Window權限維持(三):服務
如果未正確配置Windows環境中的服務或這些服務可以用作持久性方法,則這些服務可能導致權限提升。創建一個新的服務需要管理員級別的特權,它已經不是隱蔽的持久性技術。然而,在紅隊的行動中,針對那些在威脅檢測方面還不成熟的公司,可以用來制造進一步的干擾,企業應建立SOC能力,以識別在其惡意軟件 ...
原文:Window權限維持(七):安全支持提供者
安全支持提供程序 SSP 是Windows API,用於擴展Windows身份驗證機制。LSASS進程正在Windows啟動期間加載安全支持提供程序DLL。這種行為使紅隊的攻擊者可以刪除一個任意的SSP DLL以便與LSASS進程進行交互並記錄該進程中存儲的所有密碼,或者直接用惡意的SSP對該進程進行修補而無需接觸磁盤。該技術可用於收集一個系統或多個系統中的憑據,並將這些憑據與另一個協議 例如R ...
2019-11-11 13:40 0 300 推薦指數:
相關推薦
Window權限維持(六):BITS Jobs
Windows操作系統包含各種實用程序,系統管理員可以使用它們來執行各種任務。這些實用程序之一是后台智能傳輸服務(BITS),它可以促進文件到Web服務器(HTTP)和共享文件夾(SMB)的傳輸能力。Microsoft提供了一個名為“ bitsadmin ” 的二進制文件 ...
Window權限維持(九):端口監視器
后台打印程序服務負責管理Windows操作系統中的打印作業。與服務的交互通過打印后台處理程序API執行,該API包含一個函數(AddMonitor),可用於安裝本地端口監視器並連接配置、數據和監 ...
Window權限維持(五):屏幕保護程序
屏幕保護是Windows功能的一部分,使用戶可以在一段時間不活動后放置屏幕消息或圖形動畫。眾所周知,Windows的此功能被威脅參與者濫用為持久性方法。這是因為屏幕保護程序是具有.scr文件擴展 ...
Window權限維持(四):快捷方式修改
Windows快捷方式包含對系統上安裝的軟件或文件位置(網絡或本地)的引用。自從惡意軟件出現之初,便已將快捷方式用作執行惡意代碼以實現持久性的一種方法。快捷方式的文件擴展名是.LNK,它為紅隊提供了很多機會來執行各種格式的代碼(exe,vbs,Powershell,scriptlet ...
Window權限維持(二):計划任務
Windows操作系統提供了一個實用程序(schtasks.exe),使系統管理員能夠在特定的日期和時間執行程序或腳本。這種行為可作為一種持久性機制被red team利用。通過計划任務執行持久性不需要管理員權限,但如果已獲得提升的權限,則允許進一步操作,例如在用戶登錄期間或在空閑狀態期間 ...
Window權限維持(一):注冊表運行鍵
,如Metasploit、Empire和SharPersist,都提供了這種能力,因此,成熟的SOC團 ...
【權限維持】window服務端常見后門技術
0x00 前言 未知攻焉知防,攻擊者在獲取服務器權限后,通常會用一些后門技術來維持服務器權限,服務器一旦被植入后門,攻擊者如入無人之境。這里整理一些window服務端常見的后門技術,了解攻擊者的常見后門技術,有助於更好去發現服務器安全問題。 常見的后門技術列表: 1、隱藏、克隆賬戶 ...