什么是权限维持?
在我们通过入侵手段进入对方服务器后,通常会使用一些后门来维持权限
方法诸如隐藏文件,隐藏账户等方法在这里不进行赘述(方法已经落后,容易被工具直接检测出来)
1.端口复用
该后门的基本原理是使用Windows 的远程管理管理服务WinRM,组合HTTP.sys驱动自带的端口复用功能,一起实现正向的端口复用后门。
WinRM服务
WinRM全称是Windows Remote Management,是微软服务器硬件管理功能的一部分,能够对本地或远程的服务器进行管理。WinRM服务能够让管理员远程登录Windows操作系统,获得一个类似Telnet的交互式命令行shell,而底层通讯协议使用的是HTTP。
HTTP.sys驱动
HTTP.sys驱动是IIS的主要组成部分,主要负责HTTP协议相关的处理,它有一个重要的功能叫Port Sharing,即端口共享。所有基于HTTP.sys驱动的HTTP应用可以共享同一个端口,只需要各自注册的url前缀不一样即可。
使用netsh http show servicestate
命令可以查看所有在HTTP.sys上注册过的url前缀。
实际上,WinRM就是在HTTP.sys上注册了wsman的URL前缀,默认监听端口5985。这点从微软公布的WinRM的架构图也可以看出来。
接下来我们将在windows7的操作系统上进行演示。
1.1后门配置
对于端口复用,