内网渗透之维持访问：Windows维持访问

balalawb

已于 2023-11-06 11:42:25 修改

阅读量183

点赞数 1

文章标签：网络安全

于 2023-10-17 21:02:40 首次发布

本文链接：https://blog.csdn.net/balalawb/article/details/133894075

版权

1、粘滞键后门

按五次shift键后，弹出粘滞键程序，将粘滞键程序替换成cmd。（替换系统工具）

第一种方法：直接替换粘滞键程序

首先，备份原始程序，防止出现问题。

XP、98、95等系统，在cmd中进入到粘滞键程序所在文件夹下，复制粘滞键程序。

win10等系统，在文件资源管理其中，找到粘滞键程序。

修改粘滞键程序权限，修改所有者

编辑所有者权限

删除setch.exe，复制cmd.exe，并将复制后的exe命名为sethc.exe

注销当前用户，使用粘滞键后门（按五次shift键），进入系统cmd

第二种方法：修改注册表（也通过register修改，hkeySOFT_local_machine）

通过修改注册表映像劫持和打开远程桌面来实现。（映像劫持：打开程序A实际打开程序B）。

注册表添加命令，设置映像劫持。

通过注册表的形式修改键值及权限，开启远程登录。

关闭RDP安全认证机制。

关闭防火墙，开启端口。

允许远程桌面连接。

查看靶机ip，通过kali远程连接靶机。

2、注册表注入后门

通常将木马存放在系统中，然后添加注册表选项（一般自动启动选项）。

使用msf生成木马。

采用启用Python3监听，模拟攻击（实际应用中使用钓鱼邮件或者水坑攻击）。

启动msf监听。

靶机中访问python监听网站，下载木马。

在cmd中写入注册表启动项。（必须知道shell木马下载路径，一般是download文件或者desktop）

（或者win+r，打开注册表，寻找相应路径，写入木马shell的下载路径）

重新启动并登录靶机，获取靶机shell。

3、计划任务后门

使用msf生成木马。

采用启用Python3监听，模拟攻击（实际应用中使用钓鱼邮件或者水坑攻击）。

启动msf监听。

在cmd中写一个计划任务。（每一分钟启动一次shell.exe）

等待一分钟，获取靶机shell。

查找test计划任务启动项。

删除test计划任务启动项。

4、LogonScripts后门

登录脚本后门，优于杀毒软件执行，因此可以绕过杀毒软件对敏感操作的拦截。

修改登录注册表。

重新启动登录靶机。

5、WMI无文件后门

WMI基础概念

WMI型（Windows Management Instrumentation是Windows中用于提供共同的界面和对象模式以便访问有关操作系统、设备、应用程序和服务的管理信息。）后门只能由具有管理员权限的用户运行。通过与Powershell命令配合使用可以实现无文件，无文件无进程使得他称为非常隐蔽的后门，良好的隐蔽性也使得WMI后门称为目前较为常用的持久化手段。WMI型后门使用了WMI的两个特征，即无文件和无进程。其基本原理是：将代码存储在WMI中，达到要求的“无文件”；当设定的条件被满足时，系统将自动启动PowerShell进程到后门程序，执行后，进程将消失（持续根据后门的运行情况而定时间，一般是几秒）。

WMI主要有两种交互方式：powershell 和 wmic Powershell(Get-WmiObject、Set-Wmiinstance、Invoke-WmiMethod等）例如：‘Get-W米Object-Namespace “ROOT” -Class __NAMESPACE' Wmic 例如：'wmic /NAMESPACE:"\\root\CIMV2" PATH Win32_OperatingSystem'。

WMI事件会创建一个查询请求，请求中定义了我们需要执行的操作，一旦事件发生就会执行我们定义的操作，支持两种事件。分别是临时事件和持久事件。临时事件：要创建事件的进程处于活动状态，临时事件就会被激活（以当前权限运行）。持久事件：事件存储在CIM数据库中，并且会一直处于活动状态，指导从数据库中删除（以system权限运行，且重启保持不变）。