渗透测试技术-教学课件 第六章后渗透技术 .pptx

第六章后渗透技术

目录CONTENTS01后渗透基础02反弹Shell03权限维持04木马的生成与利用05入侵痕迹清除

后渗透基础PART.01

后渗透基础——概念与实现方式后渗透是指在成功获取目标系统访问权限后，针对目标系统进行更加深入、持久性的攻击和控制的一种渗透测试技术。在后渗透阶段，渗透测试人员会尝试维持持久性的权限控制、获取敏感信息、深入挖掘系统漏洞、弱化系统的防御措施。在这个阶段，渗透测试人员需要尽可能地隐藏自己的行踪，避免被系统管理员和安全设备检测到。后渗透测试通常包括反弹Shell权限维持、木马的生成与利用、入侵痕迹清除等相关技术，以达到完整的渗透测试目标。进行后渗透测试可以找出系统的漏洞和弱点，及时对漏洞进行修复，加强系统的安全措施，从而提升信息系统的安全性。常见的后渗透方式如下。（1）创建绑定Shell（bindshell）或反弹Shell（reverseshell）。（2）创建调度任务。（3）创建守护进程。（4）创建新用户。（5）创建后门。（6）上传工具。（7）执行ARP扫描。（8）执行DNS和目录服务枚举。（9）执行爆破攻击。（10）配置端口转发。

反弹ShellPART.02

反弹shell概念反弹Shell就是攻击机器监听在某个TCP/UDP端口为服务端，目标机器向攻击机器监听的端口主动发起请求，并将其命令行的输入和输出转到攻击机器。假设我们攻击了一台机器，打开了该机器的一个端口，攻击者在自己的机器上连接目标机器（目标机器的IP地址：目标机器端口），这是比较常规的形式，称为正向连接。远程桌面、Web服务、SSH、Telnet等都是正向连接。那么为什么要使用反弹Shell呢？反弹Shell通常适用于以下几种情况。（1）目标机器因防火墙受限，只能发送请求，不能接收请求。（2）目标机器端口被占用。（3）目标机器位于局域网，或者IP地址会动态变化，攻击机器无法直接连接。（4）对于病毒、木马，受害者什么时候能“中招”，对方的网络环境是什么样的，什么时候开关机等情况，都是未知的。对于以上几种情况，我们无法利用正向连接，要利用反向连接。反向连接就是攻击者指定服务端，目标机器主动连接攻击者的服务端程序。

Linux与windows系统下反弹Shell使用netcat反弹shell使用bash反弹shellwindows系统下反弹shell与linux下并无差异，也可使用nc用相同命令进行反弹，故此处不再赘述。

权限维持PART.03

windows权限维持——辅助功能镜像劫持映像劫持也被称为IFEO（ImageFileExecutionOptions），是Windows系统内置的调试功能。当用户运行程序时，系统会查询IFEO注册表。如果存在与程序名相同的子键，就查询该子键下的Debugger键。如果参数不为空，就使用Debugger参数指定的程序替换用户尝试启动的程序。操作方法是修改IFEO注册表。以设置中心utilman.exe为例，可以在IFEO注册表路径HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions下添加utilman.exe项，并在该项中添加Debugger键，值为需要启动的程序路径。对应的cmd命令为“REGADDHKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\utilman.exe/tREG_SZ/vDebugger/dC:\test.bat/f”。IFEO注册表键值情况及启动效果如图所示

windows权限维持——启动项/服务后门启动项/服务后门是指在被攻击主机上创建一个恶意的启动项或服务，当计算机重启时，启动项或服务将自动启动并为攻击者提供访问被攻击主机的权限。攻击者可以利用这些后门来远程操纵系统、窃取敏感信息或进行其他恶意活动。为了创建启动项/服务后门，攻击者需要获取系统管理员权限。这通常需要在被攻击主机上执行一个有效载荷，如利用漏洞进行攻击、社会工程学攻击等。当攻击者获取了管理员权限后，可以使用以下方法创建后门。创建一个新的服务：攻击者可以使用sc.exe命令或编写一个PowerShell脚本来创建一个新的服务，并将其设置为自动启动。修改现有服务：攻击者可以使用RegistryEditor或PowerShell等工具来修改现有服务的配置，使其在计算机重启时自动启动并连接攻击者的控制器。创建一个计划任务：攻击者可以使用Windows计划任务功能来创建一个新的计划任务，并将其配置为在计算机重启时自动执行。

windows权限维持——系统计划任务后门系统