您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

【技术原创】渗透技巧——通过WSUS进行横向移动

时间:2023-01-09 14:59:02  来源:  作者:嘶吼RoarTalk

0x00 前言

在内网渗透中,当我们获得了WSUS服务器的控制权限后,可以通过推送补丁的方式进行横向移动。这个利用方法最早公开在BlackHat USA 2015。本文将要整理这个利用方法的相关资料,结合思路,得出行为检测的方法。


0x01 简介

本文将要介绍以下内容:

环境搭建

利用思路

实现工具

行为检测


0x02 环境搭建

本节介绍WSUS服务器搭建的过程,通过配置客户端实现补丁的推送

参考资料:

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/dd939822(v=ws.10)

1.WSUS服务器搭建

WSUS服务器需要安装在Windows Server操作系统

(1)安装

在添加角色和功能页面,选择Windows Server Update Services

需要指定补丁更新包的存放路径,这里可以设置为C:WSUS

(2)配置

打开Windows Server Update Services进行配置

配置时选择默认选项即可,在选择Download update information from Microsoft Update时,点击Start Connecting,如果报错提示An HTTP error has occurred,经过我的多次测试,可以采用以下方法解决:

关闭当前页面

进入Windows Server Update Services,选择synchronization,点击synchronization Now,等待同步完成,如下图

选择Options,选择WSUS Server Configuration Wizard,重新进入配置页面,连接成功,如下图

配置完成后需要创建计算机组,如下图

当同步完成后,会提示下载了多少个补丁,如下图

选择Updates页面,可以查看已下载的补丁,UnApproved表示未安装的补丁,安装后的补丁可以选择Approved进行查看,如下图

选中一个补丁,点击Approve...,弹出的对话框可以针对指定计算机组安装补丁,如下图

2.客户端配置

客户端只要是Windows系统即可,需要通过组策略配置

依次选择Computer Configuration -> Administrative Templates -> Windows Components -> Windows Update,选择Configure Automatic Updates,设置成Auto download and notify for install,选择Specify intr.NET Microsoft update service location,设置更新服务器地址为http://192.168.1.182:8530

注:

需要指定端口8530

对于域环境,配置组策略后需要等待一段时间,这是因为组策略每90分钟在后台更新一次,随机偏移量为0-30分钟,如果想立即生效,可以输入命令:gpupdate /force

对于工作组环境,配置组策略可以立即生效

当客户端开始补丁更新时,WSUS服务器会获得客户端的信息,并显示在Computers页面

组策略配置的操作等同于创建注册表,具体信息如下:

(1)组策略配置自动更新后会创建注册表HKEY_LOCAL_macHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU

查询命令:REG QUERY "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU"

返回结果示例:

(2)组策略配置服务器地址后会创建注册表HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate

查询命令:REG QUERY "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate"

返回结果示例:

3.推送补丁

在WSUS服务器的Windows Server Update Services页面,选择指定补丁,右键点击Approve...,在弹出的对话框中选择计算机组即可

等待客户端到达补丁更新时间,即可完成补丁的推送


0x03 利用思路

如果我们能够生成一个带有Payload的补丁,就能够通过补丁进行横向移动,但是在利用上需要注意补丁文件的签名问题:Windows的补丁文件需要带有微软的签名

通常的利用方法是使用带有微软签名的程序,例如psexec,通过psexec执行命令或者添加一个管理员用户


0x04 实现工具

开源的工具有以下三个:

https://github.com/nettitude/SharpWSUS

https://github.com/AlsidOfficial/WSUSpendu

https://github.com/ThunderGunExpress/Thunder_Woosus

以上三个工具的实现原理基本相同,都是创建一个调用psexec执行命令的补丁,将补丁推送至指定计算机,等待目标计算机更新补丁

创建补丁的操作需要连接SQL数据库,依次实现以下操作:

ImportUpdate

PrepareXMLtoClient

InjectURL2Download

DeploymentRevision

PrepareBundle

PrepareXMLBundletoClient

DeploymentRevision

1.创建补丁

SharpWSUS在创建补丁时需要注意转义字符,命令示例:

这条命令将会在Updates的Security Updates页面下创建WSUSDemo,如下图

2.补丁部署

将补丁部署到指定计算机组,命令示例:


这条命令会创建计算机组Demo Group,并且把win-iruj9k30gr7移动到该组下面,如下图

接下来需要等待客户端安装这个补丁

3.查看补丁状态

查看补丁是否被安装,命令示例:

补丁未安装的输出如下:

还有一种查看方法是查看计算机的补丁更新时间,示例命令:SharpWSUS.exe inspect

输出示例:

为了便于测试,可以强制客户端更新补丁,看到新的补丁信息,如下图


4.清除补丁信息

命令示例:

这条命令会删除补丁,删除添加的计算机组

在整个补丁更新过程中,WSUS服务器会将psexec.exe保存在WSUS服务器本地C:wsuswuagent.exe和C:wsusWsusContent8EFD7980D3E437F28000FA815574A326E569EB548E.exe,需要手动清除

在测试WSUSpendu时,为了便于分析细节,可以修改以下代码:

命令行执行:powershell -ep bypass -f WSUSpendu.ps1 -Verbose,将会输出完整的信息


0x05 行为检测

客户端的补丁历史更新记录会保存所有的补丁安装信息:

如下图

但是,攻击者如果获得了系统的管理员控制权限,可以通过命令行卸载补丁的方式清除历史更新记录,命令行卸载补丁的命令示例:

查看更新:wmic qfe list brief/format:table

卸载指定更新:wusa /uninstall /kb:976902 /quiet /norestart


0x06 小结

本文介绍了通过WSUS进行横向移动的方法和实现工具,结合利用思路,给出行为检测的建议。

参考资料:

https://www.blackhat.com/docs/us-15/materials/us-15-Stone-WSUSpect-Compromising-Windows-Enterprise-Via-Windows-Update.pdf

