记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华权限维持及后门持久化技巧总结
一、前言
在攻击者利用漏洞获取到某台机器的控制权限之后,会考虑将该机器作为一个持久化的据点,种植一个具备持久化的后门,从而随时可以连接该被控机器进行深入渗透。本文从Windows持久化,Linux持久化和Web持久化对现有技术进行了总结,对于持久化的攻击形式,主要是靠edr、av等终端产品进行检测。
二、Windows后门
2.1辅助功能镜像劫持
为了使电脑更易于使用和访问,Windows 添加了一些辅助功能。这些功能可以在用户登录之前以组合键启动。根据这个特征,一些恶意软件无需登录到系统,通过远程桌面协议就可以执行恶意代码。
一些常见的辅助功能如:
C:WindowsSystem32sethc.exe 粘滞键
更新:补丁发布 | Microsoft Windows SMBv3.0服务远程代码执行漏洞(CVE-2020-0796)通告
文档信息
编号
QiAnXinTI-SV-2020-0008
关键字
SMB CVE-2020-0796
发布日期
2020年03月11日
更新日期
2020年03月12日
TLP
WHITE
分析团队
奇安信威胁情报中心
通告背景
2020年3月11日,某国外安全公司发布了一个近期微软安全补丁包所涉及漏洞的综述,其中谈到了一个威胁等级被标记为Critical的SMB服务远程代码执行漏洞(CVE-2020-0796),攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码,从而获取机器的完全控制。此漏洞主要影响支持SMBv3.0的设备,理论上存在蠕虫化的可
如何从内存加载DLL
本教程介绍了一种技术,该技术可如何从内存中加载动态链接库(DLL)。
文章结尾将给出github地址
Windows可执行文件– PE格式
首先我们先看看pe的结构
DOS headerDOS stub
PE header
Section header
Section 1
Section 2
. . .
构造关联用户搜索的LNK文件研究
在此之前,Forensic的研究人员曾使用LNK快捷方式文件来恢复关于目标用户近期访问文件的元数据,其中包括那些访问过之后就删除的文件。在近期的一次研究过程中,FireEye Mandiant的研究人员遇到了一种能够验证攻击者是否访问目标文件的LNK文件,其中就包括Windows资源管理器中的搜索结果。根据我们的经验,结合上述这两种技术将能够设计出一种全新的取证方式。在这篇文章中,我们将跟大家分享这一个能够更好地映射出攻击者活动的技术。
Windows LNK格式
.lnk后缀是Windows中的一种文件格式,这种代码格式文件包含的信息可以用来访问Windows Shell中的其他数据对象。
LNK快捷方式文件时一种Shell Item类型,当用户通过一个支持的应用程序
避免凭证转储攻击的5个技巧
在Windows设备网络上使用这五个技巧,减少企业组织遭受凭证转储攻击的漏洞风险。
凭证转储是攻击者永久获取网站访问的一项重要技术。他们通过网络钓鱼潜入工作网站后,利用管理员管理和监视网络的常用方法来获取公开凭据。
一、减少凭证重用
首先,查看自己的网络管理。因工作之外的任务登录了多少次网络?网络账户密码重复登录了多少次?
