玄机靶场通关笔记权限维持-Windows权限维持作者亚洲之冰题目简介本题是一道经典的 Windows 应急响应题目主要考察蓝队人员对 Windows 系统中常见权限维持后门技术的排查能力。题目包含三个步骤分别对应三种不同的权限维持方式服务、计划任务和组策略启动项。难度简单类型应急响应目标找出系统中隐藏的三个权限维持后门并提取对应的 Flag。解题过程与分析步骤 1注册表权限维持服务后门题目描述黑客通过注册表或服务实现了权限维持请找到隐藏的 Flag。排查思路Windows 服务是常见的权限维持手段。黑客通常会创建一个伪装成系统服务的恶意服务使其在系统启动时自动运行。操作步骤打开“服务”管理器services.msc或者使用 PowerShell 命令排查非微软签名的可疑服务。经过排查发现一个名为serverr的可疑服务。该服务名称拼写异常多了一个 ‘r’且处于停止状态。查看该服务的可执行文件路径找到对应的程序文件。右键点击该程序文件选择“属性” - “详细信息”。在“版权”字段中发现了一串可疑的 Base64 编码字符串ZmxhZ3tmZXdzaWRvbmZrfQ。将其进行 Base64 解码得到 Flag。Flagflag{fewsidonfk}步骤 2计划任务权限维持题目描述黑客通过计划任务实现了权限维持请找到隐藏的 Flag。排查思路计划任务Task Scheduler允许程序在特定时间或特定事件触发时运行是黑客最常用的持久化机制之一。操作步骤打开“任务计划程序”taskschd.msc检查所有计划任务特别是触发器设置为“系统启动时”或“用户登录时”的任务。发现一个名为login的异常计划任务。该任务的触发器设置非常频繁甚至可能是无限触发。查看该任务的“操作”选项卡发现它启动了一个名为w0rdpad.exe的程序。这个文件名明显是在伪装系统自带的写字板程序wordpad.exe使用了数字 ‘0’ 替换字母 ‘o’。找到w0rdpad.exe的物理路径。同样地右键查看该文件的“属性” - “详细信息”。在“版权”字段中再次发现 Base64 编码字符串ZmxhZ3tmZXdhZmV0ZWR9。解码后得到 Flag。Flagflag{fewafeted}步骤 3自启动服务权限维持组策略启动项题目描述黑客通过自启动项实现了权限维持请找到隐藏的 Flag。排查思路除了注册表Run键值和启动文件夹Windows 组策略Group Policy中的启动/关机脚本也是一种隐蔽的自启动方式。操作步骤打开“本地组策略编辑器”gpedit.msc。导航到计算机配置 - Windows 设置 - 脚本(启动/关机)。双击“启动”脚本查看是否有异常脚本被配置。发现配置了一个启动脚本或者通过检查C:\Windows\System32\GroupPolicy\Machine\Scripts\scripts.ini文件发现其中调用了C:\Windows\System32\GroupPolicy\flag.bat。打开flag.bat文件查看其内容。在脚本参数或内容中发现了一串 Base64 编码ZmxhZ3tkYWR1aWxlfQ。解码后得到最终的 Flag。Flagflag{daduile}总结与防御建议本题涵盖了 Windows 系统中最常见的三种持久化后门技术恶意服务伪装成系统服务如serverr。恶意计划任务利用计划任务定时执行伪装程序如w0rdpad.exe。组策略启动脚本利用gpedit.msc配置隐蔽的开机自启脚本。蓝队防御建议定期使用 Sysinternals 的Autoruns工具全面检查系统的自启动项、服务和计划任务。关注非微软签名的可执行文件特别是那些名称与系统进程相似如svch0st.exe,w0rdpad.exe的文件。监控C:\Windows\System32\GroupPolicy\目录下的文件变更防止黑客利用组策略植入后门。在应急响应中不仅要检查文件内容还要注意检查文件的属性元数据如“版权”、“描述”字段黑客经常将恶意载荷或配置信息隐藏在这些不起眼的地方。