.NET内网实战：通过waitfor实现内网权限维持

阅读须知

此文所节选自小报童《.NET 内网实战攻防》专栏，主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧，对内网和后渗透感兴趣的朋友们可以订阅该电子报刊，解锁更多的报刊内容。

基本介绍

本文内容部分节选自小报童《.NET 通过指定的COM接口执行命令绕过UAC》，完整的文章内容请加入小报童后订阅查看。现在限时只需59元，永久买断！目前已有240+位朋友抢先预定，我们会长期更新，对.NET内网安全的朋友们请尽快订阅该报刊！

原理分析

在Windows操作系统中，UAC（用户帐户控制）机制用于防止未经授权的程序以管理员权限执行操作，从而增加系统安全性。渗透测试人员利用 ICMLuaUtil 接口的 ShellExec 方法，结合 COM 接口创建具有提升权限的 COM 对象，可以在不触发 UAC 弹窗的情况下启动具有管理员权限的进程

3.1 Waitfor

Waitfor.exe 主要用于在 Windows 环境中实现信号或者事件的等待和同步功能，控制程序的执行顺序或在特定条件下暂停执行，使得 Waitfor.exe 成为系统管理、自动化任务和定时任务中的一个重要工具。Waitfor.exe有一个参数 <name>：表示需要等待的信号名称，可以是任意字符串。

比如，在我们接收到名为 dotNetMatrix 的信号后，使用启动本地计算器进程，具体命令如下所示。

waitfor dotNetMatrix && calc.exe

接着，在本地计算机上发送一个名为 dotNetMatrix 的信号，有个参数/si 表示等待一个指定的信号。这个参数的意思是等待信号并在成功接收到信号时返回，运行后如下图所示。

3.2 .NET创建WMI后门

我们的思路是通过创建了一个 WMI 管理类对象，指向 rootcimv2 命名空间。这是 Windows 中用于管理系统资源的核心命名空间，接着，设置类名为 Win32_Backdoor，并通过 Put() 方法保存，再使用 Properties.Add 方法为管理类添加名为 Code 的属性，值为执行计算器的命令。

managementClass.Name = "Win32_Backdoor";
managementClass.Put();
managementClass.Properties.Add("Code", "cmd /c start calc.exe");

实战中，需要将Code 属性中的命令替换成输入的参数命令。

3.3 内网实战利用

首先，通过.NET控制台生成一个自动化利用程序Waitfor.exe，在信号接收端主机运行自定义的waitfor控制台程序，这里启动命令calc，当然也可以替换成别的系统命令，当接收到信号指定后成功启动calc进程

随后，在信号发送端机器上执行以下命令，表示向信号接收端 192.168.101.77 发送名为dotNetMatrix 的信号。

综上，Waitfor 可用于维持目标主机的权限。通过此工具，攻击者可以在内网中被攻击的系统上保持持久的控制权，并在接收到特定信号后执行指定的操作。想要了解完整或者更多的内网安全方向的文章，可以移步订阅小报童《.NET 内网实战攻防》电子报刊。

欢迎加入.NET 电子报刊

我们的小报童电子报刊【.NET内网安全攻防】也开始运营，引入小报童也是为了弥补知识星球对于轻量级阅读支持的不足，为用户读者提供更佳的阅读体验。如果您对阅读体验的需求比较高，那么可以订阅这个专栏。

本次电子报刊《.NET 内网安全攻防》专栏，内容主要有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧，可细分为以下8个方向。

1） .NET 安全防御绕过
2） .NET 本地权限提升
3） .NET 内网信息收集
4） .NET 内网代理通道
5） .NET 内网横向移动
6） .NET 目标权限维持
7） .NET 数据传输外发
8） .NET 目标痕迹清理

原价899，现在限时只需59元，永久买断！目前已有240+位朋友抢先预定，我们会长期更新，初步计划保持每周更新1-2篇新内容，对.NET内网安全的朋友们请尽快订阅该报刊！

每增加五十人涨价10元，抓紧订阅，超值！订阅后请关注公众号：dotNet安全矩阵，发送订单截图和您的微信号，邀请您加入专属交流群。感兴趣的朋友，可以点击链接：https://xiaobot.net/p/dotNetAttack，或者扫描下方海报微信二维码加入即可，订阅后小报童定时会将最新内容通过微信推送给您。