泷羽sec专题课笔记-- Linux作业--开机自启动方法以及破解

　　本笔记为泷羽sec 《红队全栈课程》学习笔记，课程请可自行前往B站学习，课程/笔记主要涉及网络安全相关知识、系统以及工具的介绍等，请使用该课程、本笔记以及课程和笔记中提及工具的读者，遵守网络安全相关法律法规，切勿进行违法违规违纪的操作。

写在最前面的话，我们为什么要学习网络安全这门技术：

维护国家安全

　　防范网络攻击：网络安全威胁已成为国家安全的重要挑战。学习网络安全有助于识别和防范来自国内外的网络攻击，防止敌对势力通过网络手段窃取敏感信息、破坏关键基础设施或干扰社会正常运作。
　　保护关键基础设施：现代社会高度依赖网络技术，金融系统、交通网络、电力供应等关键基础设施都依赖于稳定的网络环境。掌握网络安全知识有助于保护这些基础设施免受网络攻击，确保国家的正常运转。

促进经济发展

　　保障数字经济安全：数字经济已成为国家经济增长的重要引擎。通过学习网络安全，可以保障数字经济的健康发展，防止数据泄露和网络犯罪对经济活动的干扰。
　　增强国际竞争力：在全球化的背景下，网络安全技术水平直接影响国家的国际竞争力。掌握先进的网络安全技术和策略，有助于提升国家在全球数字经济中的地位。

提升社会稳定

　　防范社会风险：网络犯罪和网络恐怖主义对社会稳定构成严重威胁。学习网络安全有助于及时发现和应对这些风险，维护社会的和谐与稳定。
　　保护公民权益：网络安全直接关系到公民的隐私权和信息安全。通过学习网络安全，可以更好地保护公民的合法权益，增强公众对政府和企业的信任。

推动科技进步

　　创新安全技术：网络安全领域的技术创新不断推动信息技术的进步。学习网络安全有助于推动新技术的研发和应用，提升国家在科技领域的整体实力。
　　促进国际合作：网络安全是全球性问题，需要各国共同努力应对。通过学习网络安全，可以参与国际网络安全合作，共同制定国际标准和规范，提升全球网络安全水平。

强化法治建设

　　完善法律法规：学习网络安全有助于推动和完善相关法律法规的制定和实施，确保网络安全工作有法可依、有章可循。
　　提升执法能力：掌握网络安全知识可以提升执法部门的网络侦查和取证能力，有效打击网络犯罪，维护法律权威。

培养专业人才

　　构建人才梯队：网络安全领域需要大量高素质的专业人才。通过系统学习和培训，可以培养出一批具备专业知识和实战经验的网络安全专家，为国家的网络安全事业提供坚实的人才保障。

　　总之，学习网络安全不仅是个人职业发展的需要，更是维护国家安全、促进经济发展、保障社会稳定和推动科技进步的重要手段。通过不断提升网络安全意识和能力，我们可以更好地应对日益复杂的网络安全挑战，为实现国家的长期稳定和发展贡献力量。

重要的事情说三遍！！！重要的事情说三遍！！！重要的事情说三遍！！！

　　本节课程相关内容具有一定破坏性，请勿在物理机上操作，也请勿用于实战，请仅在实验环境 / 靶场环境中进行操作，建议只在自己已经做好镜像备份，并且里面没有任何重要资料的虚拟机中操作，虚拟机做好快照克隆镜像操作，玩坏了可以恢复。

一、作业要求和要点

　　做⼀个像Windows中的⼀样⽆限重启脚本（了解LINUX中的⾃启动）

　　（注意: 先拍个快照--别玩脱了）

1、实验环境配置

　　物理机：win10

　　虚拟机：vmware + Kali Linux

2、关于系统重启和系统无限重启的实现

　　linux中是 reboot ，我们可以直接在命令行中输入 reboot 以实现重启的效果，我们可以利用该条命令，组合 bash 脚本功能，利用 Linux 系统的一些自启动特性，比如 crontab / rc.local / init.d / systemd 等方式或者方法，让系统做到开机就重启，达到无限重启的目的。

3、实验的意义

　　核心目的在于‌探索并实践 Linux 系统的无限重启现象及其解决方案‌，通过编写特定的脚本，以及对 Linux 系统自启动各种方式的利用，我们成功触发无限重启这个实验目的。