NIST建议企业定期检查自己的密码是否在公开的密码数据库里。如果在网络上使用过的密码出现在密码泄露列表中,都会使用户的网络更容易受到攻击。
Troy Hunt发布了一个数据库,包含了超过5亿个被盗用的密码。用户可以使用各种资源将这些暴露的密码与自己网络中使用的密码进行比较。例如,用户可以使用密码过滤器以查看网络上正在使用的密码。然后依据组策略给这些密码做专门的核查。
MassDNS:一款功能强大的高性能DNS子域名查询枚举侦察工具
MassDNS是一款功能强大的高性能DNS stub解析工具,它可以帮助研究人员解析数百万甚至上亿个域名。在没有特殊配置的情况下,MassDNS可以利用公共可用的解析器每秒钟解析超过350000个域名。
项目编译
首先,使用下列命令将MassDNS源码克隆至本地目录中:
git clone https://github.com/blechschmidt/massdns.git
使用cd命令切换到本地项目目录中:
cd massdns
接下来,运行”make”命令构建源码。
如果你使用的不是Linux操作系统,那么则需要运行下列命令:
make nolinux
在Windows平台下,你还需要安装Cygwin包、gcc-core、git和make。
工
攻击者利用Windows远程桌面服务进行无文件攻击
研究人员发现攻击者开发的恶意软件开始利用远程桌面协议(RDP)协议来窃取企业数据,并且不在目标主机上留下痕迹。加密货币挖矿机、信息窃取器、勒索软件等使用远程连接可以在RAM中运行,也可以从被黑的机器中窃取有用的信息。利用Windows RDS特征攻击者利用了Windows 远程桌面服务(RDS)中的一个特征,允许客户端分享本地驱动给有读写权限的Terminal Server。驱动在服务器上以名为tsclient+驱动盘字母的虚拟网络位置的共享,而且可以本地映射。这些特征已经出现一段时间了,当用户连接到服务器,并以应用的形式运行时的动作就可以解释了。这种通过RDP来访问资源是可行的,而且不会在客户端机器的硬盘上留下痕迹,
Windows 安全描述符审计方法探究:审查事件日志安全性
在获得对系统的访问权限后,对于尚未提升特权的攻击者,系统会授予什么级别的访问权限呢?与其在主机上进行试验,最终被系统提示拒绝访问,并在测试过程中会产生嘈杂的日志,不如选择一个更好的策略,那就是首先了解 Windows 授予非特权用户的权限。在 Windows 中,几乎所有的访问权限都由安全描述符控制。 本文的目标就是建立一种审计方法,用于暴露由安全描述符错误配置的潜在风险。 在建立方法之后,我们将把它应用到一个实际的用例中: 在Windows 事件日志中,哪些潜在的可滥用访问权限被授予给了无特权组? 为了回答这些问题,我们应该定义如下两点:· 什么是错误配置?· 什么是“可滥用的”访问权限?在回答这
实现Windows进程注入的7种新方法
简介在这里,我们主要对@hexacorn上周发布的代码注入/进程注入相关的文章进行进一步的分析。在上周,@hexacorn提出了7种新型的攻击方式,以“粉碎式攻击”的方法来实现代码注入或重定向。在本文中,我们将具体讨论这些新型注入方法,并提供一些可用的示例。前五种方法的示例都将使用“Edit”和“Rich Edit”控件,最后两个则使用SysListView32和SysTreeView32。关于Rich Edit控件要进行新型注入方法的尝试,我们可以选择遍历所有窗口,例如EnumWindows,从窗口句柄中检索类的名称,然后将字符串的开始部分与“RICHEDIT”进行比较。除了这种方法之外,我们还可以使用FindWin
如何在Windows上重现macOS上的取证技巧
当你执行Apple iCloud提取时,虽然无所谓是在Windows还是在macOS平台。但仍然有些差异,因为macOS具有更好或本机iCloud支持。虽然逻辑提取也可以在任何平台上完成,但是,当使用Elcomsoft iOS Forensic Toolkit进行越狱设备的完整文件系统提取时,强烈建议使用macOS。但是,如果你擅长于使用Windows,那么接下来我们就会给你讲解一些关于如何在Windows上重现macOS上的取证技巧。启动工具包首先,即使你以管理员身份登录系统,也必须以管理员权限启动工具包。这个过程非常简单:只需在资源管理器中找到主程序脚本(Toolkit.cmd),右键单击它,然后选择“以管理员身份
使用公共语言运行时获取持久性(下)
