Windows权限维持:利用服务创建持久性
需积分: 0 19 浏览量
更新于2024-08-05
收藏 1.31MB PDF 举报
"这篇文档是关于Windows环境下权限维持的系列文章第三部分,主要讨论如何通过创建新服务来实现持久性的权限提升。这种方法虽然不再隐秘,但在面对安全防护能力较弱的企业时,仍然能造成干扰。文章介绍了使用命令行和PowerShell创建服务,以及利用Meterpreter、SharPersist和PowerSploit等工具实现持久性的技术细节。"
在Windows环境中,服务通常需要管理员权限来创建,并且可以被利用来维持持久的系统访问。新服务的创建可以通过命令行或者PowerShell完成,这为攻击者提供了权限提升的可能性。以下是对这些技术的详细解释:
1. **命令行创建服务**:
使用`sc create`命令可以创建新的服务。在命令中,`binpath`参数指定了服务启动时要执行的程序路径,而`start`参数设置为`auto`使得服务在系统启动时自动运行。例如:
```bash
sc create pentestlab binpath="cmd.exe /k C:\temp\pentestlab.exe" start=auto obj=LocalSystem
```
创建完成后,使用`sc start`命令启动服务。
2. **PowerShell创建服务**:
PowerShell同样提供了创建服务的功能。`New-Service` cmdlet可以创建服务,其中`-Name`定义服务名,`-BinaryPathName`指定可执行文件路径,`-Description`为服务描述,`-StartupType`设为自动启动。示例如下:
```powershell
New-Service -Name "pentestlab" -BinaryPathName "C:\temp\pentestlab.exe" -Description "PentestLaboratories" -StartupType Automatic
```
启动服务同样使用`sc start`命令。
3. **Meterpreter创建服务**:
Meterpreter是一种强大的远程控制工具,可以通过其内置的`sccreate`命令创建服务。服务创建完成后,Meterpreter会话会自动建立。
4. **SharPersist**:
SharPersist是一个工具,它允许在目标系统上创建新服务以实现持久性。它需要本地管理员权限,创建的服务会在系统启动时作为本地系统账户运行。使用类似`SharPersist -addservice`的命令来添加服务。
5. **PowerSploit**:
PowerSploit是一个开源的PowerShell渗透测试套件,它包含了一些用于修改服务的函数,如`Set-SvcBinaryPath`和`Add-SvcBinaryPath`,可以用来修改现有服务的二进制路径,执行任意有效负载,从而达到持久化的目的。
这些技术在恶意活动中被滥用,企业应该提高安全运营中心(SOC)的能力,识别并防御这些基础的恶意行为。对服务的异常管理和监控是防止权限提升和持久性机制的关键。对于安全团队来说,理解这些技术的工作原理,并能够及时检测和响应,是保障网络安全的重要环节。
2022-08-03 上传
2022-08-03 上传
2022-08-03 上传
2023-06-11 上传
2023-05-25 上传
2023-06-07 上传
2023-06-13 上传
2023-05-16 上传
2023-05-27 上传