Windows權(quán)限維持技巧之怎么使用隱藏服務(wù)

這篇文章主要介紹“Windows權(quán)限維持技巧之怎么使用隱藏服務(wù)”，在日常操作中，相信很多人在Windows權(quán)限維持技巧之怎么使用隱藏服務(wù)問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對(duì)大家解答”Windows權(quán)限維持技巧之怎么使用隱藏服務(wù)”的疑惑有所幫助！接下來，請(qǐng)跟著小編一起來學(xué)習(xí)吧！

0x01注冊(cè)服務(wù)

將后門注冊(cè)為windows自啟動(dòng)服務(wù)是常見的后門維持手法，使用命令sc或者powershell命令都可以將自己的后門程序注冊(cè)為自啟動(dòng)服務(wù)。

使用sc命令將后門程序注冊(cè)為自啟動(dòng)服務(wù)，并以LocalSystem的身份運(yùn)行：

手動(dòng)啟動(dòng)服務(wù)或重啟計(jì)算機(jī)，后門執(zhí)行。雖然手動(dòng)執(zhí)行時(shí)提示啟動(dòng)失敗，但實(shí)際上后門已經(jīng)成功執(zhí)行：

msf成功建立新會(huì)話，查看權(quán)限為system

雖然成功實(shí)現(xiàn)了服務(wù)自啟動(dòng)，但是這個(gè)權(quán)限維持的方法很容易被檢測。因?yàn)閯?chuàng)建新的服務(wù)后可以檢索到這個(gè)服務(wù)，如果防御者看到名字不熟悉的服務(wù)就會(huì)懷疑這是惡意的服務(wù)。通過sc命令或者get-service命令可以查看該服務(wù)的信息。

使用sc查看指定名字的服務(wù)信息狀態(tài)：

或使用sc命令查看服務(wù)的配置信息，后門文件直接保留：

使用powershell中的get-service 也可以查看服務(wù)信息

0x02 隱藏服務(wù)

為了不被防御者發(fā)現(xiàn)用于權(quán)限維持的服務(wù)，可以考慮將服務(wù)隱藏。Joshua Wright提供了一種方法，通過SDDL(安全描述符語言)修改服務(wù)的安全描述符，文章附在文末的參考文獻(xiàn)中。Windows系統(tǒng)中服務(wù)和文件一樣，都使用了安全描述符(SD)配置該安全對(duì)象對(duì)于哪些訪問對(duì)象都允許哪些權(quán)限。

Joshua Wright提供的方法使用sc 命令的sdset模塊可以修改服務(wù)的安全描述符，命令如下:

sc.exe sdset test "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

再次使用get-service命令查看服務(wù)信息，服務(wù)不存在

使用sc.exe查看服務(wù)信息拒絕訪問

使用sc.exe查詢所有服務(wù)信息并過濾名為“test”的服務(wù)，結(jié)果為空

0x03 原理

SDDL

Windows服務(wù)支持使用安全描述符定義語言（Security Descriptor Definition Language | SDDL）控制服務(wù)權(quán)限的功能。通過修改SDDL可以修改對(duì)象（文件或者服務(wù)）的DACL（自主訪問控制列表），從而修改用戶對(duì)對(duì)象的訪問控制。通過對(duì)服務(wù)的SDDL進(jìn)行編輯，拒絕所有用戶對(duì)該服務(wù)的讀取權(quán)限，即實(shí)現(xiàn)服務(wù)隱藏的效果。

SDDL語法：

符號(hào)描述

O: -  Owner
G: -  Primary Group
D: -  Discretionary ACL (DACL) 
S: -  System ACL (SACL) 

ACE 類型描述

A: -  Access Allowed
D: -  Access Denied
OA: - Object  Access Allowed
OD: - Object  Access Denied
AU: - System Auidt
AL: - System Alarm
OU: - System Object Audit
OL: - System Object Alarm
ML: - System MAndatory Label

