出品|MS08067实验室
本文作者:BlackCat(Ms08067内网安全小组成员)
BlackCat微信(欢迎骚扰交流):
前言:
昨天做CS批量上线的时候发现,内网渗透的本质都是信息收集,也就是收集各种账号密码,一旦有了密码,这个系统也就不攻而破了。然后就在网上以及查阅资料中,整理了以下的搜集姿势。
权限维持:
比如通过钓鱼邮件,批量获取了一批上线机器,但是我们不能第上来就进行其他主机的渗透,第一步应 该进行维稳加固。
维稳方法一:加入出册表自启动
之所以放入注册表中,是由于我们后期的操作可能需要一个正常用户权限的shell,因为有些操作必须在对应的用户权限下才能正常进行,比如wmi,schtasks,net user,截屏,键盘记录等等。。
在网上翻阅了一大堆的关于这个方法的资料
参考链接:
网上大佬的脚本方法我没能实验成功,就算成功了,上传会不会被杀也不一定,所以我选择了最保守的 方法利用beacon执行cmd的命令来修改注册表:
这里用到了reg命令:eg命令是Windows提供的,它可以添加、更改和显示注册表项中的注册表子项信息和值。
首先我们要知道,注册表里开机自启动的目录是什么:
Win+R执行regedit后依次打开以下目录
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
这样就能看到开机自启动的内容都有什么:
这个在cmd中的命令为
REG query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun#显示这个目录下的所有的值
在beacon中执行就是前面加个shell
可以看到成功执行:然后下一步就是添加我们的后门程序到这个目录下,个人经验,感觉这里尽量稍稍 伪装一下自己的后门程序名,有的管理员安全意识高的可能会查看,这里我把它改为360.exe
然后通过文件浏览器,把这个后门上传上去,但是一定要做好免杀,这里我上传到了 "C:WindowsTemp"目录下:
语法为:
reg add "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionrun" /v【启bai动名】/d "【启动路径】"/f替换
上面这个会对所有用户生效,如果只想对当前用户生效,把HKEY_LOCAL_MACHINE改为 HKEY_CURRENT_USER 就可以了。
REG add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun" /v 360 /d "C:WindowsTemp360.exe" /f
然后在beacon中执行:
然后去被控机上面看是否生效:
成功了 。。还有⼀条删除命令:
REG delete "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun" /v 360 /f #删除360这个进程
最后我先在cs上下了这台机器,然后重启了下这台机器,重启后发现cs直接上线,所以这步我们就此告—段落。
REG query"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"#显示这个目录下的所有的值REG add"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"/v360/d"C:WindowsTemp360.exe" /f #把上传的后门程序设置成开机自启动REG delete"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"/v 360/f #删除自启动
维稳方法二:加入高权限组执行计划任务
一般情况下我们获取的CS后门权限都是administrator的,
但是我们后期要弹system的shell时候,或者和域内DC机通讯的话,还是需要system权限的。最简单的提权
执行完后会新上线一台机器权限为system,提权成功。
但是慢慢发现,有的时候,system权限并虽然高,但是感觉还是不适合我们操作,有些命令还是administrator权限执行可以,比如wmi,schtasks,netuse r,截屏,键盘记录等
这里就在继续说一下
维稳方法三:Windows的计划任务(schtasks)
简介:
计划任务,顾名思义,指定时间做指定的事情,对windows来说可能是执行脚本,也可能是exe。计划任务的利用不仅仅在横向渗透中,也可以是在权限维持。
利用前提:
1.必须通过其他手段拿到本地或者域管理账号密码
2.若在横向渗透过程中,要保证当前机器能netuse远程到目标机器上
3.目标机器开启了taskscheduler服务
测试:
对于XP或者2003以下的机器,基本都是用at来管理本地或者远程机器上的计划任务。这里没有搭建03的机器,就简单的列一下命令,解释一下。
ne tuse \192.168.1.101admin$ /user:"administrator" admin #netuse 连接
net time \192.168.1.101 #查看远程主机时间
xcopyc:payload.exe \192.168.1.101admin$temp
# 拷贝payload至0远程主机对应目录下
at\192.168.1.10119:30 /every:5,10,15,20,25,30c:windowstemppayload.exe
#设定计划任务,每月5,10,15,20,25,30日的19:30执行命令运行payload
设置完计划任务后可以通过以下命令查看:
at \192.168.1.101
删除任务的话只需要加上参数/delete即可。这样会在指定日期的晚上七点半返回一个会话。
在win7后的版本就有了个新的功能,schtasks计划任务:
比如我要在十点后启用这个这个后门。
schtasks/create /tn "360"/trC:WindowsTemp360.exe /sc DAILY /st 10:00
schtasks/query /tn 360/v schtasks /query|findstr "360"
#查询创建的任务
schtasks/run /tn 360
#立即运行创建的任务
schtasks/delete /tn 360
#删除任务
参考:
说了这么多,感觉比较麻烦,那我们直接运行不就好了么,其实不然,有些安全软件,会识别你的行为,阻止你去执行某些操作,但是计算机执行的操作则不会被拦截,所以也常用于内网中的bypass。
维稳方法四:创建隐藏用户
简介:
隐藏用户也叫影子用户,创建一个无法用用户本机用户罗列工具显示的用户,并且赋予管理员权限。所有操作需要有管理员权限。同时测试在windowsserver 2012服务器域环境下影子账户无法直接进行添加。
详细操作步骤参考网上资料;
维稳方法五:多地登陆管理员账号不被发现
这个是我一个朋友告诉我的方法,他在护网时候权限丢失就是远程登陆administrato r账号的时候,被管理员发现,然后关机了,导致权限丢失,那么如何解决这个问题。这个执行起来也很简单
还是修改注册表:
首先线以此打开注册表中的文件
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerfSingleSessionPerUser
双击打开这个文件,看里面的数值数据为0还是1
为1是不允许多地远程,
为0,是允许03以上的系统基本上默认都是为1不允许所以这里就需要我们更改这个
之后再多个终端远程这台主机就不会有提示了。
总结:
我这里只是简单介绍了一些CS的简单使用,没有涉及到各种杀软的绕过,CS的提权插件以及内网主机搜集插件等,还有就是CS后门免杀技术。我也在正在学习后门免杀技术,后续如果可能在做分享。
维稳方法还有很多,这里就先介绍这些吧,CS上线只是内网渗透的一个开始,本人也是初学者,文中如果哪里存在纰漏,敬请大佬们批评指正。
内网小组持续招人,扫描二维码加入我们!
扫描下方二维码加入星球学习
加入后会邀请你进入内部微信群,内部微信群永久有效!
本文始发于微信公众号(Ms08067安全实验室):CobalStrike批量上线后的权限维持和信息收集~
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论