应急响应笔记

攻击者攻击网站的简易流程：

信息探测->注入/xss点->获取数据->破解密码->登陆后台->上传webshell->提权控制服务器->渗透内网

webshell在攻击过程中的作用

文件操作,命令执行,数据库操作,用户提权,shell反弹,权限维持

攻击者通过漏洞,第三方组件,**w用msfvenom生成war包,只用指定-f 后的参数为war就好了

Windows操作系统后门

影子账户：影子账户是指系统隐藏账户,在"控制面板-本地用户和组"里面看不见,但却有管理员权限的账户,

一般储存在注册表,影子账户的隐秘性十分之强

正常创建新用户的方式net user peng peng /add

创建影子用户的方式net user peng$ peng /add

隐藏账户无法使用"net user"命令查看,但是可以在"本地用户和组"可以查看

打开注册表"HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames"找到刚刚创建的

peng$查看类型,查看administrator的类型,找到administrator的user目录和peng$的user目录,将

administrator下的F值的内容复制到peng$的F值下面,然后将这peng$的name值和对应的目录的内容导出,

然后使用net user peng$ /del将peng$删除,再将两个注册表文件导入,影子用户2.0创建成功

Run注册表后门

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下的键值为开机启动项,每一次开机都会执行键值对应的程序或bat脚本

Logon Scripts后门

Logon Scripts是优先于很多杀毒软件启动的,所以可以通过这种方式达到一定的免杀效果.在注册表

**HKEY_CURRENT_USEREnvironment这条路径下,添加新的字符串值,值的名字

为:UserInitMprLogonScript**,数值数据为想要启动程序的路径

Userinit注册表后门

Userinit的作用是在用户在进行登陆初始化设置时,会指定执行的程序,可以修改

**HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit**的键

值来添加要执行的程序,多个程序用逗号隔开,注销登录后执行

原文始发于微信公众号（盾山实验室）：应急响应笔记