0x00 前言
未知攻焉知防,攻擊者在獲取服務器權限后,通常會用一些后門技術來維持服務器權限,服務器一旦被植入后門,攻擊者如入無人之境。這里整理一些window服務端常見的后門技術,了解攻擊者的常見后門技術,有助於更好去發現服務器安全問題。
常見的后門技術列表:
1、隱藏、克隆賬戶
2、shift后門
3、啟動項、計划任務
4、劫持技術
5、Powershell后門
6、遠控軟件
7、嗅探技術
0x01 隱藏、克隆賬號
window 隱藏系統用戶制作:
1、CMD命令行下,建立了一個用戶名為“test$”,密碼為“abc123!”的簡單隱藏賬戶,並且把該隱藏賬戶提升為了管理員權限。
PS:CMD命令行使用"net user",看不到"test$"這個賬號,但在控制面板和本地用戶和組是可以顯示此用戶的。
2、“開始”→“運行”,輸入“regedt32.exe”后回車,需要到“HKEY_LOCAL_MACHINE\SAM\SAM”,單機右建權限,把名叫:administrator的用戶給予:完全控制以及讀取的權限,在后面打勾就行,然后關閉注冊表編輯器,再次打開即可。
3、來到注冊表編輯器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”處,點擊test$用戶,得到在右邊顯示的鍵值中的“類型”一項顯示為0x3ec,找到箭頭所指目錄。
4、扎到administrator所對應的的項為“000001F4”,將“000001F4”的F值復制到“000003EC”的F值中,保存。
5、分別test$和“000003EC導出到桌面,刪除test$用戶 net user test$ /del
6、將剛才導出的兩個后綴為.reg的注冊表項導入注冊表中。這樣所謂的隱藏賬戶就創建好了。
PS:不管你是在命令提示符下輸入net user 或者在系統用戶管理界面都是看不到test$r這個賬戶的,只有在注冊表中才能看得到。
檢測和清理方法:
使用D盾_web查殺工具,使用克隆賬號檢測功能進行查看,可檢測出隱藏、克隆賬號。
0x02 shift后門
Shift 五次粘滯鍵后門制作:
將C盤windows目錄下面的system32文件里面的sethc.exe應用程序進行轉移,並生成sethc.exe.bak文件。並將cmd.exe拷貝覆蓋sethc.exe
C:\>cd WINDOWS\system32 C:\WINDOWS\system32>move sethc.exe sethc.exe.bak 移動了 1 個文件。 C:\WINDOWS\system32>copy cmd.exe sethc.exe 覆蓋 sethc.exe 嗎? (Yes/No/All): Yes 已復制 1 個文件。
直接按5次shift鍵彈出cmd窗口,可直接以system權限執行系統命令,創建管理員用戶,登錄服務器等。
搜索關鍵詞 "shift后門",可進一步了解各式各樣的shift后門。
檢測和清理方法:
1、遠程登錄服務器的時候,連續按5次shift鍵,確認服務器是否被入侵。
2、拒絕使用sethc.exe或禁用Shift鍵
各式各樣的shift后門
http://xiaowang.blog.51cto.com/1083/314046/
純手工打造服務器自解壓shift后門
https://www.exehack.net/160.html
Shift后門的檢測與清除
http://server.zzidc.com/fwqcjwt/502.html
2008服務器提權提升之遠程連接安裝shift后門
https://www.exehack.net/2965.html
0x03 啟動項、計划任務等
保存以下內容,新建bat文件,利用windows的啟動項、任務計划等功能執行惡意腳本來維護權限。利用bat轉exe工具,可轉換為exe。
@echo off net user test$ abc123! /add net localgroup administrators test$ /add
【啟動項】
1、window--開始--所有程序--啟動
2、將test.bat 加入啟動項
【組策略欺騙】
組策略,運行gpedit.msc,通過最策略的“腳本(啟動/關機)”項來說實現。
具體位置在“計算機配置→Windows設置”項下。因為其極具隱蔽性,因此常常被攻擊者利用來做服務器后門。
【計划任務】
1、window--開始--所有程序--附件--系統工具--任務計划程序
2、創建計划任務--添加test.bat
【服務】
將后門腳本注冊為window服務,自啟動。
【放大鏡后門】
攻擊者就用精心構造的magnify.exe同名文件替換放大鏡程序,從而達到控制服務器的目的。
通常情況下,攻擊者通過構造的magnify.exe程序創建一個管理員用戶,然后登錄系統。當然有的時候他們也會通過其直接調用命令提示符(cmd.exe)或者系統shell(explorer.exe)。需要說明的是,這樣調用的程序都是system權限,即系統最高權限。不過,以防萬一當管理員在運行放大鏡程序時發現破綻,攻擊者一般通過該構造程序完成所需的操作后,最后會運行真正的放大鏡程序,以蒙騙管理員。
【telnet后門】
telnet是命令行下的遠程登錄工具,不過在服務器管理時使用不多也常為管理員所忽視。攻擊者如果在控制一台服務器后,開啟“遠程桌面”進行遠程控制非常容易被管理員察覺,但是啟動Telnet進行遠程控制卻不容易被察覺。不過,telnet的默認端口是23,如果開啟后,別人是很容易掃描到的,因此攻擊者會更改telnet的端口,從而獨享該服務器的控制權。
檢測和清理方法:
1、查看啟動項、計划任務、服務等是否有異常
2、查看進程、端口是否有異常
0x04 劫持技術
【LPK劫持技術】
