Whoamifuck wiki
Welcome to the Whoamifuck wiki!
- 系统版本信息
- 历史命令信息
- 开启服务信息
- 进程分析信息
- 用户信息排查
- 文件状态信息
- 计划任务信息
- 开启端口信息
- 系统状态监控
- 分析站点日志
- 恶意程序查找
- 支持基线检查
- 挖矿病毒查杀
- 常见漏洞自查
- 后门文件查杀
- 僵尸进程清理
- 站点存活探测
- 开机自启动项
- 攻击痕迹发现
- 定时运行任务
- 软链后门检查
- 环境变量后门
- 常见格式报告 - TEXT、HTML
- 高可扩展命令 - 配置指南
- 远程风险专项
- 查找webshell
- 信使邮件通知 - 配置指南
信使服务是永恒之锋开发的一款用于自动化邮件通知的客户端程序
将每天定时任务导出的html报告发送至你的邮箱。
Rust
- 应急响应主体 - 司稽(Whoamifuck | Chief-Inspector)
- 发送邮件功能 - 信使(courier)
- 司稽开启定时任务功能 -> 定时开启任务导出报告 -> 信使读取司稽配置文件中的配置 -> 发送邮件 -> 收到邮件
配置文件填写示例:
EMAIL="true"
### 信使 - 邮箱配置 CC抄送可选填
FROM="填写发件人"
KEY="授权码,不是密码"
TO="发送给谁"
CC=""
SERVER="邮件服务器,比如smtp.126.com、smtp.qq.com,看你是用的哪家的邮箱"
如何获取文件: 直接通过命令自动生成:
./whoamifuck.sh -e
如果文件不存在,则会生成,如果存在配置文件,但无配置或配置错误则会出现提示无法使用。
永恒之锋项目-信使下载地址:https://github.com/Eonian-Sharp/courier
- 下载后在本机编译好
- 将target中编译好的二进制文件放到司稽同级目录下。
- 给权限
chmod +x courier
直接配置计划任务即可,配置项都配置好后,需要将功能打开,将EMAIL参数的值改为true
该想法由永恒之锋战队rvy提出,目的是让工具成为一个载体,让用户自己去定义一些根据自身经验总结出的命令配置到工具中。人人都可以将工具进行扩展命令,就行扩展武器库的POC一样,深度定制化,可扩展的一个工具才是好工具。
Warning
扩展于全局只适用于默认路径下的配置文件。
Note
欢迎大家把自己的命令分享在ISSUE中,让大家讨论一下自己觉得最好用的命令。 命令交流区
配置文件共两个变量,一个控制开启或关闭同步到工具全局中,另一个则是自定义命令的数组。
EXT="false"
commands=(
"COMMAND1;命令描述"
"COMMAND2;命令描述"
)
-
EXT参数作为控制控制的开关,决定自定义扩展的命令是否被加入Whoamifuck中,目前仅适配于Normal输出中。参数为false、true。 -
commands参数是一个字符串数组,可以添加属于你自己的命令,并对命令进行描述。命令和描述中级使用;作为分隔符,命令请不要带有; -
-z参数作为测试自定义的命令是否正常。
目前配置文件生成方法有两种,一种是手动创建一个,然后添加参数指定路径,如vim my_commands.conf
./whoamifuck.sh -z my_commands.conf
还有一种方法,如果第一次使用-z功能,则会自动生成一个配置文件放置在默认路径下
./whoamifuck.sh -z
但在默认配置中配置为true时,则会被同步到Normal打印中
