后渗透-Windows权限维持

  • by

记得以前记录过一篇,现在来看,还差了点,以后来看,这篇也肯定会差了火候

新姿势满满,收获颇丰; 个人仅仅测试了部分内容 ,如有需求,回过头来仔细测试

参考这四篇即可:

https://www.secpulse.com/archives/103301.html
http://xnianq.cn/2018/07/23/windows%E5%90%8E%E9%97%A8%E7%A7%8D%E6%A4%8D%E6%96%B9%E5%BC%8F%E6%94%B6%E9%9B%86/
https://github.com/Ridter/Intranet_Penetration_Tips
https://paper.seebug.org/1007/


参考:https://github.com/Ridter/Intranet_Penetration_Tips

一.常见
 Services 创建服务 sc create [ServerName] binPath= BinaryPathName
 计划任务
 二.利用系统自带软件
 waitfor 
 bitsadmin
 WMI : 存储
 mof mofcomp test.mof
 Netsh
 三.劫持与替换
 Browser Helper Objects
 AppInit_DLLs
 文件关联
 Userland Persistence With Scheduled Tasks 劫持计划任务UserTask,在系统启动时加载dll
 Shim 常用方式: InjectDll RedirectShortcut RedirectEXE
 DLL劫持
 DoubleAgent
 AppDomainManager
 Office
 CLR
 msdtc
 Windows FAX DLL Injection
 Password Filter DLL
 利用BHO实现IE浏览器劫持
 四.注册表
 Run/RunOnce Keys
 BootExecute Key
 Userinit Key
 Startup Keys
 Hijack CAccPropServicesClass and MMDeviceEnumerato
 Hijack explorer.exe
 Logon Scripts
 五.特殊
 特殊注册表键值
 快捷方式后门

参考:https://paper.seebug.org/1007/

一.辅助功能镜像劫持  在注册表中创建一个辅助功能的注册表项,并根据镜像劫持的原理添加键值,实现系统在未登录状态下,通过快捷键运行自己的程序。    管理员    https://attack.mitre.org/techniques/T1015/https://attack.mitre.org/techniques/T1183/

1.映像劫持技术
https://paper.seebug.org/1007/
C:\Windows\System32\sethc.exe 粘滞键 快捷键:按五次shift键
C:\Windows\System32\utilman.exe 设置中心 快捷键:Windows+U键
映像劫持 “IFEO”(Image File Execution Options)

二.进程注入之AppCertDlls 注册表项 编写了一个dll,创建一个AppCertDlls注册表项,在默认键值中添加dll的路径,实现了对使用特定API进程的注入。 管理员 https://attack.mitre.org/techniques/T1182/
三.进程注入之AppInit_DLLs注册表项 在某个注册表项中修改AppInit_DLLs和LoadAppInit_DLLs键值,实现对加载user32.dll进程的注入。 管理员 https://attack.mitre.org/techniques/T1103/
四.BITS 的灵活应用 通过bitsadmin命令加入传输任务,利用BITS的特性,实现每次重启都会执行自己的程序。 用户 https://attack.mitre.org/techniques/T1197/

五.Com组件劫持 编写了一个dll,放入特定的路径,在注册表项中修改默认和 ThreadingModel键值,实现打开计算器就会运行程序。 用户 https://attack.mitre.org/techniques/T1122/

1.使用CLR维持权限 参考:https://www.4hou.com/technology/6863.html

2.通过劫持CAccPropServicesClass以及MMDeviceEnumerator实现的后门
https://www.gdatasoftware.com/blog/2014/10/23941-com-object-hijacking-the-discreet-way-of-persistence
http://app.myzaker.com/news/article.php?pk=59a39b6b1bc8e0f76a000006
https://blog.csdn.net/weixin_33805557/article/details/90354996
https://yq.aliyun.com/articles/214219

3.通过劫持MruPidlList实现的后门思路
https://yq.aliyun.com/articles/214219

六.DLL劫持 编写了一个lpk.dll,根据Windows的搜索模式放在指定目录中,修改注册表项,实现了开机启动执行dll。 用户 https://attack.mitre.org/techniques/T1038/

1.LPK劫持技术

七.Winlogon helper 编写了一个dll,里面有一个导出函数,修改注册表项,实现用户登录时执行导出函数。 管理员 https://attack.mitre.org/techniques/T1004/

1.Logon Scripts后门 组策略可用
https://www.4hou.com/technology/7403.html(在驱动之前)
New-ItemProperty "HKCU:Environment" UserInitMprLogonScript -value "c:\test\11.bat" -propertyType string | Out-Null

2.userinit注册表后门 管理员权限
https://www.cnblogs.com/-1au/articles/10176394.html(msf脚本)
https://www.3hack.com/note/99.html
Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\WINDOWS NT\CurrentVersion\Winlogon" -name Userinit -value "C:\Windows\system32\userinit.exe,xxxxx"

八.篡改服务进程 编写一个服务进程,修改服务的注册表项,实现了开机启动自己的服务进程。 管理员 https://attack.mitre.org/techniques/T1031/
九.替换屏幕保护程序 修改注册表项,写入程序路径,实现在触发屏保程序运行时我们的程序被执行 用户 https://attack.mitre.org/techniques/T1180/
十.创建新服务 编写具有添加服务和修改注册表功能的程序以及有一定格式的dll,实现服务在后台稳定运行。 管理员 https://attack.mitre.org/techniques/T1050/
十一.启动项 根据Startup目录和注册表Run键,创建快捷方式和修改注册表,实现开机自启动 用户 https://attack.mitre.org/techniques/T1060/
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
十二.WMI事件过滤 用WMIC工具注册WMI事件,实现开机120秒后触发设定的命令 管理员 https://attack.mitre.org/techniques/T1084/
十三.Netsh Helper DLL 编写了一个netsh helper dll,通过netsh命令加入了 helper 列表,并将netsh 加入了计划任务,实现开机执行DLL 管理员 https://attack.mitre.org/techniques/T1128/

其中个人感兴趣并测试了:

mstsvc (成功)
persistence (成功)
图形化工具:taskschd.msc (图形化创建)
命令行工具:schtasks.exe (cmd下创建)
影子账户 (成功)
bitsadmin (以前测试)
Run/RunOnce Keys (自行添加)
映像劫持(IFEO) (失败)
powershell 成功 nishang 成功

2019.9.23

发表评论

电子邮件地址不会被公开。 必填项已用*标注