1、粘滞键后门
按五次shift键后,弹出粘滞键程序,将粘滞键程序替换成cmd。(替换系统工具)
第一种方法:直接替换粘滞键程序
首先,备份原始程序,防止出现问题。
XP、98、95等系统,在cmd中进入到粘滞键程序所在文件夹下,复制粘滞键程序。
win10等系统,在文件资源管理其中,找到粘滞键程序。
修改粘滞键程序权限,修改所有者
编辑所有者权限
删除setch.exe,复制cmd.exe,并将复制后的exe命名为sethc.exe
注销当前用户,使用粘滞键后门(按五次shift键),进入系统cmd
第二种方法:修改注册表(也通过register修改,hkeySOFT_local_machine)
通过修改注册表映像劫持和打开远程桌面来实现。(映像劫持:打开程序A实际打开程序B)。
注册表添加命令,设置映像劫持。
通过注册表的形式修改键值及权限,开启远程登录。
关闭RDP安全认证机制。
关闭防火墙,开启端口。
允许远程桌面连接。
查看靶机ip,通过kali远程连接靶机。
2、注册表注入后门
通常将木马存放在系统中,然后添加注册表选项(一般自动启动选项)。
使用msf生成木马。
采用启用Python3监听,模拟攻击(实际应用中使用钓鱼邮件或者水坑攻击)。
启动msf监听。
靶机中访问python监听网站,下载木马。
在cmd中写入注册表启动项。(必须知道shell木马下载路径,一般是download文件或者desktop)
(或者win+r,打开注册表,寻找相应路径,写入木马shell的下载路径)
重新启动并登录靶机,获取靶机shell。
3、计划任务后门
使用msf生成木马。
采用启用Python3监听,模拟攻击(实际应用中使用钓鱼邮件或者水坑攻击)。
启动msf监听。
在cmd中写一个计划任务。(每一分钟启动一次shell.exe)
等待一分钟,获取靶机shell。
查找test计划任务启动项。
删除test计划任务启动项。
4、LogonScripts后门
登录脚本后门,优于杀毒软件执行,因此可以绕过杀毒软件对敏感操作的拦截。
修改登录注册表。
重新启动登录靶机。
5、WMI无文件后门
WMI基础概念
WMI型(Windows Management Instrumentation是Windows中用于提供共同的界面和对象模式以便访问有关操作系统、设备、应用程序和服务的管理信息。)后门只能由具有管理员权限的用户运行。通过与Powershell命令配合使用可以实现无文件,无文件无进程使得他称为非常隐蔽的后门,良好的隐蔽性也使得WMI后门称为目前较为常用的持久化手段。WMI型后门使用了WMI的两个特征,即无文件和无进程。其基本原理是:将代码存储在WMI中,达到要求的“无文件”;当设定的条件被满足时,系统将自动启动PowerShell进程到后门程序,执行后,进程将消失(持续根据后门的运行情况而定时间,一般是几秒)。
WMI主要有两种交互方式:powershell 和 wmic Powershell(Get-WmiObject、Set-Wmiinstance、Invoke-WmiMethod等)例如:‘Get-W米Object-Namespace “ROOT” -Class __NAMESPACE' Wmic 例如:'wmic /NAMESPACE:"\\root\CIMV2" PATH Win32_OperatingSystem'。
WMI事件会创建一个查询请求,请求中定义了我们需要执行的操作,一旦事件发生就会执行我们定义的操作,支持两种事件。分别是临时事件和持久事件。临时事件:要创建事件的进程处于活动状态,临时事件就会被激活(以当前权限运行)。持久事件:事件存储在CIM数据库中,并且会一直处于活动状态,指导从数据库中删除(以system权限运行,且重启保持不变)。
本地调用无文件后门
生成木马shell.exe步骤,和前面实验相同,将shell.exe放置在C盘根目录。
kali系统中开启msf监听。
编写power shell脚本。
有可能遇到power shell脚本无法运行的问题,解决方法,修改power shell安全策略。
以管理员身份运行power shell,进入shell.ps1所在文件夹,运行shell.ps1
msf获取反弹shell。
靶机系统打开任务管理器,并未出现shell.ps1进程。(无进程)
删除shell.ps1脚本文件。
在kali中重新启动msf监听,重新启动并登录靶机系统,msf获得反弹shell。(无文件)
远程调用无文件后门
具有更强了灵活性和隐蔽性。
在kali系统中,编写脚本。
靶机系统中,编写power shell 脚本。
靶机系统打开powershell,运行powershell脚本。
msf获取反弹shell。
自动化工具AutoRuns
WMI后门检测及清除
以管理员身份打开power shell。输入命令列出相关事件。(三种命令截图)
List Event Filter:
List Event Consumers:
List Event Bindings:
清除WMI事件
Filter:
Consumers:
Bindings:
WMI事件清除后截图。