　　同时通过这次实验，我们也熟悉并掌握 恢复模式 或者 编辑引导程序 将异常机器从故障中进行脱离排除，一定程度上提升了我们应对系统突发状况的能力‌。

二、使用 crontab 实现开机 reboot

1、crontab 基本用法

　　我们使用 cron 任务计划实现开机自启动，首先看下 crontab 的用法：

　　crontab 是 Unix 和 Linux 的一个命令，用于设置周期性被执行的任务。这些任务被称为“cron 作业”，并且由 cron 守护进程在后台自动运行。crontab 文件包含了这些作业的列表以及它们应该被执行的时间，其常用的命令如下：

crontab -e # 编辑当前用户任务计划

crontab -l # 查看当前用户任务计划

crontab -r # 删除当前用户任务计划

crontab filename # 指定的文件内容替换当前用户的 crontab

　　首次使用会提示使用哪种文本编辑器，1.是nano，2 和 3 都是vim，2是完整版，3是精简版。

　　crontab 文件中的每一行都代表一个定时任务，格式如下：

* * * * * command_to_be_executed

- - - - -

| | | | |

| | | | +----- 星期几 (0 - 7) (Sunday=0 or 7)

| | | +------- 月份 (1 - 12)

| | +--------- 日期 (1 - 31)

| +----------- 小时 (0 - 23)

+------------- 分钟 (0 - 59)

* * * * * 表示每分钟

0 * * * * 表示

‌分钟‌：指定任务应该在哪一分钟执行（0-59）。
‌小时‌：指定任务应该在哪个小时执行（0-23）。
‌日期‌：指定任务应该在月份的哪一天执行（1-31）。
‌月份‌：指定任务应该在哪个月份执行（1-12）。
‌星期几‌：指定任务应该在星期几执行（0-7，其中 0 和 7 都代表星期日）。

2、kali 中创建一个开机重启的任务计划

　　接下来我们使用 cron 任务计划实现开机自启动，我们需要编写一个脚本。注意，kali 用户使用下面2条命令，分别是创建两个任务计划：

crontab -e # 这条是创建 kali 用户的任务计划

sudo crontab -e # 这条是创建 root 用户的任务计划

　　因为最终创建完任务计划，在系统中是有个文件的，这个文件的目录是在 /var/spool/cron/crontabs 目录中。

　　虽然 kali 用户可以用 reboot 来直接重启系统，但是貌似写在任务计划的bash脚本中的 reboot是无法直接启动或执行的的。另外，虽然 root 用户也可以直接 reboot 命令重启系统，但是写在任务计划的bash脚本中的 reboot 必须前面加上 sudo 再能实现重启，另外这个脚本必须 chmod +x 才能被计划任务启动。

　　所以，这个脚本被 cron 执行并且实时重启，必须有三个条件：1） sudo reboot ；2）用 sudo crontab -e 添加到 root 的用户任务计划中去；3）必须有 x 权限。最终脚本和任务计划应该是下面这样：

# 虽然编辑下面这个文件也可以达到同样的效果
# 但最好还是直接用 sudo crontab -e 进行编辑
┌──(kali㉿kali)-[~]
└─$ sudo tail -1 /var/spool/cron/crontabs/root
* * * * * /home/kali/rootscript.bash

┌──(kali㉿kali)-[~]
└─$ cat ~/rootscript.bash
#!/bin/bash

sudo reboot


┌──(kali㉿kali)-[~]
└─$ ls -l rootscript.bash      
-rwxrwxr-x 1 kali kali 27 Nov 30 00:57 rootscript.bash

　　上面这个任务计划每一分钟会执行一次，所以最长一分钟内就会重新启动，重启后只要赶在第二次执行计划之前，快速把脚本改掉，或者把任务计划删除掉即可恢复正常。

3、crontab 的特殊时间符

　　crontab 另有如下几个特殊时间符，我们关注到 @reboot 是启动时运行，使用这个特殊时间符可以缩短启动的间隔，即开机就会立即启动。

@reboot：系统启动时运行。
@yearly 或 @annually：每年运行一次，相当于 0 0 1 1 *。
@monthly：每月运行一次，相当于 0 0 1 * *。
@weekly：每周运行一次，相当于 0 0 * * 0。
@daily 或 @midnight：每天运行一次，相当于 0 0 * * *。
@hourly：每小时运行一次，相当于 0 * * * *。

　　接下来，我们模拟自己的操作系统被写入恶意脚本开机就重启，通过 恢复模式 进行恢复，因为 kali linux 的 VMware预装版并没有设置 root 的密码，root 尚在锁定状态，请先使用下面的命令给root账号设置个简单的密码。

