横向移动检测之远程执行(三)服务

最新推荐文章于 2024-06-12 15:25:43 发布
最新推荐文章于 2024-06-12 15:25:43 发布
阅读量955 收藏
点赞数
分类专栏: Threat Hunting 文章标签: 应急响应 攻击溯源 横向移动检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27828281/article/details/101213688
版权

横向移动检测之远程执行—服务

1.1 介绍

 在横向移动过程,攻击者可能会利用windows服务功能,在远程主机将恶意程序配置为服务并运行,从而实现远程执行的目的。在Windows平台,主要使用sc命令对远程服务进行配置,sc命令的基本格式如下:

sc \host create servicename binpath= “c:\temp\evil.exe”
sc \host start servicename

 通过对源和目的的事件日志,注册表,文件系统进行分析,可以获得源主机运行程序sc的时间,运行次数等信息,从目的主机可以获得配置恶意服务的源IP,服务名称,服务可执行文件,服务创建时间,创建服务的用户等信息。
环境
通过服务,在远程主机192.168.49.144远程执行C:\windows\temp\\evil.exe。

  • 源:192.168.49.155
  • 目的:192.168.49.144

在创建服务前须在远程主机有管理员权限,可通过如下命令实现:
net use \\192.168.49.144\ADMIN$ /user:victim <password>
然后在远程主机远程创建服务,注意值和等号之间有个空格:
sc \\192.168.49.144 create test1 binpath= "C:\windows\temp\evil.exe"
在这里插入图片描述
启动服务:
sc \\192.168.49.144 start test1
如果出现如下报错:
在这里插入图片描述
在注册表中添加如下项并重启:
在这里插入图片描述
测试过程自己安装的程序无法作为服务启动,所以以系统服务WlanSvc为例进行演示:
在这里插入图片描述

