【转】Windows权限维持常用后门学习总结

MSF模块
Metasploit自带有权限维持相关后门,常用的有:通过服务启动(metsvc);通过启动项启动(persistence);通过计划任务(scheduleme&schtasksabuse)。
Metasploit自带有权限维持相关后门,常用的有:通过服务启动(metsvc);通过启动项启动(persistence);通过计划任务(scheduleme&schtasksabuse)。
常见的bash、脚本语言、计划任务、公钥、msf以及rootkit等就不详细介绍了,有些像suid、inetd比较久远的,虽然不常用,但是学习下也没啥坏处。
基本命令安装及用法:
nload:
yum install nload
或者sudo apt-get install nload
,用法:nload
或者nload -u M
bmon:
sudo yum install bmon
或者sudo apt-get install bmon
,用法:bmon
bwm-ng:
sudo apt-get install bwm-ng
或者sudo yum install bwm-ng
,用法:bwm-ng
cbm:
sudo apt-get install cbm
或者sudo yum install cbm
,用法:cbm
speedometer:
apt-get install speedometer
或者sudo yum install speedometer
,用法:speedometer
netload:
sudo apt-get install netload
或者sudo yum install netload
,用法:netload
人在做,天在看。
技术从来都是中性的,被用来行善还是作恶完全取决于运用它的人。原子能可以用来发电为大众提供清洁能源,也可以用来制造能毁灭全人类的核武器,这不是一个完善的世界,于是我们既有核电站也有了核武器。
Powershell,曾经Windows系统管理员的称手工具,在恶意代码制造和传播者手里也被玩得花样百出。由于Powershell的可执行框架部分是系统的组件不可能被查杀,而驱动它的脚本是非PE的而非常难以通过静态方法判定恶意性,同时脚本可以非常小巧而在系统底层的支持下功能却可以非常强大,这使利用Powershell的恶意代码绕过常规的病毒防护对系统为所欲为。因此,360天眼实验室近期看到此类恶意代码泛滥成灾就毫不奇怪,事实上,我们甚至看到所跟踪的APT团伙也开始转向Powershell。
本文我们向大家展示一些看到的实际恶意代码的例子。
这篇主要是取证的,如果我以后技术好了,也会写写powershell在内网渗透中的实战应用,本文所有的内容基本翻译自fireEyE的<<Investigating Powershell Attack>>,我英文不好,有好多地方都看不懂他文章里写的,我磕磕碰碰的看完了这篇文章。有不对的地方,还请小伙伴们补充。
我们都知道,从windows 7 sp1和windows server 2008 R2开始,就已经默认安装了powershell(2.0版本),到了windows Server 2012 R2 和 Window 8.1就是powershell 4.0了。现在用powershell编写的攻击框架也很成熟了,像上文书说的各种协议反弹的SHELL(nishang);通过dll loading技术不写硬盘的,能远程dump登录账号明文的Mimikatz(PowerSploit);以及在ShmooCon 2013安全会议上Chris Campbell演示的Powershell Botnet;还有各种搞windows域内网环境的powerview等;SET/METASPLOIT也开始支持powershell版的payloads。我们作为攻击者,也要熟悉现在针对powershell的取证技术,预防自己“艰难进来,轻松被T,却没带走一片云彩”。
当我看了DM_牛发的http://zone.wooyun.org/content/20429,我的心情久久不能平静,这本应属于我的精华+WB,被他先发了,这娃真是可恶,可恨 :-),后来DM_牛又发了我一些资料让我学习,我就写了此文,刚入门,肯定有错误的地方,希望小伙伴们讨论,指出。
这次Labofapenetrationtester是以”week of powershell shell”的形式放出来的,就是每天一篇,一共五篇,分别是
在一个成功的测试后,通常会想让特权保持的更久些.留后门的工作就显得至关重要,通常布设的后门包括但不限于数据库权限,WEB权限,系统用户权限等等.此文则对大众后门隐藏的一些思路做科普.
PHP-FPM 是 LNMP 最常见的一种运行方式了,不过会经常 502 ,那么怎么样才能避免 502 或者说减少 502 的发生呢?如果你的 VPS 是高配置的,怎么样才能充分用上高配的好处呢?好吧,米饭今天来教你!
本文今天参考了很多的 PHP-FPM 教程,也算是米饭比较珍贵的学习笔记吧,珍藏版,欢迎共享!本篇只介绍 PHP-FPM 的运行方式,mod_php 啥的是不通用的,要知道 mod_php 是最优秀的 PHP 运行方式啦,处理动态最牛逼拉,不会 502 。
根据生产环境不断反馈,发现不断有 php网站被挂木马,绝大部分原因是因为权限设置不合理造成。因为服务器软件,或是 php 程序中存在漏洞都是难免的,在这种情况下,如果能正确设置 Linux 网站目录权限, php 进程权限,那么网站的安全性实际上是可以得到保障的。
那么,造成网站被挂木马的原因是什么?
1、编译的时候注意补上已知的漏洞
从4.0.5开始,php的mail函数加入了第五个参数,但它没有好好过滤,使得php应用程序能突破safe_mode的限制而去执行命令。所以使用4.0.5和4.0.6的时候在编译前我们需要修改php源码包里ext/standard/mail.c文件,禁止mail函数的第五参数或过滤shell字符。在mail.c文件的第152行,也就是下面这行: