玄机靶场通关笔记 _ 权限维持-Windows权限维持
玄机靶场通关笔记:权限维持-Windows权限维持
作者:亚洲之冰
题目简介
本题是一道经典的 Windows 应急响应题目,主要考察蓝队人员对 Windows 系统中常见权限维持(后门)技术的排查能力。题目包含三个步骤,分别对应三种不同的权限维持方式:服务、计划任务和组策略启动项。
- 难度:简单
- 类型:应急响应
- 目标:找出系统中隐藏的三个权限维持后门,并提取对应的 Flag。
解题过程与分析
步骤 1:注册表权限维持(服务后门)
题目描述:黑客通过注册表或服务实现了权限维持,请找到隐藏的 Flag。
排查思路:
Windows 服务是常见的权限维持手段。黑客通常会创建一个伪装成系统服务的恶意服务,使其在系统启动时自动运行。
操作步骤:
- 打开“服务”管理器(
services.msc),或者使用 PowerShell 命令排查非微软签名的可疑服务。 - 经过排查,发现一个名为
serverr的可疑服务。该服务名称拼写异常(多了一个 ‘r’),且处于停止状态。 - 查看该服务的可执行文件路径,找到对应的程序文件。
- 右键点击该程序文件,选择“属性” -> “详细信息”。
- 在“版权”字段中,发现了一串可疑的 Base64 编码字符串:
ZmxhZ3tmZXdzaWRvbmZrfQ==。 - 将其进行 Base64 解码,得到 Flag。
Flag:flag{fewsidonfk}
步骤 2:计划任务权限维持
题目描述:黑客通过计划任务实现了权限维持,请找到隐藏的 Flag。
排查思路:
计划任务(Task Scheduler)允许程序在特定时间或特定事件触发时运行,是黑客最常用的持久化机制之一。
操作步骤:
- 打开“任务计划程序”(
taskschd.msc),检查所有计划任务,特别是触发器设置为“系统启动时”或“用户登录时”的任务。 - 发现一个名为
login的异常计划任务。该任务的触发器设置非常频繁,甚至可能是无限触发。 - 查看该任务的“操作”选项卡,发现它启动了一个名为
w0rdpad.exe的程序。这个文件名明显是在伪装系统自带的写字板程序(wordpad.exe),使用了数字 ‘0’ 替换字母 ‘o’。 - 找到
w0rdpad.exe的物理路径。 - 同样地,右键查看该文件的“属性” -> “详细信息”。
- 在“版权”字段中,再次发现 Base64 编码字符串:
ZmxhZ3tmZXdhZmV0ZWR9。 - 解码后得到 Flag。
Flag:flag{fewafeted}
步骤 3:自启动服务权限维持(组策略启动项)
题目描述:黑客通过自启动项实现了权限维持,请找到隐藏的 Flag。
排查思路:
除了注册表Run键值和启动文件夹,Windows 组策略(Group Policy)中的启动/关机脚本也是一种隐蔽的自启动方式。
操作步骤:
- 打开“本地组策略编辑器”(
gpedit.msc)。 - 导航到
计算机配置 -> Windows 设置 -> 脚本(启动/关机)。 - 双击“启动”脚本,查看是否有异常脚本被配置。
- 发现配置了一个启动脚本,或者通过检查
C:\Windows\System32\GroupPolicy\Machine\Scripts\scripts.ini文件,发现其中调用了C:\Windows\System32\GroupPolicy\flag.bat。 - 打开
flag.bat文件查看其内容。 - 在脚本参数或内容中,发现了一串 Base64 编码:
ZmxhZ3tkYWR1aWxlfQ==。 - 解码后得到最终的 Flag。
Flag:flag{daduile}
总结与防御建议
本题涵盖了 Windows 系统中最常见的三种持久化后门技术:
- 恶意服务:伪装成系统服务(如
serverr)。 - 恶意计划任务:利用计划任务定时执行伪装程序(如
w0rdpad.exe)。 - 组策略启动脚本:利用
gpedit.msc配置隐蔽的开机自启脚本。
蓝队防御建议:
- 定期使用 Sysinternals 的
Autoruns工具全面检查系统的自启动项、服务和计划任务。 - 关注非微软签名的可执行文件,特别是那些名称与系统进程相似(如
svch0st.exe,w0rdpad.exe)的文件。 - 监控
C:\Windows\System32\GroupPolicy\目录下的文件变更,防止黑客利用组策略植入后门。 - 在应急响应中,不仅要检查文件内容,还要注意检查文件的属性元数据(如“版权”、“描述”字段),黑客经常将恶意载荷或配置信息隐藏在这些不起眼的地方。