windows权限维持大结局

  • A+
所属分类:安全文章

文章来源|MS08067 红队攻防实战班作业

本文作者:苏杰波、李布杰(红队攻防实战班2期学员)


1.     通过组策略运行指定脚本添加隐藏用户

在“开始菜单”->“运行”中输入gpedit.msc打开组策略编辑器,在左边导航栏中选择“计算机配置”->windows设置”->“脚本(启动/关机)”,双击其右边的“启动”选项,打开“启动属性”窗口:

windows权限维持大结局

操作系统启动时自动运行该脚本,使用net user命令查看未发现hacker$用户,但通过net user hacker$查看该用户时发现它确实存在:

windows权限维持大结局

但在本地安全策略中可看到:

windows权限维持大结局

需通过在注册表中进行类似账号克隆的操作,分别将如下图所示的项分别导出为item1.regitem2.reg

windows权限维持大结局


windows权限维持大结局


item1.reg中编辑F参数,通过复制Administrator在注册表中的F参数将该其覆盖后保存:

windows权限维持大结局

cmd命令中执行“net user hacker$ /del”,然后双击item1.regitem2.reg重新将hacker$用户写入到注册表中,此时在本地安全策略中已无hacker$用户,它只存留在注册表中:

windows权限维持大结局

用“net user hacker$”查看发现该用户存在:

windows权限维持大结局


2.     在注册表中添加启动自动运行后门

下图所示为注册表中启动自动运行的目标目录:

windows权限维持大结局

windows权限维持大结局

通过reg add

"HKEY_CURRENT_USERsoftwaremicrosoftwindowsCurrentVersionRun" /vmyPersist /t reg_sz /d "C:UsersAdministratorDesktoppersist.exe"

命令,可将启动自动运行的程序添加到注册表中的相应项:

windows权限维持大结局


3.     通过计划任务添加后门

添加计划任务,每隔1分钟执行一次:

windows权限维持大结局


4.     services.msc

windows权限维持大结局



Windows 权限维持

隐藏技巧

"真正"的隐藏文件 

命令:Attrib +s +a +h +r [文件]

+s:系统 

+h:隐藏 

+r:只读

加上s属性后,文件会进一步被隐藏(打开查看隐藏文件都看不见),只有使用 dir - h(ls -h) 等才能看见。

当文件被加上s属性后,后续操作可能没有足够的权限取操作,需要先去掉s属性才能进行后续的操作。


改变系统文件夹图标

通过更改文件夹名称,能更改文件夹图标和双击打开的动作(命令行模式仍可以正常使用)。 

但通过命令行模式仍能看见其后缀。

一些代号我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}回收站.{645ff040-5081-101b-9f08-00aa002f954e}拔号⽹络.{992CFFA0-F557-101A-88EC-00DD010CCC48} 打印机.{2227a280-3aea-1069-a2de-08002b30309d} 控制⾯板.{21ec2020-3aea-1069-a2dd-08002b30309d} ⽹上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}

畸形目录

只有使用cmd能成功,

powershell不行 创建成功后图形界面不会显示,

但命令行能看见。某些操作不能对其作用,如 cd,dir等 ,但可以 copy 文件进去,或者直接查看文件 

创建目录:md test.... 

删除目录:rd /s /q test....

windows权限维持大结局


利用系统保留的文件名创建无法删除的webshell

只有使用cmd能成功,powershell不行 

保留文件名: aux com1 com2 prn con nul 等 

图形化使用此类名创建文件将会报错

此类文件图形化看不见,命令行可以

windows权限维持大结局

但可以通过cmd创建,创建和删除时要用绝对路径 

创建:md \.c:com1 

删除: rd .c:com1

创建与操作文件需要管理员权限,目录不需要 

在创建是添加 . 前缀是为了便于访问,不然访问时会将目标当作一个IO设备处理。

驱动级隐藏文件

工具:Easy File Locker

下载链接:http://www.xoslab.com/efl.html

通过设置其属性,达到对应目的(隐藏后命令行也不可见,只有知道完整目录才能访问)改软件可以设置密码、自启动,可以删除主界面,卸载程序都可以,只留下核心驱动文件即可。

windows权限维持大结局

如何清除

1. 查询服务状态:sc qc xlkfs2. 停止服务:net stop xlkfs(停止后,文件便会显现出来,cmd能见)3. 删除服务:sc delete xlkfs4. 删除系统目录下的文件,重启系统,确认服务被清除。