服務(wù)相關(guān)符號(hào)權(quán)限

CC：- 服務(wù)配置查詢
LC: - 服務(wù)狀態(tài)查詢
SW: - SERVICE_ENUMERATE_DEPENDENTS
RP: - 服務(wù)啟動(dòng)
WP: - 服務(wù)停止
DT: - 服務(wù)暫停
DC: - 服務(wù)配置更改

SD: - 刪除

繼承標(biāo)志位
OI：- 表示該ACE可以被子對(duì)象繼承
CI：- 表示該ACE可以被子容器繼承
IO：- 僅作用于子對(duì)象
NP：- 僅被直接子容器繼承，不繼續(xù)向下繼承

對(duì)象

"IU"：- 交互登陸用戶

"AU"：- 認(rèn)證用戶

"SU"：- 服務(wù)登陸用戶




格式(允許/拒絕;繼承;權(quán)限列表;;對(duì)象)

使用powershell 命令查看文件夾的SSDL：

get-acl [c:\windows] | fl

那么分析之前隱藏服務(wù)的命令，隱藏服務(wù)主要用到的SDDL為：

D:(D;;DCLCWPDTSD;;;IU)  //拒絕交互登陸用戶的服務(wù)配置、查詢、狀態(tài)查詢、暫停和刪除權(quán)限
(D;;DCLCWPDTSD;;;SU)    //拒絕登陸用戶的服務(wù)配置、查詢、狀態(tài)查詢、暫停和刪除權(quán)限
(D;;DCLCWPDTSD;;;BA)    //拒絕認(rèn)證用戶的服務(wù)配置、查詢、狀態(tài)查詢、暫停和刪除權(quán)限

組策略實(shí)現(xiàn)服務(wù)隱藏

在了解了原理之后，發(fā)現(xiàn)實(shí)際隱藏服務(wù)的操作實(shí)際是修改服務(wù)權(quán)限，使服務(wù)對(duì)所有用戶的查詢等權(quán)限拒絕。

在【組策略管理編輯器->計(jì)算機(jī)配置->策略->Windows配置->安全設(shè)置->系統(tǒng)服務(wù)】中同樣可以修改服務(wù)的權(quán)限

通過組策略編輯器取消所有用戶對(duì)服務(wù)DHCP Client 服務(wù)的讀取權(quán)限

使用get-service 查看DHCP Client 查看該服務(wù)，發(fā)現(xiàn)服務(wù)不存在

0x04 防御

在通過本文的方法隱藏后，下列方法都無法查詢到服務(wù)的信息

PS C:\WINDOWS\system32> Get-Service | Select-Object Name | Select-String -Pattern 'test'
PS C:\WINDOWS\system32> Get-WmiObject Win32_Service | Select-String -Pattern 'test'
PS C:\WINDOWS\system32>sc.exe query | Select-String -Pattern 'test'

如果事先知道服務(wù)的名稱并擁有服務(wù)停止權(quán)限，使用Get-Service停止服務(wù)會(huì)提示無法打開

如果服務(wù)不存在，則停止服務(wù)時(shí)會(huì)提示服務(wù)不存在

或使用sc查詢服務(wù)信息，會(huì)提示沒有權(quán)限

但是使用sc查詢服務(wù)配置信息可以查到，因?yàn)闆]有拒絕用戶的服務(wù)配置查詢權(quán)限

上述方法還拒絕了停止權(quán)限，因此無法停止，但依然會(huì)提示與服務(wù)相關(guān)的信息

所以為了更好的隱藏服務(wù)信息，可以對(duì)上述方法的SDDL進(jìn)行更改，增加查詢服務(wù)配置信息拒絕項(xiàng)（CC）：

sc.exe sdset test "D:(D;;DCLCWPDTSDCC;;;IU)(D;;DCLCWPDTSDCC;;;SU)(D;;DCLCWPDTSDCC;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

0x05 還原

通過刪除拒絕相關(guān)的SDDL語句，即可讓服務(wù)正常被查詢

& $env:SystemRoot\System32\sc.exe sdset auto_calc "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

到此，關(guān)于“Windows權(quán)限維持技巧之怎么使用隱藏服務(wù)”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注億速云網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章！