sudo passwd root

另外再次重申如下：

　　重要的事情说三遍！！！重要的事情说三遍！！！重要的事情说三遍！！！

三、有 root 账户情况下的恢复

　　假设我们已经给 root 账户创建好了一个简单的密码（太复杂怕你们忘记），然后我们使用下面的命令，给 root 的 crontab 添加一条任务计划。

@reboot /home/kali/rootscript.bash

┌──(kali㉿kali)-[~]
└─$ cat ~/rootscript.bash
#!/bin/bash

sudo reboot

　　重启后，发现会陷入到循环重启过程中，现在我们开始恢复：

1、开机界面选择 Advanced Options

2、选择Recovery Mode

3、输入 root 密码登录系统

　　有 root 密码的情况下，这里输入密码即可进入 shell 环境。

4、删掉 / 注释掉任务计划或者删除掉恶意bash 脚本

5、保存退出后，重启 reboot 即可恢复正常

　　kali linux 已经恢复正常。

6、视频演示

模拟系统被植入恶意代码导致无限重启的恢复（有root密码情况下）

四、无 root 账户情况下的恢复（或者即便有 root 但无效的情况下）

1、按 e 进入引导界面

2、添加 linux 这行，末尾添加 init=/bin/bash 直接进入 shell 环境

3、ctrl +x 或者 F10 重启，进入 shell，重新挂载

命令执行过程中发现 Read-only 的话重新挂载

mount -o remount,rw /

4、排查恶意脚本后，如无法正常关机或重新启动

echo 1 > /proc/sys/kernel/sysrq
echo b > /proc/sysrq-trigger

5、视频演示

模拟系统被植入恶意代码导致无限重启的恢复（无root密码情况下，或者即便有root密码也无效的情况下）

五、使用 rc.local 实现开机 reboot

　　rc.local 目前许多linux 的发行版已经很少使用这个文件了，但是它可以做到无限循环开机。我们先要在 /etc 目录下创建这个文件：

sudo touch /etc/rc.local

　　然后再在该文件内写入bash 脚本内容，并给它 +x 权限：

┌──(kali㉿kali)-[~]
└─$ sudo cat /etc/rc.local
#!/bin/bash

sudo reboot
exit 0

┌──(kali㉿kali)-[~]
└─$ sudo chmod +x /etc/rc.local

　　最后我们重启 rc-local 服务：

sudo systemctl restart rc-local

　　重启服务后 Linux 系统马上开始无限循环重启了。使用上面的有 root 账户方式进行恢复即可。

六、使用 init.d 实现开机 reboot

　　在 /etc/init.d/ 文件夹中写入自启动脚本，并 sudo ln -s 至运行级别相应的 /etc/rc?.d/ 文件夹中，改名成S+数字+脚本名.sh 也可以实现开机就循环自启动的效果。/rc?.d/ 中的?是个通配符，它的编号就是相应的运行级别（runlevel），runlevel 和rc?.d中的级别一致，我们 ls -d 查看下：

┌──(kali㉿kali)-[~]
└─$ ls -d /etc/rc?.d/
/etc/rc0.d/  /etc/rc1.d/  /etc/rc2.d/  /etc/rc3.d/  /etc/rc4.d/  /etc/rc5.d/  /etc/rc6.d/  /etc/rcS.d/
                                                                                                                                                       
┌──(kali㉿kali)-[~]
└─$ ls -dl /etc/rc?.d/
drwxr-xr-x 2 root root 4096 Nov  3 11:53 /etc/rc0.d/
drwxr-xr-x 2 root root 4096 Nov  3 11:53 /etc/rc1.d/
drwxr-xr-x 2 root root 4096 Nov  3 11:53 /etc/rc2.d/
drwxr-xr-x 2 root root 4096 Nov  3 11:53 /etc/rc3.d/
drwxr-xr-x 2 root root 4096 Nov  3 11:53 /etc/rc4.d/
drwxr-xr-x 2 root root 4096 Nov  3 11:53 /etc/rc5.d/
drwxr-xr-x 2 root root 4096 Nov  3 11:53 /etc/rc6.d/
drwxr-xr-x 2 root root 4096 Aug 18 18:30 /etc/rcS.d/

　　我们可以用 runlevel 命令当前运行级别是哪个，普通 kali 用户登录的运行级别一般是 5 ，同时查看下 /etc/rc5.d/ 文件夹下的文件，发现里面所有的文件都是从 /etc/init.d/ 中 ls -s 过来的，另外我们发现有 K 开头的文件也有 S 开头的文件，其中 S 是开机需要启动的脚本，K 是开机需要停止的服务，而数字是启动或者停止的顺序，具体如下：

