Windows权限维持
后门:绕过安全措施获取对程序或系统放弃那个文权限的方法,是一个留在目标主机上的软件,可以使攻击者随时与目标主机进行连接。
常见后门:
| 分类 | 说明 |
|---|---|
| shift后门 | 连按5次shift键,会以system权限启动粘滞键 粘滞键的位置: C:\windows\system32\sethc.exe 利用 用 cmd.exe或远控木马替换 windows\system32 目录下的粘滞键sethc.exe 如果出现拒绝访问,则需要修改权限: takeown /f c:\windows\system32\sethc.exe /a /r /d y cacls c:\windows\system32\*.* /T 防御: 1、 禁用该 sethc.exe 功能 或者在 “控制面板”中关闭“连续按5次shift键时启用粘滞键选项” 2、使用权限约束 sethc.exe,使任何人都不能访问它 |
| 映像劫持 | 在高版本的windows版本中替换的文件受到了系统的保护,所以需要进行 “映像劫持” 利用: 注册表位置: 1、在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Option 下添加一个项 sethc.exe 2、在新建的项中添加debugger键,键值设置为恶意程序的路径 或cmd直接添加、双击导出文件运行。 其他可以劫持的程序: 设置中心:C:\Windows\System32\utilman.exe, 快捷键:Windows+U 屏幕键盘:C:\Windows\System32\osk.exe 放大镜:C:\Windows\System32\Magnify.exe , 快捷键:Windows+加减号 |
| 计划任务 | windows7-: at,打开一个后台进程 每天定时执行: at 24:00:00 /every:M,T,W,TH,F,S,SU "c:\\windwos\\system32\\atd.exe" windows8+: schtasks,将定时的任务在前台执行 系统启动时运行 schtasks /create /tn "chrom" /tr cmd.exe /sc minute /mo 1 每分钟执行一次cmd 命令行乱码: chcp 936 GBK编码 chcp 65001 utf编码 |
| 开机启动 | 注册表启动项 1、 regedit打开注册表: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 2、 添加一个键值类型为REG_SZ 3、 在数据中填写需要运行程序的路径 4、cmd.exe 实现了开机后自启动 其他开机启动项(需要用户登录生效,退出则失效) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup |
| 注册服务 | sc create jihua binPath= "c:\\msf.exe" start= auto(注意=后均有空格,不可删除) EasyServerce、nssm等工具,自动注册服务,且有守护进程 |
| 影子账户 | 影子用户顾名思义就是一个隐藏用户,只能通过注册表查看这个用户,其它方式找不到这个用户的信息。影子账户可以获得管理员的权限,且不容易被发现 利用 1、创建一个隐藏用户 添加的test$用户在net user命令下是看不到的,但是在管理界面下可以看到 2、在注册表中打开 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/ 选项,点击Names菜单, 可以看到计算机中所有的账户名称 注意:如果进入SAM后无法再看到里面的子选项,需要给予administrators完权控制权限,并重新进入注册表 3、将administrator用户对应的项中的F值复制到 test$ 对应项中的F值,然后保存 4、将Names中的 test$ 和 对应的 Users 中的目录进行右键导出 5、将创建的隐藏账号 test$ 删除 6、双击刚才导出的两个注册表,影子账户就创建完成了 7、查看影子账户是否创建成功,只有在注册表中才能查看该账户 |
Linux权限维持
| 方法 | 说明 |
|---|---|
| 计划任务 | crontab -e 写入定时任务 * * */1 * * /bin/msf |
| 开机启动项 | centos中 /etc/rc.local为开机启动项 将程序放置此文件夹即可 /etc/profile为用户启动文件夹 |
| ssh公钥 | 将公钥写入/root/.ssh/authorized_keys |
| 第三方守护进程 | yum install supervisor |