网安学习日志(7)windows权限维持

最新推荐文章于 2024-05-05 18:36:33 发布
最新推荐文章于 2024-05-05 18:36:33 发布
阅读量2.5k 收藏 2
点赞数
分类专栏: 学习日志 文章标签: windows 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41819426/article/details/122526090
版权
本文介绍了在Windows系统中通过权限维持的两种方法:端口复用和进程注入。端口复用利用WinRM服务和HTTP.sys驱动实现正向端口复用后门,详细讲解了配置和连接过程。进程注入则涉及生成免杀木马并通过已运行进程注入实现远程控制。
摘要由CSDN通过智能技术生成

什么是权限维持?

在我们通过入侵手段进入对方服务器后,通常会使用一些后门来维持权限

方法诸如隐藏文件,隐藏账户等方法在这里不进行赘述(方法已经落后,容易被工具直接检测出来)

1.端口复用

该后门的基本原理是使用Windows 的远程管理管理服务WinRM,组合HTTP.sys驱动自带的端口复用功能,一起实现正向的端口复用后门。

WinRM服务

WinRM全称是Windows Remote Management,是微软服务器硬件管理功能的一部分,能够对本地或远程的服务器进行管理。WinRM服务能够让管理员远程登录Windows操作系统,获得一个类似Telnet的交互式命令行shell,而底层通讯协议使用的是HTTP。

HTTP.sys驱动

HTTP.sys驱动是IIS的主要组成部分,主要负责HTTP协议相关的处理,它有一个重要的功能叫Port Sharing,即端口共享。所有基于HTTP.sys驱动的HTTP应用可以共享同一个端口,只需要各自注册的url前缀不一样即可。

使用netsh http show servicestate命令可以查看所有在HTTP.sys上注册过的url前缀。

实际上,WinRM就是在HTTP.sys上注册了wsman的URL前缀,默认监听端口5985。这点从微软公布的WinRM的架构图也可以看出来。
接下来我们将在windows7的操作系统上进行演示。

