网络空间安全-作业13

1、使用sharpshadowuser创建隐藏账号并登录win7

上线CS

shell net localgroup administrators

查看windows管理员组有哪些用户以及激活状态

分别查看这两个用户的激活状态

shell net user Administrator

克隆一个禁用的帐号 是一个作废的“钥匙” 要找一个没有被禁用的

shell net user liukaifeng01

克隆这个账号

插件LSTAR-->权限维持-->SharpShadowUser

这个账户具有以下功能：（$符号后缀可以不被发现 是一个系统用户）

远程登录win7说明当前有人正在使用这台电脑

要不然容易被人发现

LSTAR-->信息收集-->工作组常用命令-->查看在线用户

退出win7之后再进行远程链接

2、利用cs创建开启启动项后门进行权限维持

粘滞键后门：

粘滞键指的是电脑使用中的一种快捷键，专为同时按下两个或多个键有困难的人而设计的。粘滞键的主 要功能是方便Shift等键的组合使用。一般的电脑连按五次shift会出现粘滞键提示。sethc.exe就是 windows中粘滞键的调用文件。

sethc.exe文件的属性，默认情况下是属于TrustedInstaller所有，不管是普通用户还是administrator都 没有权限对它进行编辑的。TrustedInstaller是一个安全机制，权限比administrator管理权高，但比 system低。 粘滞键位置：c:\windows\system32\sethc.exe 执行下列命令需要具备system权限，管理员权限无法执行！可以使用cs提权然后执行

move sethc.exe sethc1.exe #将原本的sethc改名为sethc1 copy cmd.exe sethc.exe #将cmd复制并重命名为sethc

这样即使win7注销之后 此时在登录界面连按五次shift键即可启动cmd，而且不需要登录就可以执行。

注册表自启动后门

上传一个木马在win7

用LSTAR->权限维持->EasyPersistent->注册表->添加注册表启动项相当于执行如下命令

重新启动会自动运行后门程序，上线成功。

3、完成linux隐藏历史命令和隐藏文件权限实验

隐藏文件

一般的Linux下的隐藏目录使用命令 ls -l是查看不出来的，只能查看到文件及文件夹，查看Linux下的 隐藏文件需要用到命令： ls -la到

在/tmp下，默认存在多个隐藏目录，这些目录是恶意文件常用来藏身的地方。 如/ temp/.ICE-unix/、/temp/.X11-unix/、/temp/.XIM-unix/

隐藏历史操作命令

kali下可以命令前加空格隐藏历史命令，下面命令不生效，因为Kali(以及大多数使用Zsh作为默认Shell的系统)与传统Bash的一个小区别。从历史记录中删除指定命令

假设历史命令中已经包含了一些你不希望记录的命令，这种情况下我们怎么办？

很简单，通过下面的命 令来删除：

history | grep "keyword"

输出历史记录中匹配的命令，每一条命令前面会有个数字。从历史记录中删除指定的项：

history -d [num]

这种技巧是关键记录删除，其他情况比如前150行是用户的正常操作记录，150以后是攻击者操作记录。 我们可以只保留正常的操作，删除攻击痕迹的历史操作记录，这里，我们只保留前150行：

sed -i '150,$d' .bash_history history

命令显示的是内存中的记录，而非直接读取 文件，删除文件不影响已加载到内存的记录。因此可以退出登录，再次登录查看