出品|MS08067实验室
本文作者:BlackCat(Ms08067内网安全小组成员)
BlackCat微信(欢迎骚扰交流):
前言:
昨天做CS批量上线的时候发现,内网渗透的本质都是信息收集,也就是收集各种账号密码,一旦有了密码,这个系统也就不攻而破了。然后就在网上以及查阅资料中,整理了以下的搜集姿势。
权限维持:
比如通过钓鱼邮件,批量获取了一批上线机器,但是我们不能第上来就进行其他主机的渗透,第一步应 该进行维稳加固。
维稳方法一:加入出册表自启动
之所以放入注册表中,是由于我们后期的操作可能需要一个正常用户权限的shell,因为有些操作必须在对应的用户权限下才能正常进行,比如wmi,schtasks,net user,截屏,键盘记录等等。。
在网上翻阅了一大堆的关于这个方法的资料
参考链接:
网上大佬的脚本方法我没能实验成功,就算成功了,上传会不会被杀也不一定,所以我选择了最保守的 方法利用beacon执行cmd的命令来修改注册表:
这里用到了reg命令:eg命令是Windows提供的,它可以添加、更改和显示注册表项中的注册表子项信息和值。
首先我们要知道,注册表里开机自启动的目录是什么:
Win+R执行regedit后依次打开以下目录
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
这样就能看到开机自启动的内容都有什么:
这个在cmd中的命令为
REG query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run#显示这个目录下的所有的值
在beacon中执行就是前面加个shell