DiskShadow工具介绍:VSS绕过、持久化感染和活动目录数据库提取

DiskShadow工具介绍:VSS绕过、持久化感染和活动目录数据库提取

黑客软件hacker2019-06-12 7:29:2211423A+A-

"译文申明

DiskShadow工具介绍:VSS绕过、持久化感染和活动目录数据库提取 第1张

文中是汉语翻译稿子,稿子作者英文BOHOPS,文章来源:bohops.Com 

原文地址:https://bohops.Com/2016/08/27/diskshadow-the-return-of-vss-evasion-persistence-little-active-directory-database-extraction/

译文供参考,主要内容表述及其含意全文起算

×

详细介绍

在此之前,我曾经发布过一篇文章题目为《Vshadow:怎样运用卷影复制服务项目VSS建立安全性防御力绕开、持久化感柒和活动目录数据库查询获取》的技术性稿子,很感兴趣的同学们能够阅读文章一下下。这一专用工具十分有趣,由于它不但能够开展卷影复制实际操作,并且它还出示了好多个能够用以安全性防御力端的基本功能。事实上,安全性防御力绕开及其持久化感柒将会并非Vshadow.exe的长项,但针对DiskShadow.exe而言,这絕對是它的拿手好戏。

在这篇中,人们将跟大伙儿详解DiskShadow的应用,主要包括它出示给安全性防御力端的有关作用,及其相对的侵入威协指标值。

 

DiskShadow是啥?

依据微软公司的官方网文本文档:“DiskShadow.exe这个专用工具能够应用卷影复制服务项目(VSS)所出示的好几个作用。默认设置配备下,DiskShadow应用了这种互动式指令解释器,这儿跟DiskRaid或DiskPart较为相近。此外,DiskShadow还出示了这种脚本制作程序编写方式。”

事实上,DiskShadow的编码是由微软官方签字的,并且Windows Server 2009、Windows Server 2010和Windows Server 2014中都包括了DiskShadow:

DiskShadow所出示的卷影复制服务项目必须有高级访问限制(UAC绕开),可是至少也是一部分指令专用工具能够给非权利客户启用,这也让DiskShadow变成了网络攻击建立指令实行、安全性绕开及其持久化感柒的这种强劲专用工具。

 

DiskShadow指令实行

互动式指令解释器和脚本制作方式适用EXEC指令,不论是权利客户还是是非非权利客户,她们能够在互交方式下或根据1个脚本制作文档来启用别的指令及其batch脚本制作。接下去俩,人们会跟大伙儿一一一演试这种作用。

互交方式

在下边得出的样版中,一位用户启用了calc.exe程序流程:

脚本制作方式

在下边的样版中,一位用户根据应用“diskshadow.txt”做为主要参数取得成功启用了calc.exe和notepad.exe:

diskshadow.exe /s c:testdiskshadow.txt

跟Vshadow相同,人们这儿必须特别注意的是,DiskShadow.exe是指令所转化成的可执行程序的父系统进程。此外,DiskShadow将会始终运作下来,直至它的子系统进程停止实行。

 

持久化感柒&绕开&自动化技术

因为DiskShadow是由微软公司签字的编码,因此人们能够运用注册表的AutoRuns来建立持久化感柒和绕开。在接下去得出的样版中,人们将升级人们的脚本制作编码,并建立1个RunKey和计划任务。

提前准备工作中

因为DiskShadow要以这种Windows指令对话框的方式应用的,因此人们必须改动人们的脚本制作去启用pass-thru指令实行,随后停止DiskShadow父系统进程及其事件的Payload。在一些状况下,要是Windows对话框的开启時间太长,那麼这类技术性的防御性就会遭受危害。可是,要是总体目标客户认真的英文在登陆时见到这类指令对话框提醒得话,你就不容易遭受哪些危害了。

注:下边的演试样例是在非权利/非管理人员客户账户自然环境下开展的,试验服务平台为每台不久安裝好的Windows Server 2014案例。

最先,人们必须改动人们的脚本制作(diskshadow.txt)来演试此项基础技术性:

EXEC ""cmd.exe"" /c c:testevil.exe

以便适用指令转换,人们必需应用EXEC来启用原始编码,这一样能够在互交方式下开展。

接下去,人们必须运用下述指令来建立持久化感柒。

- Run Key Value -

reg Add HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /v VSSRun /t REG_EXPAND_SZ /d “diskshadow.exe /s c:testdiskshadow.t


点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 元气小坏坏12022-05-28 06:34:57
  • RRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /v VSSRun /t REG_EXPAND_SZ /d “disk
  • 双笙七禾2022-05-28 09:46:19
  • 目录数据库查询获取》的技术性稿子,很感兴趣的同学们能够阅读文章一下下。这一专用工具十分有趣,由于它不但能够开展卷影复制实际操作,并且它还出示了好多个能够用以安全性防御力端的基本功能。事实上,安全性防御力绕开及其持久化感柒将会并非Vshadow.exe的长项,但针对Di
  • 泪灼酒颂2022-05-28 14:25:48
  • dow.exe这个专用工具能够应用卷影复制服务项目(VSS)所出示的好几个作用。默认设置配备下,DiskShadow应用了这种互动式指令解释器,这儿跟DiskRaid或DiskPart较为相近。此外,DiskShadow还出示了这种脚本制作程序编写方式。”事实上,D

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理