1.2 服务 - 源

1.2.2 注册表

  • ShimCache
     Windows Application Compatibility(兼容性) Database,被Windows用来识别可执行程序可能面临的兼容性。ShimCache会记录可执行文件的名称,文件大小,最后的修改时间,及在Windows XP中的最后更新时间。在Win7/8/10中,位于SYSTEM\CurrentControlSet\Control\Session Ma
最低0.47元/天 解锁文章
h8x0r
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AmcacheParser:解析amcache.hve文件,但是有点麻烦!
05-04
AmcacheParser 请参阅此处以获取更多信息: AmcacheParser version 0.0.5.1 Author: Eric Zimmerman (saericzimmerman@gmail.com) https://github.com/EricZimmerman/AmcacheParser b Path to file containing SHA-1 hashes to *include* from the results. Blacklisting overrides whitelisting f Amcache.hve file to parse. Required i Include file entries for Progr
服务器 ECS > 快照 > 快照概述
荒野求生的博客
10-20 3459
快照概述 更新时间:2020-07-01 20:40:29 编辑我的收藏 本页目录 应用场景 快照类型 计费 使用限制 优势 相关操作 联系我们 阿里云快照可以为所有类型的云盘创建崩溃一致性快照,是一种便捷高效的数据容灾手段,常用于数据备份、制作自定义镜像、应用容灾等。 应用场景 推荐您在以下场景中使用快照。 容灾备份:为云盘创建快照,再使用快照创建云盘获取基础数据,实现同城容灾和异地容灾。 环境复制:使用系统盘快照创建自定义镜像,再使用自定义镜像创建ECS实例,实现环境复制。
内网渗透测试:内网横向移动基础总结
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
06-12 183
Windows 7为跳板机用户名:douser密码:Dotest123Windows server 2008为域控(主机名:WIN-ENS2VR5TR3N)用户名:administrator密码:Liu78963攻击者已经获得了Windows7的权限,想要以Windows7作为跳板机进一步渗透内网的Windows server 2008,并且攻击者已经在跳板机上面通过socks代理等技术使自己可以访问到内网的Windows server 2008。
win10彻底删除软件
winsomeWin的博客
05-26 4074
我有洁癖,删除软件就得删得彻底 软件除了本身的目录以外还要检查这些路径: C:\Users\Admin\AppData\Roaming HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\bam\State\UserSettings\S-1-5-21-2471916610-1624442852-1845872672-1001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bam\State\User
Windows 应急响应辅助笔记
VVzv的博客
10-09 1995
以下主要为一些Windows应急的排查方法,对于处置应急不要过于盲目无目的排查,如清楚入侵原因,可基于入侵行为来做于排查,比如服务器存在WebShell,那么排查着重点就应该放在网站根目录下可疑文件的排查(比如从文件创建时间来进行筛选),当然,如果要看攻击者入侵后做了什么事情,或者取证,可能就需要较为全面的分析。
Windows注册表内容详解
luoxiaojuan2的专栏
01-18 6401
第一课  注册表基础 一、什么是注册表     注册表是windows操作系统、硬件设备以及客户应用程序得以正常运行和保存设置的核心“数据库”,也可以说是一个非常巨大的树状分层结构的数据库系统。     注册表记录了用户安装在计算机上的软件和每个程序的相互关联信息,它包括了计算机的硬件配置,包括自动配置的即插即用的设备和已有的各种设备说明、状态属性以及各种状态信息和数据。利用一个功能强大的注
红蓝视角之横向移动_蓝队视角1
08-03
这类工具是攻击者常用的一种远程执行命令的手段。在msf(Metasploit框架)中的psexec模块,其特征包括: 1. 在注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\services下创建一个8位随机命名的服务注册表键,...
远程命令执行漏洞
08-10
这可能导致数据泄露、系统权限提升甚至整个网络的横向移动。 修复此类漏洞的方法包括更新到不受影响的Struts2版本,应用官方发布的补丁,或者配置防火墙和入侵检测系统来阻止恶意请求。对于开发者来说,应当遵循...
Struts2远程命令执行验证工具
11-22
4. **远程命令执行**:如果检测到漏洞,工具可能还包含功能,模拟攻击者行为,尝试远程执行命令,进一步验证漏洞的存在。 5. **文件上传测试**:除了命令执行,某些Struts2漏洞也可能允许恶意文件上传,该工具可能...
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&入口差异&切换上线&IPC管道&AT&SC任务&Impacket套件&UI插件
最新发布
06-22
本文将深入探讨“红队内网攻防渗透”,重点介绍内网对抗中的横向移动策略、不同入口差异、上线切换技巧,以及利用IPC管道、AT任务、SC服务、Impacket工具套件和UI插件等技术手段。 首先,横向移动是内网渗透的关键...
移动恶意代码的关联与追踪.pptx
06-10
2. 第二代:以`Trojan/Android.KungFu.b[rmt]`为代表,除了继承前代特征外,开始将相关数据写入本地文件,例如`mycfg.ini`,增强了服务功能,能够访问远程指令控制服务器,获取并执行指令。 3. 第代:如`Trojan/...
AppCompatCacheParser:AppCompatCache(shimcache)解析器。 支持Windows 7(x86和x64),Windows 8.x和Windows 10
05-04
AppCompatCacheParser AppCompatCache(shimcache)解析器。 支持Windows 7(x86和x64),Windows 8.x和Windows 10 最初的Windows XP支持已添加,但是我需要为XP做更多的工作 有关用法的信息在这里 您可以在此处获得更多技术细节 由以下贡献者提供的开源开发资金和支持: 和 。
行业资料-交通装置-一种层双排升降横移停取车控制系统.zip
08-19
这是一种常见的立体车库运作方式,其中车辆被放置在一个可升降的平台上,平台在不同层间移动,同时在每层内部还可以横向移动,以便将车辆停放在指定位置或取出。这种方式允许多辆汽车在同一时间进行存取,提高了停车...
2012中国计算机网络安全年会移动互联网恶意代码关联与追踪(PPT下载)
07-18
- **用户意识提升**:提高用户的安全意识和防范能力是减轻移动安全风险的重要措施之一。 综上所述,移动恶意代码的关联与追踪是一项复杂且持续发展的领域。为了有效应对这一挑战,需要不断更新安全技术和策略,加强...
零信任架构在结构化数据安全检测中的集成.pptx
05-29
- **微分段**:将网络分割为多个独立的安全区域,限制横向移动的能力。 - **加密通信**:所有通信都应加密以保护数据的完整性。 零信任架构的工作原理主要涉及以下几个方面: 1. **身份验证与授权**:所有用户和...
教案之域渗透测试教程.pdf
10-06
6. **SMB快速扩张控制权限**:Server Message Block (SMB) 是Windows网络中的文件共享协议,利用SMB漏洞可以控制其他系统,如通过永恒之蓝等漏洞进行横向移动。 7. **PowerShell获取域控管理员在线的机器**:...
c++程序影像读取_应急响应手册程序执行痕迹
weixin_39719042的博客
01-15 278
接上一篇应急响应手册-Windows排查流程,程序的执行痕迹可以从注册表、文件、日志个方面介绍。01—注册表(1) ShimCache微软使用了ShimCache或“AppCompatCache”来识别应用程序的兼容性问题。缓存数据能够追踪文件路径、大小、最后修改时间和最后一次运行的时间。如果一个文件以Windows进程的形式执行过,那么它的信息将会被记录到ShimCache中,但是S...
ShimCacheParser: Windows系统缓存分析工具
gitblog_00031的博客
03-18 339
ShimCacheParser: Windows系统缓存分析工具 ShimCacheParser 是由 Mandiant 公司开发的一款开源工具,用于解析 Windows 系统的 ShimCache 日志文件,以便更好地理解和分析系统的启动行为和应用程序执行情况。 什么是ShimCache? ShimCache是一个Windows操作系统组件,它记录了系统每次启动时加载的所有可执行文件的信息。这些...
amcache.hve及包含的文件SHA1值分析
一个热爱逆向,喜爱学习、分享的猿。
03-14 2762
amcache.hve Win8及更高版本的系统使用Amcache.hve替代RecentFileCache.bcf。记录文件创建时间、上次修改时间、SHA1和一些PE文件头信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值