漏洞摘要

windows

维持访问

在注册表中修改系统原本用户的权限。(操作需要管理员权限)
步骤:例如系统已有support用户,在注册表HKLM/SAM/SAM中,复制管理员的F二进制文件内容并黏贴到support的F文件中。然后每次登录执行都会调用管理员的账号权限,且没有日志。

后门维持

在有exe的目录下放置lpk.dll,exe会优先加载当前目录的dll文件,达到劫持效果。

远程控制

俗称远控。给目标机器种马,有很高的执行权限。如上兴远控。

隐藏后门

生成隐藏文件:

attrib +s +h filename

定位目标

LDAP(推荐)
(&(objectCategory=person)(objectClass=user))    #LDAP查询所有域用户
#等价于 net user /domain

cve-2020-1472

由于微软在Netlogon协议中没有正确使用加密算法而导致的漏洞,由于微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(client chanllenge)、IV等要素可控的情况下,存在较高概率使得产生的密文为全零。

粘滞键后门

windows下连续按下5次shift键将进入粘滞键功能。同时按下两个任意健取消。
将调用c:\windows\system32下的sethc,通过修改或删除该文件达到操控后门。
winvista及以上的系统上,需要trustedinstaller权限,比administrators高比system低。通过编辑该文件所有者并赋予权限,获得修改权限,可以在锁屏无密码的情况下调用粘滞键,调用cmd命令行,执行添加用户等操作。

新方法设置粘滞键后门是通过注册表来实现,整体的方法思路就是通过修改注册表的映像劫持和打开其远程桌面来实现。
什么是映像劫持,简单理解就是当自己打开程序 a 的时候,实际上是打开的程序 b。

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

把远端身份认证关了,可直接连接到远端主机锁屏页面,然后唤起粘滞键后门

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0

开启远程桌面连接

# 开启防火墙
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

# 开启远程桌面连接
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer" /v fDenyTSConnections /t REG_DWORD /D 0 /f

域内信息收集

横向渗透、信息收集、爆破、用洞
爆破可能比较管用,还有弱密码
最终目的还是拿域控

关于渗透动静

打漏洞动静大
有些域信息收集动静也不小
域信息,可能会产生很多访问域控的请求,如bloodhound,主要原理是访问共享内存
像访问类型的,如果是检测类型的话还是得看环境,找绕过

本地arp缓存、hosts文件可以看看,本地机器操作还行,得看具体环境

远控编写

做隐藏只能自己写代码,都是内核层
杀软就是内核层检测的,你和他平级,调用就不会被发现了
这只是利用系统日常com,所以监控检测都会放心,做了敏感行为才会被发现
通过组件加载,单独没可能,都是应用层的隐藏,高手都是自己写内核模块,从内核层规避
最基本的就是三无,无连接、无文件、无进程
远控是最简单的木马,就是个加密再加密的socket数据协议,没啥玩意,无痕隐藏最难,被发现他都找不到

DNS域传送漏洞

区域传送操作指的是一台后备服务器使用来自主服务器的数据刷新自己的 zone 数据库。这为运行中的 DNS 服务提供了一定的冗余度,其目的是为了防止主域名服务器因意外故障变得不可用时影响到全局。一般来说,DNS区域传送操作只在网络里真的有后备域名 DNS 服务器时才有必要执行,但许多 DNS 服务器却被错误地配置成只要有人发出请求,就会向对方提供一个 zone 数据库的拷贝。
DNS服务器分为:主服务器、备份服务器和缓存服务器。在主备服务器之间同步数据库,需要使用“DNS域传送”。域传送是指后备服务器从主服务器拷贝数据,并用得到的数据更新自身数据库。
若DNS服务器配置不当,可能导致匿名用户获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者,包括一些安全性较低的内部主机,如测试服务器。凭借这份网络蓝图,攻击者可以节省很少的扫描时间。

DNS欺骗

定义: DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。
原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了。

ARP欺骗是中间人欺骗,类似。

发表评论

电子邮件地址不会被公开。 必填项已用*标注