【權限維持】window服務端常見後門技術

0x00 前言

　　未知攻焉知防，攻擊者在獲取服務器權限後，一般會用一些後門技術來維持服務器權限，服務器一旦被植入後門，攻擊者如入無人之境。這裏整理一些window服務端常見的後門技術，瞭解攻擊者的常見後門技術，有助於更好去發現服務器安全問題。

常見的後門技術列表：

一、隱藏、克隆帳戶

二、shift後門

三、啓動項、計劃任務

四、劫持技術

五、Powershell後門

六、遠控軟件

七、嗅探技術

0x01 隱藏、克隆帳號

window 隱藏系統用戶製做：

一、CMD命令行下，創建了一個用戶名爲「test$」，密碼爲「abc123!」的簡單隱藏帳戶,而且把該隱藏帳戶提高爲了管理員權限。

PS:CMD命令行使用"net user",看不到"test$"這個帳號，但在控制面板和本地用戶和組是能夠顯示此用戶的。

二、「開始」→「運行」，輸入「regedt32.exe」後回車,須要到「HKEY_LOCAL_MACHINE\SAM\SAM」，單機右建權限，把名叫：administrator的用戶給予：徹底控制以及讀取的權限，在後面打勾就行，而後關閉註冊表編輯器，再次打開便可。

三、來到註冊表編輯器的「HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names」處，點擊test$用戶，獲得在右邊顯示的鍵值中的「類型」一項顯示爲0x3ec，找到箭頭所指目錄。

四、扎到administrator所對應的的項爲「000001F4」，將「000001F4」的F值複製到「000003EC」的F值中，保存。

 

 五、分別test$和「000003EC導出到桌面，刪除test$用戶   net user test$ /del

六、將剛纔導出的兩個後綴爲.reg的註冊表項導入註冊表中。這樣所謂的隱藏帳戶就建立好了。

PS：無論你是在命令提示符下輸入net user 或者在系統用戶管理界面都是看不到test$r這個帳戶的，只有在註冊表中才能看獲得。

檢測和清理方法：

使用D盾_web查殺工具，使用克隆帳號檢測功能進行查看，可檢測出隱藏、克隆帳號。

 

0x02 shift後門

Shift 五次粘滯鍵後門製做：

將C盤windows目錄下面的system32文件裏面的sethc.exe應用程序進行轉移，並生成sethc.exe.bak文件。並將cmd.exe拷貝覆蓋sethc.exe

C:\>cd WINDOWS\system32

C:\WINDOWS\system32>move sethc.exe sethc.exe.bak
移動了         1 個文件。

C:\WINDOWS\system32>copy cmd.exe sethc.exe
覆蓋 sethc.exe 嗎? (Yes/No/All): Yes
已複製         1 個文件。

直接按5次shift鍵彈出cmd窗口，可直接以system權限執行系統命令，建立管理員用戶，登陸服務器等。

搜索關鍵詞 "shift後門",可進一步瞭解各式各樣的shift後門。

檢測和清理方法：

一、遠程登陸服務器的時候，連續按5次shift鍵，確認服務器是否被入侵。

二、拒絕使用sethc.exe或禁用Shift鍵

 

各式各樣的shift後門

http://xiaowang.blog.51cto.com/1083/314046/

純手工打造服務器自解壓shift後門

https://www.exehack.net/160.html

Shift後門的檢測與清除

http://server.zzidc.com/fwqcjwt/502.html

2008服務器提權提高之遠程鏈接安裝shift後門

https://www.exehack.net/2965.html

0x03 啓動項、計劃任務等

　　保存如下內容，新建bat文件，利用windows的啓動項、任務計劃等功能執行惡意腳原本維護權限。利用bat轉exe工具，可轉換爲exe。

@echo off
net user test$ abc123! /add 
net localgroup administrators test$ /add

【啓動項】

一、window--開始--全部程序--啓動

二、將test.bat 加入啓動項

【組策略欺騙】

組策略，運行gpedit.msc，經過最策略的「腳本(啓動/關機)」項來講實現。

具體位置在「計算機配置→Windows設置」項下。由於其極具隱蔽性，所以經常被攻擊者利用來作服務器後門。

【計劃任務】

一、window--開始--全部程序--附件--系統工具--任務計劃程序

二、建立計劃任務--添加test.bat

【服務】

 將後門腳本註冊爲window服務，自啓動。

【放大鏡後門】

　　攻擊者就用精心構造的magnify.exe同名文件替換放大鏡程序，從而達到控制服務器的目的。

　　一般狀況下，攻擊者經過構造的magnify.exe程序建立一個管理員用戶，而後登陸系統。固然有的時候他們也會經過其直接調用命令提示符(cmd.exe)或者系統shell(explorer.exe)。須要說明的是，這樣調用的程序都是system權限，即系統最高權限。不過，以防萬一當管理員在運行放大鏡程序時發現破綻，攻擊者通常經過該構造程序完成所需的操做後，最後會運行真正的放大鏡程序，以矇騙管理員。

 【telnet後門】

　　telnet是命令行下的遠程登陸工具，不過在服務器管理時使用很少也常爲管理員所忽視。攻擊者若是在控制一臺服務器後，開啓「遠程桌面」進行遠程控制很是容易被管理員察覺，可是啓動Telnet進行遠程控制卻不容易被察覺。不過，telnet的默認端口是23，若是開啓後，別人是很容易掃描到的，所以攻擊者會更改telnet的端口，從而獨享該服務器的控制權。

