用途限制声明,本文仅用于网络安全技术研究、教育与知识分享。文中涉及的渗透测试方法与工具,严禁用于未经授权的网络攻击、数据窃取或任何违法活动。任何因不当使用本文内容导致的法律后果,作者及发布平台不承担任何责任。渗透测试涉及复杂技术操作,可能对目标系统造成数据损坏、服务中断等风险。读者需充分评估技术能力与潜在后果,在合法合规前提下谨慎实践。
在进行信息收集、权限提升、横向移动后,接下来就是需要进行权限维持,权限维持是内网后渗透攻击中的关键阶段,其核心目标是在目标系统上建立隐蔽、稳定、长期的控制通道,即使系统重启、用户注销、密码更改或管理员清理部分痕迹后,攻击者仍能重新获得访问权限。
一、核心目标与原则
-
隐蔽性: 避免被管理员、安全软件(AV/EDR)、SIEM系统检测。
-
稳定性: 确保后门在各种系统状态(重启、注销、网络变化)下都能可靠触发。
-
冗余性: 通常部署多个不同类型的后门,以防某个被清除。
-
低权限触发: 尽可能在低权限用户上下文中实现持久化,避免需要管理员权限才能触发(但获取管理员权限通常是部署的基础)。
-
最小化足迹: 减少文件落地、注册表修改等操作,利用合法机制。
二、主要权限维持技术分类
主要权限维持技术有操作系统后门以及防范,Web后门以及防范,域控制器权限持久化以及防范,Nishang下的脚本后门以及防范,这里我们先讲述第一个操作系统后门以及防范。
1、操作系统后门以及防范
定义: 指攻击者在目标操作系统(Windows, Linux, macOS)上植入的,能够在系统启动、用户登录或特定事件发生时自动激活,并为攻击者提供远程访问或命令执行权限的恶意程序或配置。接下来就是讲述几个常见的操作系统后门,
1)粘滞键后门
原理: 利用Windows辅助功能中的“粘滞键”(按五次Shift键触发)机制。攻击者将系统文件 sethc.exe(粘滞键程序)替换为 cmd.exe(命令提示符)或者一个特制的后门程序(通常命名为 sethc.exe)。
触发方式: 在Windows登录界面(锁定屏幕或需要输入密码的界面),连续按五次 Shift 键。
首先需要获取文件所有权
takeown /f C:\Windows\System32\sethc.exe然后再修改文件权限
icacls C:\Windows\System32\sethc.exe /grant administrators:F之后进行复制覆盖
copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe
🔒 如何防御此攻击?
| 防护措施 | 操作步骤 |
|---|---|
| 禁用粘滞键 | 控制面板 → 轻松使用 → 键盘 → 取消勾选“启用粘滞键” |
| 文件权限加固 | 设置 sethc.exe 的 ACL:仅允许 SYSTEM 和 TrustedInstaller 完全控制 |
| 启用BitLocker加密 | 防止攻击者通过外部系统修改硬盘中的系统文件 |
| 审计系统文件完整性 | 定期检查 System32 下关键程序(sethc.exe/utilman.exe)的哈希值是否被篡改 |
| 组策略限制 | gpedit.msc → 计算机配置→Windows设置→安全设置→本地策略→安全选项:启用“交互式登录:无需按Ctrl+Alt+Del” |
2)注册表注入后门
原理:<
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
