【权限维持】window服务端常见后门技术

0x00 前言

　　未知攻焉知防，攻击者在获取服务器权限后，一般会用一些后门技术来维持服务器权限，服务器一旦被植入后门，攻击者如入无人之境。这里整理一些window服务端常见的后门技术，了解攻击者的常见后门技术，有助于更好去发现服务器安全问题。

常见的后门技术列表：

一、隐藏、克隆帐户

二、shift后门

三、启动项、计划任务

四、劫持技术

五、Powershell后门

六、远控软件

七、嗅探技术

0x01 隐藏、克隆帐号

window 隐藏系统用户制做：

一、CMD命令行下，创建了一个用户名为“test$”，密码为“abc123!”的简单隐藏帐户,而且把该隐藏帐户提高为了管理员权限。

PS:CMD命令行使用"net user",看不到"test$"这个帐号，但在控制面板和本地用户和组是能够显示此用户的。

二、“开始”→“运行”，输入“regedt32.exe”后回车,须要到“HKEY_LOCAL_MACHINE\SAM\SAM”，单机右建权限，把名叫：administrator的用户给予：彻底控制以及读取的权限，在后面打勾就行，而后关闭注册表编辑器，再次打开便可。

三、来到注册表编辑器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”处，点击test$用户，获得在右边显示的键值中的“类型”一项显示为0x3ec，找到箭头所指目录。

四、扎到administrator所对应的的项为“000001F4”，将“000001F4”的F值复制到“000003EC”的F值中，保存。

 

 五、分别test$和“000003EC导出到桌面，删除test$用户   net user test$ /del

六、将刚才导出的两个后缀为.reg的注册表项导入注册表中。这样所谓的隐藏帐户就建立好了。

PS：无论你是在命令提示符下输入net user 或者在系统用户管理界面都是看不到test$r这个帐户的，只有在注册表中才能看获得。

检测和清理方法：

使用D盾_web查杀工具，使用克隆帐号检测功能进行查看，可检测出隐藏、克隆帐号。

 

0x02 shift后门

Shift 五次粘滞键后门制做：

将C盘windows目录下面的system32文件里面的sethc.exe应用程序进行转移，并生成sethc.exe.bak文件。并将cmd.exe拷贝覆盖sethc.exe

C:\>cd WINDOWS\system32

C:\WINDOWS\system32>move sethc.exe sethc.exe.bak
移动了         1 个文件。

C:\WINDOWS\system32>copy cmd.exe sethc.exe
覆盖 sethc.exe 吗? (Yes/No/All): Yes
已复制         1 个文件。

直接按5次shift键弹出cmd窗口，可直接以system权限执行系统命令，建立管理员用户，登陆服务器等。

搜索关键词 "shift后门",可进一步了解各式各样的shift后门。

检测和清理方法：

一、远程登陆服务器的时候，连续按5次shift键，确认服务器是否被入侵。

二、拒绝使用sethc.exe或禁用Shift键

 

各式各样的shift后门

http://xiaowang.blog.51cto.com/1083/314046/

纯手工打造服务器自解压shift后门

https://www.exehack.net/160.html

Shift后门的检测与清除

http://server.zzidc.com/fwqcjwt/502.html

2008服务器提权提高之远程链接安装shift后门

https://www.exehack.net/2965.html

0x03 启动项、计划任务等

　　保存如下内容，新建bat文件，利用windows的启动项、任务计划等功能执行恶意脚原本维护权限。利用bat转exe工具，可转换为exe。

@echo off
net user test$ abc123! /add 
net localgroup administrators test$ /add

【启动项】

一、window--开始--全部程序--启动

二、将test.bat 加入启动项

【组策略欺骗】

组策略，运行gpedit.msc，经过最策略的“脚本(启动/关机)”项来讲实现。

具体位置在“计算机配置→Windows设置”项下。由于其极具隐蔽性，所以经常被攻击者利用来作服务器后门。

【计划任务】

一、window--开始--全部程序--附件--系统工具--任务计划程序

二、建立计划任务--添加test.bat

【服务】

 将后门脚本注册为window服务，自启动。

【放大镜后门】

　　攻击者就用精心构造的magnify.exe同名文件替换放大镜程序，从而达到控制服务器的目的。

　　一般状况下，攻击者经过构造的magnify.exe程序建立一个管理员用户，而后登陆系统。固然有的时候他们也会经过其直接调用命令提示符(cmd.exe)或者系统shell(explorer.exe)。须要说明的是，这样调用的程序都是system权限，即系统最高权限。不过，以防万一当管理员在运行放大镜程序时发现破绽，攻击者通常经过该构造程序完成所需的操做后，最后会运行真正的放大镜程序，以蒙骗管理员。

 【telnet后门】

　　telnet是命令行下的远程登陆工具，不过在服务器管理时使用很少也常为管理员所忽视。攻击者若是在控制一台服务器后，开启“远程桌面”进行远程控制很是容易被管理员察觉，可是启动Telnet进行远程控制却不容易被察觉。不过，telnet的默认端口是23，若是开启后，别人是很容易扫描到的，所以攻击者会更改telnet的端口，从而独享该服务器的控制权。

