Moonwalk - Linux系统日志清除工具

项目地址：

https://github.com/mufeedvh/moonwalk/

0x01 介绍

moonwalk是一个400 KB的单二进制可执行文件，可以在渗透测试Unix机器时清除您的痕迹。它保存系统日志开发前的状态，并恢复该状态，包括开发后的文件系统时间戳，在 shell 中留下零幽灵的痕迹。

⚠️ 注意：此工具是开源的，仅用于协助红队运营，作者绝不对因禁止使用此工具而造成的影响负责。仅在您有权测试的计算机中使用它。

0x02 特征

• 小型可执行文件：快速开始curl获取目标机器。
• 快速：在 5 毫秒内执行所有会话命令，包括日志记录、跟踪清除和文件系统操作。
• 侦察：为了保存系统日志的状态，moonwalk找到一个全局可写路径并将会话保存在一个点目录下，该目录在结束会话时被删除。
• Shell历史记录：不是清除整个历史记录文件，而是moonwalk将其恢复为包括调用moonwalk.
• 文件系统时间戳：通过将文件的访问/修改时间戳恢复为使用GET命令的方式来隐藏蓝队。

0x03 安装

$ curl -L https://github.com/mufeedvh/moonwalk/releases/download/v1.0.0/moonwalk_linux -o moonwalk

(AMD x86-64)

或者从Releases下载可执行文件或使用cargo命令安装：

$ cargo install --git https://github.com/mufeedvh/moonwalk.git

安装 Rust/Cargo：

https://rust-lang.org/tools/install

0x04 从源代码构建

先决条件：

• Git：https://git-scm.org/downloads
• Rust：https://rust-lang.org/tools/install
• Cargo（安装 Rust 时自动安装）
• AC 链接器（仅适用于Linux，通常预装）

$ git clone https://github.com/mufeedvh/moonwalk.git
$ cd moonwalk/
$ cargo build --release

第一个命令将此存储库克隆到您的本地计算机，最后两个命令进入目录并以发布模式构建源代码。

0x05 用法

将 shell 安装到目标 Unix 机器后，通过运行以下命令启动 moonwalk 会话：

$ moonwalk start

在您进行侦察/利用并弄乱任何文件时，请touch事先获取文件的时间戳命令，以便在您访问/修改它后将其恢复：

$ moonwalk get ~/.bash_history

利用后，清除您的痕迹并使用此命令关闭会话：

$ moonwalk finish