【技术原创】渗透技巧——通过WSUS进行横向移动 _渗透

0x00 前言
在内网渗透中，当我们获得了WSUS服务器的控制权限后，可以通过推送补丁的方式进行横向移动。这个利用方法最早公开在BlackHat USA 2015 。本文将要整理这个利用方法的相关资料，结合思路，得出行为检测的方法。
0x01 简介
本文将要介绍以下内容：
环境搭建
利用思路
实现工具
行为检测
0x02 环境搭建
本节介绍WSUS服务器搭建的过程，通过配置客户端实现补丁的推送
参考资料：
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/dd939822(v=ws.10)
1.WSUS服务器搭建
WSUS服务器需要安装在Windows Server操作系统
(1)安装
在添加角色和功能页面，选择Windows Server Update Services
需要指定补丁更新包的存放路径，这里可以设置为C:WSUS
(2)配置
打开Windows Server Update Services进行配置
配置时选择默认选项即可，在选择Download update information from Microsoft Update时，点击Start Connecting，如果报错提示An HTTP error has occurred，经过我的多次测试，可以采用以下方法解决：
关闭当前页面
进入Windows Server Update Services，选择synchronization，点击synchronization Now，等待同步完成，如下图

文章插图
选择Options，选择WSUS Server Configuration Wizard，重新进入配置页面，连接成功，如下图

文章插图
配置完成后需要创建计算机组，如下图

文章插图
当同步完成后，会提示下载了多少个补丁，如下图

文章插图
选择Updates页面，可以查看已下载的补丁，UnApproved表示未安装的补丁，安装后的补丁可以选择Approved进行查看，如下图

文章插图
选中一个补丁，点击Approve...，弹出的对话框可以针对指定计算机组安装补丁，如下图

文章插图
2.客户端配置
客户端只要是Windows系统即可，需要通过组策略配置
依次选择Computer Configuration -> Administrative Templates -> Windows Components -> Windows Update，选择Configure Automatic Updates，设置成Auto download and notify for install，选择Specify intr.NET Microsoft update service location，设置更新服务器地址为http://192.168.1.182:8530
注：
需要指定端口8530
对于域环境，配置组策略后需要等待一段时间，这是因为组策略每90分钟在后台更新一次，随机偏移量为0-30分钟，如果想立即生效，可以输入命令：gpupdate /force
对于工作组环境，配置组策略可以立即生效
当客户端开始补丁更新时，WSUS服务器会获得客户端的信息，并显示在Computers页面
组策略配置的操作等同于创建注册表，具体信息如下：
(1)组策略配置自动更新后会创建注册表HKEY_LOCAL_macHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU
查询命令：REG QUERY "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU"
返回结果示例：

文章插图
(2)组策略配置服务器地址后会创建注册表HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate
查询命令：REG QUERY "HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate"
返回结果示例：