1.1后门配置

对于端口复用,

最低0.47元/天 解锁文章
若只若初
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
WinRM远程管理服务渗透利用(端口5985
墨痕诉清风的博客
04-19 1891
WinRM远程管理服务渗透利用(端口5985
hackthebox- Froest (考点:Kerberos pre-authentication/win-rm&5985/域渗透)
冬萍子癸水
04-17 3117
nullinux rpcclient -U "" -N 10.10.10.161 enumdomusers gem install evil-winrm 科普
hack the box(5985 WinRM)
m0_56010012的博客
04-18 2171
nmap参数定义 -v:增加详细级别(基本上输出更多信息)-p-:此标志扫描0-65535范围内的所有TCP端口-sV:尝试确定端口上运行的服务版本-sC:使用默认NSE脚本扫描--min-rate:这用于指定Nmap每秒应发送的最小数据包数;数字越高,扫描速度越快 nmap -v -p- --min-rate 5000 -sV -sC 10.129.136.91 根据Nmap扫描的结果,机器使用Windows作为操作系统,在端口80上运行Apache Web服务器,在端口5985上运行WinR.
横向移动 – WinRM
2301_80127209的博客
04-19 684
同学们可能没有听说过WinRM横向移动技术,今天我给大家分析讲解一波儿看不懂也没关系,先看看有个大概的概念,以后慢慢就懂了。
ansible管控windows机器报错(修改WinRM端口后报SSL错误:UNKNOWN_PROTOCOL)
weixin_46031767的博客
04-07 3333
修改WinRM端口及报错解决修改WinRM服务监听端口报错:SSL:UNKNOWN_PROTOCOL问题解决: 修改WinRM服务监听端口 ①. WinRM 2.0 版本以下,WinRM的监听端口为 80(HTTP) 或 443(HTTPS); ②. WinRM 2.0版本以上,WinRM的监听端口5985(HTTP )和 5986 (HTTPS); 查看WinRm监听端口: 默认http端口5985 winrm enumerate winrm/config/listener 修改WinRM端口
蚁景网安渗透测试学习路径图最新.pdf
06-22
* 服务、注册表、计划任务等方式进行 windows 权限维持操作 * Linux 权限维持 * 通过 ssh、定时任务、rootkit 等形式留下 linux 后门进行权限维持操作 黄金票据伪造 * 黄金票据伪造原理 * 黄金票据伪造条件 * 利用...
万字渗透测试入门知识点,自学查漏补缺
yjwangan的博客
10-24 1045
万字渗透测试入门知识点,自学查漏补缺
网络安全渗透
李子木的博客
04-04 8582
Sqlmap简介 sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试神器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。 支持的数据库:MySQL,Oracle, PostgreSQL, SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MAXDB。 Sqlmap安装 (1)安装sqlmap前,需要.
2024年最全CVE-2024-26923漏洞分析_cve-2024–26923(1),2024最新网易网络安全面试题目
最新发布
2401_84544363的博客
05-05 1134
本次漏洞产生的主要原因是计算机账户关键属性的ACL设置问题和ADCS检查客户端身份不严格导致,结合之前的samAccountName欺骗漏洞,AD域中涉及身份认证标识的问题不止一次,微软在AD域中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。本次漏洞利用简单,流量特征不明显难以检测,同时获取的AD域证书有效时间长,因此对于AD域的提权和权限维持都有很高的利用价值。
jmeter-Failed to create UDP port(UDP端口创建失败)
qq_40308101的博客
09-18 4333
出现该问题,就是jmeter的slave进程监听端口被占用,导致不能使用该端口 修改master机器的jmeter.property文件,该配置文件在jmeter的bin目录下,默认配置只开放了10个端口范围给监听使用,只需要修改即可 我这里改成30个,从4445到4475的端口都允许jmeter使用 jmeterengine.nongui.port=4445 jmeterengine.nongui.maxport=4475 ...
Windows远程管理WinRM,Enter-PSSession
tiger57的博客
02-03 3695
Windows远程管理WinRM,Enter-PSSession
winRM横向移动
网络安全。
02-15 2120
0x01 winRM简介 WinRM 是 Microsoft 对 WS-Management 协议的实现,WS-Management 协议即一种基于标准简单对象访问协议[SOAP]的 “防火墙友好” 协议,它让来自不同供应商的硬件和操作系统能够互相操作。winRM的默认端口5985(http)或5986(https)。 winRM横向移动同时适用于工作组和域环境。 0x02 利用条件 1、在w...
开启和关闭Windows远程管理(WinRM)
热门推荐
慢谈人生
12-01 3万+
Windows远程管理(WinRM)是Windows Server 2003 R2以上版本中一种新式的方便远程管理的服务。WinRM是远程管理应用的“服务器”组成部分,并且WinRS(Windows远程Shell)是WinRM的“客户端”,它在远程管理WinRM服务器的计算机上运行。 然而,我们应该注意到两个计算机必须手动安装WinRS,还要使WinRM能够启动并从远程系统传回信息。 WinRM基于Web服务管理(WS-Management)标准。 这么说的意思是:WinRM使用HTTP协议(80/5
Atitit. 解决80端口 System 占用pid 4,,找到拉个程序或者服务占用http 80服务
weixin_34198762的博客
10-18 211
Atitit. 解决80端口  System 占用pid 4,,找到拉个程序或者服务占用http服务     这个是http.sys系统服务占用了...   net stop http ,三,没法儿终止   1. 寻找拉个程序占用李这个端口http服务   “netsh http show servicestate”这条命令的输出结果,我就能找出是哪个应用程序在使用Http.sys。     ...
80端口被占用时的终极解决方法
xyl的博客
02-15 1400
【摘要】 之前在某次安全测试时,遇到一个80端口被占用的坑,将解决方法共享出来。 使用netstat -ano 命令查看是哪个进程正在占用80端口 之前在某次安全测试时,遇到一个80端口被占用的坑,将解决方法共享出来 使netstat -ano 命令查看是哪个进程正在占用80端口 PID为4的进程正在占用80端口。此进程为system进程,无法直接结束进程 使用netsh命令查看http端口使用状态 netsh http show servicetstate 这里可以
windows端口监听工具_红蓝对抗 | Windows利用WinRM实现端口复用打造隐蔽后门
weixin_42153615的博客
01-26 2029
目录WinRM端口复用原理端口复用配置新增80端口监听修改WinRM默认监听的端口远程连接WinRMWinRM端口复用原理该端口复用的原理是使用Windows的远程管理服务WinRM,结合 HTTP.sys 驱动自带的端口复用功能,一起实现正向的端口复用后门。关于WinRM服务,传送门:WinRM远程管理工具的使用而HTTP.sys驱动是IIS的主要组成部分,主要负责HTTP协议相关的...
windows命令行查看端口的几个命令
Struggle
03-21 3564
列出所有端口的情况,输入命令:netstat -ano查看被占用端口对应的PID,输入命令:netstat -aon|findstr "8080"查看进程的pid是哪个应用程序,tasklist|findstr "2720"
网安学习零基础学习课程
08-12
在进行网络安全学习时,对于零基础学习者来说,第一步是要了解基本的概念和术语,例如SQL注入和XSS跨站脚本攻击。此外,对于一些常用的安全工具如Burp、MSF和CS等也需要了解其基本操作。<span class="em">1</span>...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值