内网学习笔记八 | 权限维持分析及防御

​ 后门（backdoor），本意是指在建筑物的背面开设的门，通常比较隐蔽。在信息安全领域，后门是指通过绕过安全控制措施获取对程序或系统访问权限的方法。简单地说，后门就是一个留在目标主机上的软件，它可以使攻击者随时与目标主机进行连接。

​ 在大多数情况下，后门是一个运行在目标主机上的隐藏进程。因为后门可能允许一个普通的、未经授权的用户控制计算机，所以攻击者经常使用后门来控制服务器（比一般的攻击手段更具隐蔽性）。攻击者在提升权限之后，往往会通过建立后门来维持对目标主机的控制权。这样一来，即使修复了被攻击者利用的系统漏洞，攻击者还是可以通过后门继续控制目标系统。因此，如果我们能够了解攻击者在系统中建立后门的方法和思路，就可以在发现系统被人侵后快速找到攻击者留下的后门并将其清除。

8.1 操作系统后门分析与防范

8.1.1 粘滞键后门

8.1.2 注册表注入后门

8.1.3 计划任务后门

1. 在metasploit 中模拟计划任务后门
2. 在powerSploit中模拟计划任务后门
3. 在Empire中模拟计划任务后门

8.1.4 meterpreter后门

8.1.5 Cymothoa 后门

8.1.3 WMI型后门

8.2 WEB后门防范与分析

8.2.1 Nishang下的WebShell

8.2.2 weevely后门

8.2.3 webacoo后门

8.2.4 ASPX meterpreter后门

8.2.5 PHP meterpreter 后门

8.3 域控制器权限持久化分析与防范

8.3.1 DSRM域后门

8.3.2 SSP维持域控权限

8.3.3 SID History 域后门

8.3.4 Golden Ticket

8.3.5 Silver Ticket

8.3.6 Skeleton Key

8.3.7 Hook PasswordChangeNotify

8.4 Nishang下的脚本后门分析与防范