检测和清理方法：

一、查看启动项、计划任务、服务等是否有异常

二、查看进程、端口是否有异常

 

0x04 劫持技术

【LPK劫持技术】

　　lpk.dll病毒是当下比较流行的一类病毒，而正常系统自己也会存在lpk.dll文件，这足以说明这类病毒的危险性。系统自己的lpk.dll文件位于C:\WINDOWS\system32和C:WINDOWS\system\dllcache目录下。lpk.dll病毒的典型特征是感染存在可执行文件的目录，并隐藏自身，删除后又再生成，当同目录中的exe文件运行时，lpk.dll就会被Windows动态连接，从而激活病毒，进而致使不能完全清除。

一、运行T00ls Lpk Sethc v4，设置2键启动（65/66即ab），设置密码（123），生成文件，文件名lpk.dll

二、lpk.dll复制到一个含有exe的文件夹，运行Getpass.exe，便可实现劫持

三、远程登陆服务器，按下5次shift键，再按上面设置的2键启动（ab），输入密码，跳出以下界面：

【映像劫持技术】

 　　所谓的映像劫持就是Image File Execution Options（IFEO）,位于注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

一、打开注册表，选择Image File Execution Options，新建个项，而后这个项（默认在最后面）改为123.exe

二、选择123.exe这个项，而后默认右边是空白的，咱们点右键，新建个“字符串值”，而后更名为“Debugger"

 三、双击该键，修改数据数值（其实就是路径），把它改成 C:\WINDOWS\system32\cmd.exe，肯定。

四、找个扩展名为EXE的，更名为123.exe（Getpass.exe）， 而后运行之，出现了DOS操做框。

Getpass.exe效果：

更名123.exe运行效果：

【com劫持技术】 

 　　打开文件夹就能运行指定的程序？这不是天方夜谭，而是在现实世界中确实存在的。利用COM劫持技术，能够轻松实现出打开文件夹就运行指定代码的功能。

1.精选CLSID，尽可能选择系统应用范围广的CLSID，这样的模块能够保证系统在进行不少功能时都会加载dll。咱们选择的CLSID为：{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}，其对应着CAccPropServicesClass类。修改注册表，将CLSID对应的DLL文件修改为实现了某些待定功能的文件（这个文件是由咱们精心构造的，否则没法利用成功）。可经过将下列数据导入到注册表实现

Windows RegistryEditor Version 5.00 

[HKEY_CLASSES_ROOT\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}]

[HKEY_CLASSES_ROOT\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}\InProcServer32]

@="freebuf.dll"

"ThreadingModel"="Apartment"

2. 新建文件夹，以CLSID作为后缀名，同时将咱们的利用dll拷贝到系统目录下: 这里的文件名能够充分发挥想象力(骗术)，利用社会工程学，起个诱惑的文件夹名，好比，目标喜欢日本姑娘，文件夹就叫作” 小泽にほんごかなニホンゴ(カナ).{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}”

3. 打开文件夹，成功利用 利用的步骤很简单，其中最为关键是咱们实现代码的dll以及CLSID的选择，这不是一个普通的dll，而是dll中的”战斗dll”，这是一个实现了COM接口的dll,而且在dll的导出函数的返回值有特殊要求。

 

参考连接：

http://www.freebuf.com/articles/system/115241.html

打开文件夹就运行？COM劫持利用新姿式 

https://3gstudent.github.io/Use-COM-Object-hijacking-to-maintain-persistence-Hijack-explorer.exe/

两种利用COM劫持实现的后门方法

http://app.myzaker.com/news/article.php?pk=59a39b6b1bc8e0f76a000006

COM Object hijacking 后门的实现思路——劫持 CAccPropServicesClass and MMDeviceEnumerator

0x05 Powershell隐蔽后门

 

 

 

如何建立Powershell持久隐蔽后门

http://www.freebuf.com/articles/system/133640.html

Babadook：无链接的powershell持续性反弹后门

http://www.mottoin.com/89554.html

Schtasks-Backdoor: Powershell 权限维持后门

https://github.com/re4lity/Schtasks-Backdoor

如何优雅的维持住一个Web shell

https://bbs.ichunqiu.com/thread-23660-1-1.html

https://ub3r.cn/?p=30

 

0x06 远控木马

　　远控木马是一种恶意程序，其中包括在目标计算机上用于管理控制的后门。远程访问木马一般与用户请求的程序（如游戏程序）一块儿，是一种看不见的下载，或做为电子邮件附件发送。一旦主机系统被攻破，入侵者能够利用它来向其余易受感染的计算机分发远程访问木马，从而创建僵尸网络。

通常分为客户端和服务端，如：灰鸽子、上兴远控、梦想时代、QuasarRAT等。

 

0x07 嗅探

　　Cain是你们都熟悉的一款软件，具备arp欺骗加嗅探和密码破解的功能，使用嗅探软件抓取3389密码。

 

嗅探3389密码的具体过程讲解

http://infosec.blog.51cto.com/226250/282888/

最后

欢迎关注我的微信公众号：Bypass--，每周原创一篇技术干货。