内网渗透——权限维持

一、权限维持：

当攻击者获取服务器权限后，通常会采用一些后门技术来维持自己当前得到的权限，服务器一旦被植入后门，那么攻击者下次进入就方便多了。

由于攻击可能被发现，会清除一些shell，导致目标丢失，所以需要留下后门来维持权限，达到持续控制的目的。

二、获取windows系统登陆账号：

系统登陆账号存储位置：C:\Windows\System32\config\SAM。

在Windows系统中，对用户账户的安全管理采用了SAM（Security Account Manager，安全账号管理）机制，用户账户以及密码经过Hash加密之后，都保存在SAM数据库中。

SAM数据库保存在C:\WINDOWS\system32\config\SAM文件中，当用户登录系统时，首先就要与SAM文件中存放的账户信息进行对比，验证通过方可登录。系统对SAM文件提供了保护机制，无法将其复制或是删除，也无法直接读取其中的内容。

• SAM文件两种加密方式：

LM加密：密码最多14位，如果口令不足14位，不足的部分用0补齐，把所有的字符转变为大写，然后分成两组，每组7位，分别加密，然后拼接在一起，就是最终的LM散列，本质是DES加密。

NTLM加密：先将用户口令转变为unicode编码，再进行标准MD4单向哈希加密

LM加密安全性远低于NTLM加密，因为NTLM加密它允许使用更长的密码，允许有大小写的不同，而且也无须把密码分割成更小、更易于被破解的块。所以在一个纯NTLM环境中，应该关闭Lan Manager加密方式。

Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:AFFFEBA176210FAD4628F0524BFE1942::: 注：af到42是密码

• 非免杀工具版：

wce.exe

QuarksPwDump.exe

Pwdump7.exe

gethash.exe

mimikatz

• Windows读取管理员密码：

使用注册表导出hash：	reg save hklm\sam C:\hash\sam.hive reg save hklm\system C:\hash\system.hive
导出sam文件：	shadow copy （一般用在域控上几万 几十万用户的时候）
其他方式：	procdump（或者lsadump）+mimikatz Powershell+mimikatz powershell+getpasshash powershell+其他工具

• 破解方式：

在线破解：	http://cmd5.com https://somd5.com
本地破解：	暴力破解 LM加密 cain
NTLM加密：	ophcrack+彩虹表（彩虹表下载：http://ophcrack.sourceforge.net/tables.php）

• 抓取账号明文原理：

从lsass.exe进程中直接获取密码信息进行破解，而且该破解应该并非穷举方式，而是直接根据算法进行反向计算。

lsass.exe是系统进程，用于本地安全认证服务。

• 注意事项

（1）LM只能存储小于等于14个字符的密码hash，如果密码大于14位，windows就自动使用NTLM对其进行加密了，只有对应的NTLM hash可用了，在LM-Password中会以全0显示。

（2）一般情况下使用工具导出的hash都有对应的LM和NTLM值，也就是说这个密码位数<=14，这时LM也会有值，除了LM值全为0之外，在老版本中看到LM：aad3b435b51404eeaad3b435b51404ee开头显示的表示密码为空或者位数超过14位

（3）在win2K3之前包括win2K3会默认启用LM加密，win2K3之后的系统禁用了LM加密，使用NTLM加密

（4）LM方式的加密会存在一个对应的NTLM hash值

获取linux/unix系统登陆账号：

linux/unix账号信息存储位置：	/etc/passwd /etc/shadow
root:$1$Bg1H/4mz$X89TqH7tpi9dX1B9j5YsF.:14838:0:99999:7:::	当id为1时，使用md5加密，id为5，采用SHA256进行加密，id为6采用SHA512进行加。
破解：	John the ripper

安装后门程序：

• 常见的后门技术列表：

1、	攻击者在获取服务器权限后，通常会用一些后门技术来维持服务器权限，服务器一旦被植入后门，攻击者如入无人之境。
2、	隐藏、克隆账户。
3、shift后门：	原理：          利用cmd.exe重命名，并覆盖原来的粘连键。当我们再次触发粘连键时，相当于运行了cmd.exe  流程：          使用以下命令，将cmd.exe 重命名并替换掉shift（粘滞键）(sethc.exe)功能，这样在通过远程桌面登录服务器之后，在输入帐号密码处，按5次shift即可弹出cmd的命令行，权限为system。
4、	启动项、计划任务。
5、DLL劫持技术：	原理：         你安装了酷狗播放器，而酷狗播放器在播放音乐的时候必须调用Windows系统下一个标准动态链接库mp3play.dll，那么黑客就自己开发一个恶意的mp3play.dll，然后再找一个MP3歌曲，将这个恶意的DLL和歌曲放在同一个文件夹下，然后打包压缩发给受害者。 注：         如果受害者用右键将这个压缩包中的MP3文件和DLL文件都解压缩到了一个目录中（90%的人会这样干），那么当受害者点击这个MP3文件的时候，酷狗就会先去寻找mp3play.dll进行加载，而微软设计的加载dll顺序是先从默认文件本身的目录进行寻找，于是那个虚假的、恶意的mp3play.dll就先被加载运行了。
6、	Powershell后门。
7、	远控软件。