lpk.dll病毒是當下比較流行的一類病毒,而正常系統本身也會存在lpk.dll文件,這足以說明這類病毒的危險性。系統本身的lpk.dll文件位於C:\WINDOWS\system32和C:WINDOWS\system\dllcache目錄下。lpk.dll病毒的典型特征是感染存在可執行文件的目錄,並隱藏自身,刪除后又再生成,當同目錄中的exe文件運行時,lpk.dll就會被Windows動態鏈接,從而激活病毒,進而導致不能徹底清除。
1、運行T00ls Lpk Sethc v4,設置2鍵啟動(65/66即ab),設置密碼(123),生成文件,文件名lpk.dll
2、lpk.dll復制到一個含有exe的文件夾,運行Getpass.exe,即可實現劫持
3、遠程登錄服務器,按下5次shift鍵,再按上面設置的2鍵啟動(ab),輸入密碼,跳出如下界面:
【映像劫持技術】
所謂的映像劫持就是Image File Execution Options(IFEO),位於注冊表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
1、打開注冊表,選擇Image File Execution Options,新建個項,然后這個項(默認在最后面)改成123.exe
2、選擇123.exe這個項,然后默認右邊是空白的,我們點右鍵,新建個“字符串值”,然后改名為“Debugger"
3、雙擊該鍵,修改數據數值(其實就是路徑),把它改為 C:\WINDOWS\system32\cmd.exe,確定。
4、找個擴展名為EXE的,改名為123.exe(Getpass.exe), 然后運行之,出現了DOS操作框。
Getpass.exe效果:
改名123.exe運行效果:
【com劫持技術】
打開文件夾就能運行指定的程序?這不是天方夜譚,而是在現實世界中確實存在的。利用COM劫持技術,可以輕松實現出打開文件夾就運行指定代碼的功能。
1.精選CLSID,盡量選擇系統應用范圍廣的CLSID,這樣的模塊可以保證系統在進行很多功能時都會加載dll。我們選擇的CLSID為:{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7},其對應着CAccPropServicesClass類。修改注冊表,將CLSID對應的DLL文件修改成實現了某些待定功能的文件(這個文件是由我們精心構造的,不然無法利用成功)。可通過將下列數據導入到注冊表實現
Windows RegistryEditor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}] [HKEY_CLASSES_ROOT\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}\InProcServer32] @="freebuf.dll" "ThreadingModel"="Apartment"
2. 新建文件夾,以CLSID做為后綴名,同時將我們的利用dll拷貝到系統目錄下: 這里的文件名可以充分發揮想象力(騙術),利用社會工程學,起個誘惑的文件夾名,比如,目標喜歡日本姑娘,文件夾就叫做” 小澤にほんごかなニホンゴ(カナ).{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}”
3. 打開文件夾,成功利用 利用的步驟很簡單,其中最為關鍵是我們實現代碼的dll以及CLSID的選擇,這不是一個普通的dll,而是dll中的”戰斗dll”,這是一個實現了COM接口的dll,並且在dll的導出函數的返回值有特殊要求。
參考鏈接:
http://www.freebuf.com/articles/system/115241.html
打開文件夾就運行?COM劫持利用新姿勢
https://3gstudent.github.io/Use-COM-Object-hijacking-to-maintain-persistence-Hijack-explorer.exe/
兩種利用COM劫持實現的后門方法
http://app.myzaker.com/news/article.php?pk=59a39b6b1bc8e0f76a000006
COM Object hijacking 后門的實現思路——劫持 CAccPropServicesClass and MMDeviceEnumerator
0x05 Powershell隱蔽后門
如何創建Powershell持久隱蔽后門
http://www.freebuf.com/articles/system/133640.html
Babadook:無連接的powershell持續性反彈后門
http://www.mottoin.com/89554.html
Schtasks-Backdoor: Powershell 權限維持后門
https://github.com/re4lity/Schtasks-Backdoor
如何優雅的維持住一個Web shell
https://bbs.ichunqiu.com/thread-23660-1-1.html
https://ub3r.cn/?p=30
0x06 遠控木馬
遠控木馬是一種惡意程序,其中包括在目標計算機上用於管理控制的后門。遠程訪問木馬通常與用戶請求的程序(如游戲程序)一起,是一種看不見的下載,或作為電子郵件附件發送。一旦主機系統被攻破,入侵者可以利用它來向其他易受感染的計算機分發遠程訪問木馬,從而建立僵屍網絡。
一般分為客戶端和服務端,如:灰鴿子、上興遠控、夢想時代、QuasarRAT等。
0x07 嗅探
Cain是大家都熟悉的一款軟件,具有arp欺騙加嗅探和密碼破解的功能,使用嗅探軟件抓取3389密碼。
嗅探3389密碼的具體過程講解
http://infosec.blog.51cto.com/226250/282888/
最后
歡迎關注個人微信公眾號:Bypass--,每周原創一篇技術干貨。