上篇文章,虽然我们已经知道可以重写的方法和属性,以及如何更改CLR使用的默认应用程序域管理器。今天,我们就来继续说说如何将实现System.AppDomainManager的强名称程序集安装到GAC中,并最终实现使用公共语言运行时获取持久性。程序集和全局程序集缓存如上所述,必须将实现System.AppDomainManager的强名称程序集安装到GAC中,但是,仍有很多问题,比如:1.什么是程序集?2.什么是全局程序集缓存(GAC)?3.为什么以及如何将强名称程序集安装到GAC中?对于.Net Framework,程序集是一个单元,每个程序集都可以包含MSIL代码、类型、资源和清单。所有这些数据可以分组到一个文件(例
对滥用Windows特权文件操作的研究(下)
上文我们对特权文件操作的原理和可能发生漏洞的地方,进行了理论上的分析。本文我们接着将对象管理器(ObjectManager)符号链接以及漏洞利用的示例和思路。对象管理器(ObjectManager)符号链接对象管理器是一个执行体的子系统,所有其他的执行体子系统,特别是系统调用必须通过它来获得对WindowsNT资源的访问,这使得对象管理器成为资源管理的基础设施。对象管理器用来避免在其他子系统中管理资源带来的冗余与不安全。在对象管理器视角,每个资源都是一个对象,不论是物理资源(如文件系统或外设),还是逻辑资源(如一个互斥锁)。虽然NTFS确实提供了文件系统符号链接,但是在Windows上,没有特权的用户不能在文件系统上创
对滥用Windows特权文件操作的研究(上)
本文介绍了如何滥用Windows上的特权进程执行文件,来实现本地权限升级(从用户升级到管理员/系统权限)。除此之外,我还介绍了利用这类漏洞的可用技术、工具和具体过程。特权文件操作漏洞以高权限运行的进程会对所有进程中执行的文件执行操作,这意味着,当高权限进程在没有足够预防措施的情况下,可以访问用户控制的所有文件或目录。因此,从理论上说,这就是一个安全漏洞,因为恶意攻击者有可能会滥用该特权进程执行的操作,使特权文件做一些不应该做的事情。对于许多特权访问用户控制的资源的情况都是如此,文件只是一个简单的目标。在渗透测试中,大家熟知的示例包括用户可写的服务可执行文件和DLL劫持漏洞,如果你对特权服务将执行的文件具有写入权限,或者
Windows内核逻辑漏洞:IO管理器访问模式不匹配
概述本文深入介绍了Windows内核中一个有趣的逻辑漏洞,以及我与Microsoft的合作伙伴共同修复的过程。如果内核和驱动程序的开发人员在访问设备对象时未考虑IO管理器的操作方式,那么漏洞所产生的最大影响将会是本地权限提升。本篇文章重点说明了我发现漏洞的过程,并详细分析了技术背景。关于进一步调查的更多信息、修复方式和如何避免使用漏洞类编写新代码,可以参考MSRC的博客文章。技术背景我在尝试对Issue#779进行漏洞利用时,偶然发现了这个存在漏洞的类。该问题是一个文件TOCTOU绕过了自定义字体加载的缓解策略。在Windows 10中,引入了缓解策略,以限制可利用字体内存损坏漏洞的影响。通常,可以轻松使用文件和对象管
Google白帽发现Windows bug
Google Project Zero白帽研究员James Forshaw发现位于Windows kernel模式驱动中的漏洞,利用该漏洞可以进行权限提升。该漏洞是由于处理特定请求时缺乏必要检查导致的。Windows使用PreviousMode域来设置UserMode或KernelMode,然后确定调用的参数是否来源于可信源。该机制也用于文件创建和打开,kernel模式代码可以从不同的API函数中选择,包括到I/O管理器内部函数IopCreateFile的函数。在这种情况下,PreviousMode会被分配一个特定的变量来确定是否检查有效的参数和缓存。操作系统使用该变量进行设备对象的检查,即是否是UserMode。Io
如何在Windows AppCotainer中创建进程
概述AppContainer是通常用于UWP进程(也称为Metro、Store、Modern)的沙箱。AppContainer中的进程以低完整性级别(Intergrity Level)运行,这实际上意味着它几乎无法访问所有内容,因为对象(例如:文件)的默认完整性级别为中。这意味着,在AppContainer内运行的代码由于缺乏访问权限,而无法对系统产生任何重大的损害。此外,从对象管理器的角度来看,AppContainer创建的命名对象基于称为AppContainer SID的标识符,存储在其自身的对象管理器目录下。这意味着,一个AppContainer不能干扰另一个对象。例如,如果不在AppContainer中的进程,
公告
九层之台,起于累土;黑客之术,始于阅读