檢測和清理方法：

一、查看啓動項、計劃任務、服務等是否有異常

二、查看進程、端口是否有異常

 

0x04 劫持技術

【LPK劫持技術】

　　lpk.dll病毒是當下比較流行的一類病毒，而正常系統自己也會存在lpk.dll文件，這足以說明這類病毒的危險性。系統自己的lpk.dll文件位於C:\WINDOWS\system32和C:WINDOWS\system\dllcache目錄下。lpk.dll病毒的典型特徵是感染存在可執行文件的目錄，並隱藏自身，刪除後又再生成，當同目錄中的exe文件運行時，lpk.dll就會被Windows動態連接，從而激活病毒，進而致使不能完全清除。

一、運行T00ls Lpk Sethc v4，設置2鍵啓動（65/66即ab），設置密碼（123），生成文件，文件名lpk.dll

二、lpk.dll複製到一個含有exe的文件夾，運行Getpass.exe，便可實現劫持

三、遠程登陸服務器，按下5次shift鍵，再按上面設置的2鍵啓動（ab），輸入密碼，跳出以下界面：

【映像劫持技術】

 　　所謂的映像劫持就是Image File Execution Options（IFEO）,位於註冊表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

一、打開註冊表，選擇Image File Execution Options，新建個項，而後這個項（默認在最後面）改爲123.exe

二、選擇123.exe這個項，而後默認右邊是空白的，咱們點右鍵，新建個「字符串值」，而後更名爲「Debugger"

 三、雙擊該鍵，修改數據數值（其實就是路徑），把它改成 C:\WINDOWS\system32\cmd.exe，肯定。

四、找個擴展名爲EXE的，更名爲123.exe（Getpass.exe）， 而後運行之，出現了DOS操做框。

Getpass.exe效果：

更名123.exe運行效果：

【com劫持技術】 

 　　打開文件夾就能運行指定的程序？這不是天方夜譚，而是在現實世界中確實存在的。利用COM劫持技術，能夠輕鬆實現出打開文件夾就運行指定代碼的功能。

1.精選CLSID，儘可能選擇系統應用範圍廣的CLSID，這樣的模塊能夠保證系統在進行不少功能時都會加載dll。咱們選擇的CLSID爲：{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}，其對應着CAccPropServicesClass類。修改註冊表，將CLSID對應的DLL文件修改爲實現了某些待定功能的文件（這個文件是由咱們精心構造的，否則沒法利用成功）。可經過將下列數據導入到註冊表實現

Windows RegistryEditor Version 5.00 

[HKEY_CLASSES_ROOT\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}]

[HKEY_CLASSES_ROOT\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}\InProcServer32]

@="freebuf.dll"

"ThreadingModel"="Apartment"

2. 新建文件夾，以CLSID作爲後綴名，同時將咱們的利用dll拷貝到系統目錄下: 這裏的文件名能夠充分發揮想象力(騙術)，利用社會工程學，起個誘惑的文件夾名，好比，目標喜歡日本姑娘，文件夾就叫作」 小澤にほんごかなニホンゴ(カナ).{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}」

3. 打開文件夾，成功利用 利用的步驟很簡單，其中最爲關鍵是咱們實現代碼的dll以及CLSID的選擇，這不是一個普通的dll，而是dll中的」戰鬥dll」，這是一個實現了COM接口的dll,而且在dll的導出函數的返回值有特殊要求。

 

參考連接：

http://www.freebuf.com/articles/system/115241.html

打開文件夾就運行？COM劫持利用新姿式 

https://3gstudent.github.io/Use-COM-Object-hijacking-to-maintain-persistence-Hijack-explorer.exe/

兩種利用COM劫持實現的後門方法

http://app.myzaker.com/news/article.php?pk=59a39b6b1bc8e0f76a000006

COM Object hijacking 後門的實現思路——劫持 CAccPropServicesClass and MMDeviceEnumerator

0x05 Powershell隱蔽後門

 

 

 

如何建立Powershell持久隱蔽後門

http://www.freebuf.com/articles/system/133640.html

Babadook：無鏈接的powershell持續性反彈後門

http://www.mottoin.com/89554.html

Schtasks-Backdoor: Powershell 權限維持後門

https://github.com/re4lity/Schtasks-Backdoor

如何優雅的維持住一個Web shell

https://bbs.ichunqiu.com/thread-23660-1-1.html

https://ub3r.cn/?p=30

 

0x06 遠控木馬

　　遠控木馬是一種惡意程序，其中包括在目標計算機上用於管理控制的後門。遠程訪問木馬一般與用戶請求的程序（如遊戲程序）一塊兒，是一種看不見的下載，或做爲電子郵件附件發送。一旦主機系統被攻破，入侵者能夠利用它來向其餘易受感染的計算機分發遠程訪問木馬，從而創建僵屍網絡。

通常分爲客戶端和服務端，如：灰鴿子、上興遠控、夢想時代、QuasarRAT等。

 

0x07 嗅探

　　Cain是你們都熟悉的一款軟件，具備arp欺騙加嗅探和密碼破解的功能，使用嗅探軟件抓取3389密碼。

 

嗅探3389密碼的具體過程講解

http://infosec.blog.51cto.com/226250/282888/

最後

歡迎關注我的微信公衆號：Bypass--，每週原創一篇技術乾貨。