攻击者攻击网站的简易流程:
信息探测->注入/xss点->获取数据->破解密码->登陆后台->上传webshell->提权控制服务器->渗透内网
webshell在攻击过程中的作用
文件操作,命令执行,数据库操作,用户提权,shell反弹,权限维持
攻击者通过漏洞,第三方组件,**w用msfvenom生成war包,只用指定-f 后的参数为war就好了
Windows操作系统后门
影子账户:影子账户是指系统隐藏账户,在"控制面板-本地用户和组"里面看不见,但却有管理员权限的账户,
一般储存在注册表,影子账户的隐秘性十分之强
正常创建新用户的方式net user peng peng /add
创建影子用户的方式net user peng$ peng /add
隐藏账户无法使用"net user"命令查看,但是可以在"本地用户和组"可以查看
打开注册表"HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames"找到刚刚创建的
peng$查看类型,查看administrator的类型,找到administrator的user目录和peng$的user目录,将
administrator下的F值的内容复制到peng$的F值下面,然后将这peng$的name值和对应的目录的内容导出,
然后使用net user peng$ /del将peng$删除,再将两个注册表文件导入,影子用户2.0创建成功
Run注册表后门
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下的键值为开机启动项,每一次开机都会执行键值对应的程序或bat脚本
Logon Scripts后门
Logon Scripts是优先于很多杀毒软件启动的,所以可以通过这种方式达到一定的免杀效果.在注册表
**HKEY_CURRENT_USEREnvironment
这条路径下,添加新的字符串值,值的名字
为:UserInitMprLogonScript
**,数值数据为想要启动程序的路径
Userinit注册表后门
Userinit的作用是在用户在进行登陆初始化设置时,会指定执行的程序,可以修改
**HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit
**的键
值来添加要执行的程序,多个程序用逗号隔开,注销登录后执行
原文始发于微信公众号(盾山实验室):应急响应笔记
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论