https://www.gosecure.net/blog/2020/09/03/wsus-attacks-part-1-introducing-pywsus/

https://labs.nettitude.com/blog/introducing-sharpwsus/



Tags:渗透   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
0x00 前言在内网渗透中,当我们获得了WSUS服务器的控制权限后,可以通过推送补丁的方式进行横向移动。这个利用方法最早公开在BlackHat USA 2015。本文将要整理这个利用方法的相...【详细内容】
2023-01-09  Tags: 渗透  点击:(0)  评论:(0)  加入收藏
网络信息包括哪些内容网络信息是一个非常大定义,主要包含的东西了也是非常多的,包含用户信息跟其他信息,只要在互联网上的,都是属于网络信息。网络信息包含,通信程序流程信息,操作...【详细内容】
2022-11-23  Tags: 渗透  点击:(22)  评论:(0)  加入收藏
引言当RedTeam拿下了一台服务器并获取到系统较高权限,但不知道服务器的凭证时,RedTeam会采用怎样的技术获取系统凭证呢?又或者,在RedTeam拿下一台服务器,为达到长久控制的目的而...【详细内容】
2022-11-09  Tags: 渗透  点击:(49)  评论:(0)  加入收藏
一、实验项目名称Windows网络服务渗透测试实战-跨网段攻击二、实验目的及要求掌握对跨网段攻击的方法。熟悉Metasploit终端的使用方法。熟悉通过meterpreter进行后渗透操作...【详细内容】
2022-11-01  Tags: 渗透  点击:(59)  评论:(0)  加入收藏
渗透测试是门技术,也是一门艺术。参考书籍《欺骗的艺术》《入侵的艺术》《社会工程学攻击1》《社会工程学攻击2》这门技术(艺术)一开始也不是每个人都会的,正所谓没有人一出生就...【详细内容】
2022-10-18  Tags: 渗透  点击:(58)  评论:(0)  加入收藏
一、开源项目简介一款适用于以HW行动/红队/渗透测试团队为场景的移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、攻击队成员、红队成员...【详细内容】
2022-10-18  Tags: 渗透  点击:(68)  评论:(0)  加入收藏
1、 什么是CSRF:CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像...【详细内容】
2022-10-14  Tags: 渗透  点击:(53)  评论:(0)  加入收藏
学习渗透测试该如何入门?想必也是各位新手小白都特别想了解的话题。其实,在学习渗透内容之前,我们首先要了解什么是渗透测试以及主要工作职责是什么?首先,我们来说说什么是渗透测...【详细内容】
2022-10-13  Tags: 渗透  点击:(36)  评论:(0)  加入收藏
1.明确方向1)明确范畴:测试范畴,如:IP、网站域名、内外网、全站or一部分控制模块2)明确标准:能渗入到何种程度(发觉系统漏洞才行or再次运用系统漏洞)、限制时间、能不能改动提交、能...【详细内容】
2022-09-26  Tags: 渗透  点击:(66)  评论:(0)  加入收藏
【环球时报-环球网报道 记者 袁宏】《环球时报》记者从有关部门独家获悉,美国国家安全局(NSA)“特定入侵行动办公室”(TAO)在对西北工业大学发起网络攻击的过程中构建了对中国电...【详细内容】
2022-09-22  Tags: 渗透  点击:(78)  评论:(0)  加入收藏
▌简易百科推荐
0x00 前言在内网渗透中,当我们获得了WSUS服务器的控制权限后,可以通过推送补丁的方式进行横向移动。这个利用方法最早公开在BlackHat USA 2015。本文将要整理这个利用方法的相...【详细内容】
2023-01-09  嘶吼RoarTalk     Tags:渗透   点击:(0)  评论:(0)  加入收藏
Automated Libra黑客组织通过CAPTCHA绕过技术自动账号创建,进行加密货币挖矿。近期,南非黑客组织'Automated Libra'通过CAPTCHA绕过技术实现自动账号创建,在云平台创建...【详细内容】
2023-01-09  嘶吼RoarTalk     Tags:Automated   点击:(0)  评论:(0)  加入收藏
一:背景前段时间在训练营上课的时候就有朋友提到一个问题,为什么 Windbg 附加到 C# 程序后,程序就处于中断状态了?它到底是如何实现的?其实简而言之就是线程的远程注入,这一篇就展...【详细内容】
2023-01-04  DotNET技术圈  今日头条  Tags:DLL   点击:(10)  评论:(0)  加入收藏
前言 /preface/近些年,勒索案件时有发生。每一个受害者都很震惊:黑客为什么会盯上我?黑客是怎么进来的?采购了那么多安全设备,怎么还是会被勒索?第一步 策略选择:薄利多销or高投高...【详细内容】
2022-12-21  嘻呱互联  网易号  Tags:黑客   点击:(19)  评论:(0)  加入收藏
随着越来越多的企业转向使用云服务和多因素身份验证,与身份和身份验证相关的 cookie 就为攻击者提供了一条新的攻击途径。凭据窃取恶意软件是各类攻击者经常使用的工具包的一...【详细内容】
2022-12-17  嘶吼RoarTalk     Tags:Cookie发   点击:(9)  评论:(0)  加入收藏
前言 当拿下域控权限时,为了维持权限,常常需要驻留一些后门,从而达到长期控制的目的。Windows AD域后门五花八门,除了常规的的添加隐藏用户、启动项、计划任务、抓取登录时的密...【详细内容】
2022-12-08  iHacking  今日头条  Tags:后门   点击:(50)  评论:(0)  加入收藏
引言本文主要介绍“反射型dll注入”及“柔性加载”技术。反射型dll注入 为什么需要反射型dll注入常规的dll注入代码如下:iNt main(int argc, char *argv[]) { HANDLE process...【详细内容】
2022-11-26  KaliMa  今日头条  Tags:基础免杀   点击:(33)  评论:(0)  加入收藏
现在的网上银行很方便,你可以在手机APP上随时访问你的银行账户,进行转账、支付账单、核实余额。与普通的网上银行客户一样,网络犯罪分子也通过各种诈骗手段从网上银行中牟取非...【详细内容】
2022-11-25  血超级厚的土豆  今日头条  Tags:黑客   点击:(287)  评论:(0)  加入收藏
DNS是网络连接中的重要一环,它与路由系统共同组成互联网上的寻址系统,如果DNS遭遇故障,“导航系统”失效,网络连接就会出现无法触达或到达错误地址的情况。由于的DNS重要作用及...【详细内容】
2022-11-24  中科三方  搜狐号  Tags:DNS劫持   点击:(46)  评论:(0)  加入收藏
一个以前不为人知的APT(高级持续威胁)黑客组织被称为“Earth Longzhi”,目标是东亚、东南亚和乌克兰的组织。攻击者至少从 2020 年开始就一直活跃,他们使用定制版本的 Cobalt St...【详细内容】
2022-11-11  会杀毒的单反狗  今日头条  Tags:后门   点击:(67)  评论:(0)  加入收藏
站内最新
站内热门
站内头条