┌──(kali㉿kali)-[~]
└─$ runlevel
N 5
                                                                                                                                                       
┌──(kali㉿kali)-[~]
└─$ cd /etc/rc5.d      
                                                                                                                                                       
┌──(kali㉿kali)-[/etc/rc5.d]
└─$ ls -n             
total 0
lrwxrwxrwx 1 0 0 17 Aug 18 15:55 K01apache2 -> ../init.d/apache2
lrwxrwxrwx 1 0 0 29 Aug 18 15:55 K01apache-htcacheclean -> ../init.d/apache-htcacheclean
lrwxrwxrwx 1 0 0 16 Aug 18 15:52 K01atftpd -> ../init.d/atftpd
lrwxrwxrwx 1 0 0 19 Aug 18 15:42 K01bluetooth -> ../init.d/bluetooth
# 信息较多未全部展示
lrwxrwxrwx 1 0 0 14 Aug 18 15:37 S01cron -> ../init.d/cron
lrwxrwxrwx 1 0 0 14 Aug 18 15:38 S01dbus -> ../init.d/dbus
lrwxrwxrwx 1 0 0 16 Nov  3 11:53 S01docker -> ../init.d/docker
lrwxrwxrwx 1 0 0 17 Aug 18 15:42 S01haveged -> ../init.d/haveged
# 信息较多未全部展示

　　知道这个模式后，我们把循环启动脚本软连接到目前运行级别对应的 /etc/rc5.d/ 文件夹中，使用的命令如下：

┌──(kali㉿kali)-[/etc/init.d]
└─$ cat script.sh
#!/bin/bash

sudo reboot
exit 0

┌──(kali㉿kali)-[/etc/init.d]
└─$ sudo ln -s  /etc/init.d/script.sh /etc/rc5.d/S99script.sh
                                                                                                                                            
┌──(kali㉿kali)-[/etc/init.d]
└─$ ll /etc/rc5.d/S99script.sh 
lrwxrwxrwx 1 root root 21 Nov 30 20:24 /etc/rc5.d/S99script.sh -> /etc/init.d/script.sh

　　我们尝试开机，会发现系统自动开始无限循环启动，此时使用上述有 root 密码的方式即可恢复。我们在 恢复模式 下恢复的过程中发现， 恢复模式 的 runlevel 是 1，是不是如果把上面 /etc/init.d/ 的无限启动脚本 ln -s 到 /etc/rc1.d/ 中去的话，是不是 恢复模式 也会出问题呢？

　　我们处理下软连接，进行如下操作：

　　此时 reboot 系统即便进入 恢复模式 ，也无法正常进入 root 的 shell ，也就是说 rc1.d 的脚本会先执行。如果需要恢复需要采用上面无 root 账户恢复的方法，请参考上文重新挂载，具体演示略。

七、使用 systemd 实现开机 reboot

　　我们创建一个叫 reboot.service 的服务，enable 的时候会无限重启，disable 的时候不会无限重启，具体操作如下，首先在 /etc/systemd/system/ 目录下创建一个 reboot.service 的文件：

[Unit]
Description=Reboot Loop Service (Experimental and Dangerous)

[Service]
ExecStart=/bin/bash -c 'sudo reboot'
User=root

[Install]
WantedBy=multi-user.target

　　然后按如下操作，当我们对服务进行 start 或者 restart 服务时，系统就会无限重启：

sudo systemctl daemon-reload
systemctl enable reboot.service
sudo systemctl restart reboot.service # 或者 start 也行

　　后续可以使用 恢复模式 进行恢复，恢复模式 输入 root 账户密码，并在 恢复模式 中，使用下条命令关闭服务，系统就会恢复正常：

systemctl enable reboot.service

八、修改 .bashrc / .zshrc

　　.bashrc / .zshrc 会在打开一个 shell 的时候加载，这给我们设置重启提供了条件，我们假设 bash / zsh 环境下切换到 root 用户，或者 root 用户打开一个 bash / zsh 的时候就重启。

　　我们需要分别设置 /root/.bashrc 和 /root/.zshrc 2个文件，在文件末尾添加如下代码，注意有严格的格式要求，包括空格：

if [ "$USER" == "root" ]; then

reboot

fi

　　这样我们从 kali 账户，使用 su root 切换到 root 用户时，系统就会重启。注意，以下几种情况均会重启：

　　针对 .bashrc ，在 bash 环境下切换到 root 会重启：

┌──(kali㉿kali)-[~]
└─$ bash --norc
bash-5.2$ su root
Password:           # 输完 root 密码回车，就会重启

　　针对 .zshrc ，在 kali 默认 zsh 环境中，切换到 root 就会重启：

┌──(kali㉿kali)-[~]
└─$ su root
Password:

　　针对 .zshrc ，在 恢复模式 中，进入 root 的 shell（实际就是 zsh ）也会重启：

　　以上因为是写在 root 的 .bashrc / .zshrc 文件中，所以我们正常启动用 kali 账户登录就不会触发重启，使用 sudo vim 命令修改两个文件即可恢复正常。

九、修改 .profile

　　有别于 .bashrc / .zshrc 是在 shell 加载的时候触发，家目录中的 .profile 是在登录的时候触发，登录包括 kali 的视窗登录，和通过 ssh 登录。代码原理和本身同上面的 .bashrc / .zshrc 一样。这次我们先修改 kali 账户家目录的 .profile，具体修改如下：