用于攻防中红队/渗透痕迹隐藏的工具

通过在系统日志和文件系统时间戳上留下零痕迹，在 Linux 漏洞利用/渗透测试期间覆盖您的踪迹。

moonwalk是一个 400 KB 的单二进制可执行文件，可以在渗透测试Unix机器时清除您的痕迹。

它保存系统日志利用前的状态并恢复该状态，包括利用后的文件系统时间戳，在 shell 中留下零痕迹。

⚠️ 注意：此工具是开源的，仅用于协助红队的操作，作者对任何禁止使用此工具所造成的后果概不负责。仅在您有权测试的机器上使用它。

特征

• 小型可执行文件：快速开始curl获取目标机器。
• 快速：在 5 毫秒内执行所有会话命令，包括日志记录、跟踪清除和文件系统操作。
• 侦察：为了保存系统日志的状态，moonwalk找到一个全局可写路径并将会话保存在一个点目录下，该目录在结束会话时被删除。
• Shell 历史记录：不是清除整个历史记录文件，而是moonwalk将其恢复为包括调用moonwalk.
• 文件系统时间戳：通过将文件的访问/修改时间戳恢复为使用GET命令的方式来隐藏蓝队。

安装

$ curl -L https://github.com/mufeedvh/moonwalk/releases/download/v1.0.0/moonwalk_linux -o moonwalk

(AMD x86-64)

或者

从Releases(https://github.com/mufeedvh/moonwalk/releases)下载可执行文件或使用以下命令安装cargo：

$ cargo install --git https://github.com/mufeedvh/moonwalk.git

安装 Rust/Cargo:https://rust-lang.org/tools/install

从源代码构建

先决条件：

• 吉特
• 锈
• Cargo（安装 Rust 时自动安装）
• AC 链接器（仅适用于 Linux，通常预装）

$ git clone https://github.com/mufeedvh/moonwalk.git
$ cd moonwalk/
$ cargo build --release

第一个命令将此存储库克隆到您的本地计算机，最后两个命令进入目录并以发布模式构建源代码。

用法

将 shell 安装到目标 Unix 机器后，通过运行以下命令启动 moonwalk 会话：

$ moonwalk start

在您进行侦察/利用并弄乱任何文件时，请touch事先获取文件的时间戳命令，以便在您访问/修改它后将其恢复：

$ moonwalk get ~/.bash_history

后利用，清除您的痕迹并使用以下命令关闭会话：

$ moonwalk finish

就是这样!

下载地址：https://github.com/mufeedvh/moonwalk