关闭杀软

命令 

需要管理员权限 

关闭防火墙:netsh advfirewall set allprofiles state off

关闭Defender: Net stop windefend 

关闭DEP(数据执行保护): bcdedit /set {current} nx alwaysoff

Meterpreter

直接运行 run killav

windows权限维持大结局


策略组(作业)

gpedit.msc -> 计算机配置 -> windows设置 -> 脚本

通过设置启动与关机时要运行的脚本,执行相关命令。(创建账户、嗅探密码、远程登录等)


# bat@echo offnet user hack$ 123qwe /addnet localgroup administrators hack$ /addexit

注册表(作业)

尽量使用 HKEY_LOCAL_MASHINE 而不是 HKEY_CURRNET_USER (没有的键值对需要自己去新建)

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 添加键,键值为HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce 只会运行一HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServer 以服务HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServerOnce 只HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx01 (HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx01De同理的还有HKEY_CURRNET_USER树下的。

Meterpreter

1. Persistence后门 

在 Meterpreter 中 Persistence 用于后渗透中的权限维持。通常是通过 cscript.exe 这个程序去执行,创建一个 VBS 脚本 (msf和cs都是,对应的,cs是通过rundll32.exe去执行命令,而msf是通过其启动的后门文件。)

windows权限维持大结局

常用的参数有

-S 创建一个服务,随系统启动而启动(System权限)-U 用户登录时启动后门,就是向注册表HKCU树下写入自启动项-X 系统登录启动后门,向注册表HKLM树下写入启动项

关于创建的持续性后门,当这个后门启动的时候会周期性的连接目标,只要 cscript.exe 这个进程没有结束。

SharPersist

计划任务(schtasks.exe)(作业)

schtasks.exe 用于在windows系统中指定任务计划,使其能在特定的事件日期执行程序和脚本。

SCHTASKS /parameter [arguments]描述: 允许管理员创建、删除、查询、更改、运行和中止本地或远程系统上的计划任 务。参数列表: /Create 创建新计划任务。 /Delete 删除计划任务。 /Query 显示所有计划任务。 /Change 更改计划任务属性。 /Run 按需运行计划任务。 /End 中止当前正在运行的计划任务。 /ShowSid 显示与计划的任务名称相应的安全标识符。 /? 显示此帮助消息。

示例

schtasks /create /tn/tr <"程序路径和文件名"> /sc <什么时候运行 如 o

创建计划任务启动notepad(需要管理员权限)

windows权限维持大结局

对应的可以在 _Task Scheduler 查看

windows权限维持大结局

在svchost进程下成功创建了notepad进程

windows权限维持大结局

当使用指定账户创建运行计划任务时,当前用户必须具有与之相对或者更高的权限 (使用管理员账户以ystem权限运行计划任务失败)


创建新服务(作业)

cmd使用 sc 对任务进行管理,powershell中使用 get-help service 查看对应的服务操作命令

创建

sccreate [service name] [binPath= ]...选项:注意: 选项名称包括等号。等号和值之间需要一个空格。type=(默认 = own)start=(默认 = demand)error=(默认 = normal)binPath= <.exe 文件的 BinaryPathName>group=tag=depend= <依存关系(以 / (斜杠)分隔)>obj=(默认= LocalSystem)DisplayName= <显示名称>password= <密码>

实例

创建服务:sc createbinpath= <"可执行二进制文件"> start= <"启动模式"> obj启动服务: sc start删除实例:sc delete

创建服务能成功,但是启动一直爆1053错误。

windows权限维持大结局

启动错误

windows权限维持大结局


内存马

劫持后门

MSDTC服务 (没成功) MSDTC服务开启时默认会加载三个DLL: oci.dll、SQLLib80.dll、xa80.dll , windows系统默认不包括 oci.dll ,将后门dll重命名并放置到 %SystemRoot%system32 中,远程杀掉 MSDTC 服务,使其重启,加载恶意DLL.

镜像劫持

Logon Scripts 

Logon Scripts比av先执行,利用这点可以绕过av 

注册表路径:HKEY_CURRENT_USEREnvironment 键:UserInitMprLogonScript

值:恶意文件路径




扫描下方二维码加入星球学习

加入后邀请你进入内部微信群,内部微信群永久有效!

windows权限维持大结局 windows权限维持大结局

windows权限维持大结局

windows权限维持大结局 windows权限维持大结局

               来和5000+位同学一起加入星球学习吧!
windows权限维持大结局






发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: