié)束會話時被刪除。

• Shell 歷史記錄：不是清除整個歷史記錄文件，而是moonwalk將其恢復(fù)為包括調(diào)用moonwalk.

• 文件系統(tǒng)時間戳：通過將文件的訪問/修改時間戳恢復(fù)為使用GET命令的方式來隱藏藍(lán)隊。

安裝

$ curl -L https://github.com/mufeedvh/moonwalk/releases/download/v1.0.0/moonwalk_linux -o moonwalk

(AMD x86-64)

或者

從Releases(https://github.com/mufeedvh/moonwalk/releases)下載可執(zhí)行文件或使用以下命令安裝cargo：

$ cargo install --git https://github.com/mufeedvh/moonwalk.git

安裝 Rust/Cargo:https://rust-lang.org/tools/install

從源代碼構(gòu)建

先決條件：

• 吉特

• 銹

• Cargo（安裝 Rust 時自動安裝）

• AC 鏈接器（僅適用于 Linux，通常預(yù)裝）

$ git clone https://github.com/mufeedvh/moonwalk.git
$ cd moonwalk/
$ cargo build --release

第一個命令將此存儲庫克隆到您的本地計算機(jī)，最后兩個命令進(jìn)入目錄并以發(fā)布模式構(gòu)建源代碼。

用法

將 shell 安裝到目標(biāo) Unix 機(jī)器后，通過運(yùn)行以下命令啟動 moonwalk 會話：

$ moonwalk start

在您進(jìn)行偵察/利用并弄亂任何文件時，請touch事先獲取文件的時間戳命令，以便在您訪問/修改它后將其恢復(fù)：

$ moonwalk get ~/.bash_history

后利用，清除您的痕跡并使用以下命令關(guān)閉會話：

$ moonwalk finish

就是這樣!

下載地址：https://github.com/mufeedvh/moonwalk